Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 70 000 euro mot Azienda sanitaria universitaria Friuli Centrale (ASUFC) för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad lämnat in ett klagomål till Garante. Enligt klagomålet hade anställda vid ett sjukhus som tillhörde ASUFC, där den registrerade arbetade, fått tillgång till den IT-plattform som ASUFC använde för att behandla patienters hälsouppgifter utan att denna tillgång var motiverad av terapeutiska och/eller kliniska behov. Enligt den registrerade gjorde konfigurationen av den IT-plattform för lagring av hälsouppgifter som användes av ASUFC:s inrättningar det möjligt för vårdpersonal att få tillgång till personuppgifter som rörde alla patienter som fysiskt befann sig på sjukhuset vid den aktuella tidpunkten, men även patienter som inte befann sig på ASUFC:s vårdinrättning.
Som ett resultat av den utförda granskningen konstaterade Garante att tillgång till patientuppgifter i ASUFC:s vårdinrättning alltid tillåtits för anställda, vilket inte säkerställde att endast den vårdpersonal som faktiskt behandlade en viss patient kunde få tillgång till dennes personuppgifter, vilket strider mot de grundläggande principerna om laglighet, korrekthet och öppenhet och integritet och konfidentialitet i artiklarna 5.1 (a) och 5.1 (f), samt kraven vid behandling av känsliga personuppgifter enligt artikel 9 och inbyggt dataskydd (Privacy by Design) enligt artikel 25 GDPR.
Garante konstaterade dessutom att den IT-plattform som ASUFC använde inte innehöll något system för att upptäcka anomalier, som syftade till att identifiera avvikande beteende eller risker i samband med den databehandling som de anställda utförde, till exempel i fråga om antalet åtkomster som utfördes, typ eller tidsram för dessa, vilket utgjorde en obehörig och olaglig behandling av personuppgifter i strid med artikel 32 GDPR.
Mot bakgrund av de fastställda omständigheterna ålade Garante ASUFC en sanktionsavgift på sammanlagt 70 000 euro. Garante beordrade också att beslutet skulle offentliggöras på Garante:s webbplats som en kompletterande påföljd.
TechLaw bistår verksamheter i frågor som rör dataskydd, behandling av hälsouppgifter och inbyggt dataskydd. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: Garante.