Italien: Sjukhus bötfälls med 70 000 euro för bristande behörighetsstyrning

Garante per la protezione dei dati personali (Garante) har bötfällt Azienda sanitaria universitaria Friuli Centrale (ASUFC) med 70 000 euro för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att en registrerad lämnat in ett klagomål till Garante. Enligt klagomålet hade anställda vid ett sjukhus som tillhörde ASUFC, där den registrerade arbetade, fått tillgång till den IT-plattform som ASUFC använde för att behandla patienters hälsouppgifter utan att denna tillgång var motiverad av terapeutiska och/eller kliniska behov. Enligt den registrerade gjorde konfigurationen av den IT-plattform för lagring av hälsouppgifter som användes av ASUFC:s inrättningar det möjligt för vårdpersonal att få tillgång till personuppgifter som rörde alla patienter som fysiskt befann sig på sjukhuset vid den aktuella tidpunkten, men även patienter som inte befann sig på ASUFC:s vårdinrättning.

Som ett resultat av den utförda granskningen konstaterade Garante att tillgång till patientuppgifter i ASUFC:s vårdinrättning alltid tillåtits för anställda, vilket inte säkerställde att endast den vårdpersonal som faktiskt behandlade en viss patient kunde få tillgång till dennes personuppgifter, vilket strider mot de grundläggande principerna om laglighet, korrekthet och öppenhet och integritet och konfidentialitet i artiklarna 5.1 (a) och 5.1 (f), samt kraven vid behandling av känsliga personuppgifter enligt artikel 9 och inbyggt dataskydd (Privacy by Design) enligt artikel 25 GDPR.

Garante konstaterade dessutom att den IT-plattform som ASUFC använde inte innehöll något system för att upptäcka anomalier, som syftade till att identifiera avvikande beteende eller risker i samband med den databehandling som de anställda utförde, till exempel i fråga om antalet åtkomster som utfördes, typ eller tidsram för dessa, vilket utgjorde en obehörig och olaglig behandling av personuppgifter i strid med artikel 32 GDPR.

Mot bakgrund av de fastställda omständigheterna ålade Garante ASUFC böter på sammanlagt 70 000 euro. Garante beordrade också att beslutet skulle offentliggöras på myndighetens webbplats som en kompletterande påföljd.

Mer information

Myndighet: Garante per la protezione dei dati personali (Garante)

Land: Italien

Lagrum: Art. 5 GDPR, art. 9 GDPR, art. 25 GDPR, art. 32 GDPR

Sanktionsavgift: 70 000 euro

Mottagare: Azienda sanitaria universitaria Friuli Centrale

Beslutsnummer: 9790365

Beslutsdatum: 2022-05-26

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.