Den nederländska dataskyddsmyndigheten Autoriteit Persoonsgegevens (“AP”) har bötfällt en ortodontisk klinik med 12 000 euro för brott mot artikel 32.1 dataskyddsförordningen (“GDPR”).
Av beslutet framgår att kliniken tillhandahållit en webbplats med ett registreringsformulär för ny patienter (mestadels barn). Webbformuläret innehöll alla typer av personuppgifter inklusive uppgifter om föräldrar, allmänläkare samt tandläkare och försäkringsbolag. Uppgifterna som patienterna noterade i formuläret skickades till kliniken via en okrypterad och därmed osäker anslutning. Detta innebar enligt AP att det funnits en risk för att obehöriga tredjeparter kunde få tillgång till patienterans personuppgifter. Kliniken har därmed inte vidtagit lämpliga tekniska åtgärder för att skydda patienterans personuppgifter enligt artikel 32.1 GDPR.
Enligt AP har kliniken invänt mot sanktionsavgifterna. AP menar dock att invändningen är ogrundad, och ett överklagande ligger i domstol för avgörande.