Search
Close this search box.

Italien: Azienda nord Milanos sjukhus bötfälls med 40 000 euro för olaglig åtkomst till patienters data

Garante per la protezione dei dati personali (Garante) har bötfällt sjukhuset Azienda socio sanitaria territoriale nord Milano, C.F. med 40 000 euro för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att en patient lämnat in ett klagomål till Garante efter att han upptäckt att hans fru, som var anställd vid sjukhuset, fått en utskrift av hans testresultat för covid-19 utan hans samtycke. Enligt sjukhuset hade patientens fru lämnat in en skriftlig förfrågan till en kollega.

Garante konstaterade att sjukhuset ändrat konfigurationen för åtkomst till patienternas elektroniska journaler i mars 2020, i samband med covid-19, så att all personal såsom läkare, sjuksköterskor och vårdassistenter kunde se alla patienters data, oavsett om de var inblandade i deras vård eller inte. Denna åtgärd gällde inte bara patienter med covid-19, utan alla patienter som behandlades av sjukhuset, och den varade även efter att nödsituationen hade upphört.

Garante ansåg att detta utgjorde en överträdelse av principen om laglighet och korrekthet enligt artikel 5.1 (a) GDPR, principen om ändamålsbegränsning enligt artikel 5.1 (b) GDPR, principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR och principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR. Garante ansåg vidare att sjukhuset inte vidtagit åtgärder för inbyggt dataskydd (Privacy by Design) och dataskydd som standard (Privacy by Default) enligt artikel 25 GDPR. Slutligen ansåg Garante att sjukhuset inte vidtagit tillräckliga tekniska och organisatoriska åtgärder för att garantera en lämplig säkerhetsnivå för patienternas data, såsom system för kontroll av åtkomst, upptäckt av avvikelser och revisioner, i enlighet med artikel 32 GDPR.

Garante ålade sjukhuset att vidta korrigerande åtgärder för att begränsa åtkomsten till patienternas journaler till endast den personal som är involverad i deras vård, samt att införa ett system för att övervaka och upptäcka eventuella obehöriga åtkomster.

Mer information

Myndighet: Garante per la protezione dei dati personali (Garante)

Land: Italien

Lagrum: Art. 5 GDPR, art. 9 GDPR, art. 25 GDPR, art. 32 GDPR, art. 33 GDPR, art. 58 GDPR, art. 83 GDPR

Sanktionsavgift: 40 000 euro

Mottagare: Azienda socio sanitaria territoriale nord Milano, C.F.

Beslutsnummer: 9978342

Beslutsdatum: 2023-12-17

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

07 MAR

AI – Introduktion till artificiell intelligens

Kursen ger dig de rättsliga förutsättningarna för utveckling, upphandling och användning av AI.

14 MAR

Cybersäkerhet - Introduktion till NIS2-direktviet

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

AI - Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.