Garante per la protezione dei dati personali (Garante) har beslutat att ålägga den lokala hälsovårdsmyndigheten i Ferrara en sanktionsavgift om 20 000 euro på grund av överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Garante tagit emot ett klagomål från en registrerad. Den registrerade var patient vid en gynekologisk akutmottagning på ett sjukhus i Ferrara, där hon även var anställd. Några dagar efter att hon drabbats av en medicinsk akutsituation informerades hon om att hennes kollegor kände till hennes hälsouppgifter. Uppgifterna hade spridits inom en arbetsrelaterad WhatsApp-grupp tillhörande en av hennes kollegor.
Efter begäran från Garante redogjorde hälsovårdsmyndigheten för att endast anställda som har ett faktiskt behov av patientuppgifter i tjänsten ges åtkomst till dessa genom personliga domänbehörigheter. Hälsovårdsmyndigheten uppgav vidare att ett revisionssystem hade införts för att granska åtkomstloggar i journalsystemet samt för att identifiera och rapportera eventuella avvikande aktiviteter. Revisionerna genomfördes manuellt, men det fanns planer på att automatisera processen med hjälp av framtida EU-finansiering.
Hälsovårdsmyndigheten uppgav vidare att den, efter att ha utsett ett dataskyddsombud, tidigare hade instruerats att avveckla generiska administrativa behörighetsprofiler som gav åtkomst till samtliga anställda inom en viss yrkeskategori (exempelvis en gemensam ”radiologi”-profil i stället för individuella användarprofiler). Även om sådana profiler hade raderats, framkom det först efter klagomålet att vissa generiska profiler fortfarande var aktiva. Dessa hade inte upptäckts tidigare, eftersom inga avvikande aktiviteter hade identifierats vid de genomförda logggranskningarna. De kvarvarande generiska profilerna raderades omedelbart efter att de upptäckts.
Garante konstaterade att obehöriga personer haft möjlighet att få tillgång till patienters medicinska journaler, vilket innebar en överträdelse av principen om laglighet, korrekthet och öppenhet enligt artikel 5.1 a GDPR samt kravet på rättslig grund för behandling av känsliga personuppgifter enligt artikel 9 GDPR. Garante konstaterade vidare att underlåtenheten att införa och upprätthålla lämpliga tekniska och organisatoriska säkerhetsåtgärder utgjorde en överträdelse av principen om integritet och konfidentialitet enligt artikel 5.1 f GDPR samt artikel 32 GDPR. Slutligen konstaterade Garante att bristen på adekvata skyddsåtgärder även stred mot principerna om inbyggt dataskydd och dataskydd som standard enligt artikel 25 GDPR.
Mot denna bakgrund beslutade Garante att ålägga hälsovårdsmyndigheten en sanktionsavgift om 20 000 euro. Vid fastställandet av sanktionsbeloppet beaktade Garante att sjukhuset hade varit samarbetsvilligt och proaktivt samt vidtagit korrigerande åtgärder utan dröjsmål efter det att klagomålet hade inkommit.