Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 12 000 euro mot Casa di Cura Città di Roma för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Casa di Cura Città di Roma använde patienthanteringsprogramvara som gav användarna tillgång till överdrivna mängder patientuppgifter. Läkare kunde bland annat se alla patienters journaler oavsett om de var involverade i deras vård, sjuksköterskor hade tillgång till information från alla avdelningar, och administrativ personal kunde se känsliga hälsouppgifter som inte var nödvändiga för deras arbetsuppgifter.
Garante konstaterade att detta stred mot principerna om principen om laglighet enligt artikel 5.1 (a) GDPR, principen om ändamålsbegränsning enligt 5.1 (b) GDPR och principen om uppgiftsminimering enligt 5.1 (c) GDPR. Casa di Cura Città di Roma saknade även rättslig grund för behandlingen av personuppgifterna enligt artikel 6.1 och 9.1 GDPR.
Vidare konstaterade Garante att systemet saknade tekniska lösningar för att registrera och övervaka åtkomst till journalerna genom loggfiler och automatiska varningssystem för avvikande beteenden, vilket är nödvändigt för att upptäcka obehörig åtkomst. Casa di Cura Città di Roma hade därmed även agerat i strid med principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR och artikel 32 GDPR.
Garante utfärdade en sanktionsavgift på 12 000 euro. Sanktionen fastställdes med hänsyn till överträdelsernas allvar, det stora antalet berörda patienter (över 10 000), att överträdelserna pågått sedan 2017, men också att vårdgivaren samarbetat och snabbt vidtagit korrigerande åtgärder samt befinner sig i likvidation.