Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 40 000 euro mot Lodi Territorial Social Health Authority för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en patient lämnat in ett klagomål till Garante på att några av hennes kollegor kommit åt hennes hälsojournaler utan hennes samtycke mellan 2019 och 2020. Sjukhuset svarade att det varit nödvändigt för att planera och organisera arbetet och hantera covid-19-krisen.
Vid en genomgång av ärendet konstaterade Garante att inga åtkomstbegränsningar för de medicinska journalerna konfigurerats. Det fanns inte heller något register över vem som hade tillgång till dem, så det saknades varnings- och övervakningssystem som kunde uppmärksamma dataintrång. Vidare hade sjukhuset inte inhämtat den registrerades uttryckliga och specifika samtycke till att behandla hennes hälsouppgifter i hälsodossiern, som är ett frivilligt och ofullständigt verktyg som sjukhuset använde för vårdändamål.
Garante konstaterade att sjukhuset brutit mot flera bestämmelser enligt artiklarna 5.1 (a), (b), (c) och (f) GDPR, bland annat principerna laglighet, ändamålsbegränsning, uppgiftsminimering och integritet och konfidentialitet, samt kraven på rättslig grund enligt artiklarna 6.1 och 9 GDPR. Garante beslutade därför att påföra sjukhuset en administrativ sanktionsavgift med 40 000 euro.
Efter beslutet har sjukhuset uppgett att det vidtagit åtgärder för att förbättra sin efterlevnad av GDPR, såsom att skicka ut informationsnotiser, förstärka utbildningen, övervaka åtkomsten till hälsodossiern och ändra innehållet i varningsmeddelandet.