Garante per la protezione dei dati personali (Garante) har bötfällt Azienda sanitaria universitaria Friuli Centrale (ASUFC) med 70 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad lämnat in ett klagomål till Garante. Enligt klagomålet hade anställda vid ett sjukhus som tillhörde ASUFC, där den registrerade arbetade, fått tillgång till den IT-plattform som ASUFC använde för att behandla patienters hälsouppgifter utan att denna tillgång var motiverad av terapeutiska och/eller kliniska behov. Enligt den registrerade gjorde konfigurationen av den IT-plattform för lagring av hälsouppgifter som användes av ASUFC:s inrättningar det möjligt för vårdpersonal att få tillgång till personuppgifter som rörde alla patienter som fysiskt befann sig på sjukhuset vid den aktuella tidpunkten, men även patienter som inte befann sig på ASUFC:s vårdinrättning.
Som ett resultat av den utförda granskningen konstaterade Garante att tillgång till patientuppgifter i ASUFC:s vårdinrättning alltid tillåtits för anställda, vilket inte säkerställde att endast den vårdpersonal som faktiskt behandlade en viss patient kunde få tillgång till dennes personuppgifter, vilket strider mot de grundläggande principerna om laglighet, korrekthet och öppenhet och integritet och konfidentialitet i artiklarna 5.1 (a) och 5.1 (f), samt kraven vid behandling av känsliga personuppgifter enligt artikel 9 och inbyggt dataskydd (Privacy by Design) enligt artikel 25 GDPR.
Garante konstaterade dessutom att den IT-plattform som ASUFC använde inte innehöll något system för att upptäcka anomalier, som syftade till att identifiera avvikande beteende eller risker i samband med den databehandling som de anställda utförde, till exempel i fråga om antalet åtkomster som utfördes, typ eller tidsram för dessa, vilket utgjorde en obehörig och olaglig behandling av personuppgifter i strid med artikel 32 GDPR.
Mot bakgrund av de fastställda omständigheterna ålade Garante ASUFC böter på sammanlagt 70 000 euro. Garante beordrade också att beslutet skulle offentliggöras på myndighetens webbplats som en kompletterande påföljd.