Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 75 000 euro mot Azienda sanitaria dell’Alto Adige (ASDAA) för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad lämnat in klagomål till Garante efter personal haft upprepad åtkomst till ASDAA:s elektroniska patientjournalsystem under en tidsperiod då den registrerade inte var på sjukhus eller genomgick behandling. ASDAA hävdade att vissa av åtkomsterna upprepades inom en mycket kort tidsperiod av tekniska skäl. ASDAA medgav dock att vissa åtkomster var omotiverade.
Enligt ASDAA tillåter systemet för närvarande vårdpersonal att få tillgång till den elektroniska patientjournalen om det finns en klinisk-administrativ händelse. I de fall där ingen klinisk-administrativ händelse kan spåras i systemet, till exempel när en patient som ringer vårdpersonalen för att få klargöranden efter sjukhusvistelsen, kan vårdpersonalen få tillgång till patientjournalen genom att välja en lämplig orsak från en fördefinierad lista.
Efter en omfattande utredning konstaterade Garante att åtkomstmetoderna till den elektroniska patientjournalen inte konfigurerats korrekt. Detta ledde till att vårdpersonal som inte var involverad i patientvården kunde få tillgång till patientjournalerna. Genom denna inställning kunde vårdpersonal manuellt självcertifiera sig för att få åtkomst till patientjournalerna. Dessutom gavs åtkomst till dokumentet som standard till en lång rad yrkesgrupper som inte hade något att göra med patientvårdsprocessen, däribland administrativ personal. Vidare identifierade Garante andra överträdelser, bland annat att man inte inrättat ett varningssystem för att upptäcka onormalt eller riskfyllt beteende i samband med den verksamhet som bedrivs av ASDAA.
Sammanfattningsvis konstaterade Garante att ASDAA brutit mot principen om laglighet enligt artikel 5.1 (a) GDPR, principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR, kravet på rättslig grund för behandling av känsliga personuppgifter enligt artikel 9 GDPR, kravet på inbyggt dataskydd enligt artikel 25.1 GDPR och kravet på lämpliga säkerhetsåtgärder enligt artikel 32 GDPR. Garante förelade även ASDAA att vidta alla nödvändiga tekniska och organisatoriska åtgärder för att garantera säkerheten för de behandlade personuppgifterna och förhindra ny otillbörlig åtkomst.