Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 75 000 euro mot Azienda ospedale università di Padova för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Garante inlett en utredning av universitetssjukhuset Azienda ospedale università di Padova efter att det rapporterats att anställda vid sjukhuset vid upprepade tillfällen haft tillgång till patientjournaler utan att vara involverade i behandlingen av patienterna.
Under sin utredning konstaterade Garante att Azienda ospedale università di Padova inte reglerat sina anställdas tillgång till patientjournaler på ett sätt som överensstämde med GDPR. Detta innebar att varje anställd i tjänst kunde se alla patientjournaler, utan tidsbegränsning och oavsett om den anställde behandlade den berörda personen eller inte.
Enligt Garante har Azienda ospedale università di Padova därmed inte implementerat lämpliga åtkomstbegränsningar till patientjournalerna. Sjukhuset har inte heller vidtagit andra åtgärder som exempelvis dokumentation av antalet åtkomster och deras varaktighet. Garante konstaterade därmed att Azienda ospedale università di Padova agerat i strid med artiklarna 5.1 (a), (c), (f), 9, 25 och 32 GDPR.