Den italienska dataskyddsmyndigheten, Garante per la protezione dei dati personali (Garante) har bötfällt den lokala hälsovårdsenheten Azienda USL Toscana Centro med 10 000 euro för överträdelse av artiklarna 5.1 (a), 5.1 (f), 9 och 32 i dataskyddsförordningen (GDPR).
Av beslutet framgår att hälsovårdsenheten anmält en personuppgiftsincident till Garante. Enligt anmälan har hälsovårdsenheten vid två separata fall där patienter lämnat in en ansökan om att få en kopia av sina respektive patientjournaler, på grund av ett misstag av den person som ansvarade för att förbereda kopiorna och kuverten, gjort två kopior av samma patientjournal och skickat dessa till fel mottagare.
En av patienterna som fått fel journal kontaktade hälsovårdsenheten för att informera dem om händelsen, varpå hälsovårdsenheten uppmanade patienten att returnera dokumentet, och när han gjorde det, att även utfärda en förklaring i vilken han uteslöt vidare behandling, såsom kommunikation, spridning och kopiering av dokumentet. Hälsovårdsenheten informerade också Garante om att deras dataskyddsombud kontaktat den patient vars journal av misstag hade lämnats ut till den andra och informerade honom om att händelsen hade ägt rum.
Efter händelsen upptäckte hälsovårdsenheten en liknande incident varpå hälsovårdsenheten tog kontakt med båda parter för att återta dokumentet från den ena och få en förklaring om att ytterligare behandling inte får ske, samt för att informera patienten om incidenten och deras åtgärder för att åtgärda den.
Enligt Garante utgjorde hälsovårdsenhetens utlämnande av patientjournaler till fel mottagare en överträdelse av principen om laglighet, korrekthet och öppenhet i enlighet med artikel 5.1 (a) GDPR, principen om integritet och konfidentialitet i enlighet med artikel 5.1 (f) GDPR, artikel 9 GDPR om behandling av särskilda kategorier av personuppgifter och artikel 32 GDPR om säkerhet vid behandling. På grund av dessa överträdelser utfärdade Garante ett bötesbelopp på 10 000 euro mot hälsovårdsenheten.
Vid fastställandet av bötesbeloppet tog Garante hänsyn till att misstaget inte var avsiktligt och att hälsovårdsenheten vidtagit organisatoriska åtgärder för att undvika sådana fel, bland annat genom att utbilda personalen, uppdatera de driftsinstruktioner som delas på företagets intranät och som innehåller ett förfarande för dubbelkontroll när man förbereder kuverten med journalhandlingar, samt genom att inrätta en arbetsgrupp för dataskydd bestående av en eller flera representanter för varje avdelning inom företaget. Som en försvårande omständighet nämnde Garante att myndigheten tidigare tillrättavisat hälsovårdsenheten för en överträdelse av dataskyddsförordningen.