Den nederländska dataskyddsmyndigheten Autoriteit Persoonsgegevens (“AP”) har bötfällt vårdgivaren OLVG med 440 000 euro för brott mot artikel 32 i dataskyddsförordningen (“GDPR”).
Av beslutet framgår att OLVG åren 2018 och 2020 vidtagit otillräckliga säkerhetsåtgärder för att förhindra obehörigas tillgång till medicinska journaler. Enligt AP har OLVG inte gjort tillräckliga kontroller av vem som haft tillgång till vilken fil och inte heller kontrollerat att sjukhusets it-system haft tillräcklig säkerhet. Detta har bland annat resulterat i att arbetande studenter och andra anställda haft möjlighet att komma åt patientjournaler utan att detta var nödvändigt för deras arbete. Förutom medicinska journaler innehöll patientjournalerna också de registrerades personnummer, adresser och telefonnummer. Enligt AP har OLVG därmed agerat i strid med artikel 32 i GDPR genom att sjukhuset inte vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med personuppgiftsbehandlingen.