Italien: Sjukhus bötfälls med 70 000 euro för bristande behörighetsstyrning

Garante per la protezione dei dati personali (Garante) har bötfällt Azienda sanitaria universitaria Friuli Centrale (ASUFC) med 70 000 euro för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att en registrerad lämnat in ett klagomål till Garante. Enligt klagomålet hade anställda vid ett sjukhus som tillhörde ASUFC, där den registrerade arbetade, fått tillgång till den IT-plattform som ASUFC använde för att behandla patienters hälsouppgifter utan att denna tillgång var motiverad av terapeutiska och/eller kliniska behov. Enligt den registrerade gjorde konfigurationen av den IT-plattform för lagring av hälsouppgifter som användes av ASUFC:s inrättningar det möjligt för vårdpersonal att få tillgång till personuppgifter som rörde alla patienter som fysiskt befann sig på sjukhuset vid den aktuella tidpunkten, men även patienter som inte befann sig på ASUFC:s vårdinrättning.

Som ett resultat av den utförda granskningen konstaterade Garante att tillgång till patientuppgifter i ASUFC:s vårdinrättning alltid tillåtits för anställda, vilket inte säkerställde att endast den vårdpersonal som faktiskt behandlade en viss patient kunde få tillgång till dennes personuppgifter, vilket strider mot de grundläggande principerna om laglighet, korrekthet och öppenhet och integritet och konfidentialitet i artiklarna 5.1 (a) och 5.1 (f), samt kraven vid behandling av känsliga personuppgifter enligt artikel 9 och inbyggt dataskydd (Privacy by Design) enligt artikel 25 GDPR.

Garante konstaterade dessutom att den IT-plattform som ASUFC använde inte innehöll något system för att upptäcka anomalier, som syftade till att identifiera avvikande beteende eller risker i samband med den databehandling som de anställda utförde, till exempel i fråga om antalet åtkomster som utfördes, typ eller tidsram för dessa, vilket utgjorde en obehörig och olaglig behandling av personuppgifter i strid med artikel 32 GDPR.

Mot bakgrund av de fastställda omständigheterna ålade Garante ASUFC böter på sammanlagt 70 000 euro. Garante beordrade också att beslutet skulle offentliggöras på myndighetens webbplats som en kompletterande påföljd.

Mer information

Myndighet: Garante per la protezione dei dati personali (Garante)

Land: Italien

Lagrum: Art. 5 GDPR, art. 9 GDPR, art. 25 GDPR, art. 32 GDPR

Sanktionsavgift: 70 000 euro

Mottagare: Azienda sanitaria universitaria Friuli Centrale

Beslutsnummer: 9790365

Beslutsdatum: 2022-05-26

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

07 MAR

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.