Boka kurs

Spanien: HM Hospitales 1989 får 200 000 euro i sanktionsavgift för otillräckliga säkerhetåtgärder vid uppdatering av programvara

Linkedin Facebook X-twitter Envelope

Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 200 000 euro mot HM Hospitales 1989 S.A. för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att den registrerade lämnat in ett klagomål mot sjukhusgruppen HM Hospitales 1989 till AEPD. Den registrerade avslöjade flera säkerhetsbrister i underhållet av den programvara som HM Hospitales 1989 använde på alla sina sjukhus.

Av AEPD:s utredning framgick att programvaran ”Doctoris” användes av HM Hospitales 1989 och innehöll alla patientrelaterade uppgifter, allt från e-postadresser till känsliga uppgifter som laboratorieresultat samt politiska åsikter och ras. HM Hospitales 1989 ingick avtal med ett personuppgiftsbiträde gällande driften av databaserna, lagrings- och backupservrarna.

Utredningen visade att även om en konsekvensbedömning avseende dataskydd genomförts 2023. Revisionsföretaget hade dock inte tillgång till alla berörda uppgifter och i rapporten hänvisas endast kortfattat till it-säkerhet. HM Hospitales 1989 uppgav att sjukhusgruppen genomfört revisioner i vissa men inte alla datacenter i enlighet med sin halvårsplan för revisioner.

AEPD konstaterade att HM Hospitales 1989 infört den lägsta krypteringsnivå som krävdes för behandlingen. Denna kryptering skyddade emellertid endast systemet om kontrollen fysiskt förlorades, och utgjorde inte någon barriär vid otillbörlig tillgång till uppgifterna.

Enligt AEPD föreskriver artikel 32 GDPR en proaktiv skyldighet för HM Hospitales 1989 att regelbundet se över de tekniska och organisatoriska åtgärder som vidtagits. AEPD konstaterade att HM Hospitales 1989 underlåtit att säkerställa att åtgärderna var effektiva genom att inte genomföra omfattande revisioner på alla sina sjukhus vilket utgjorde en överträdelse av artikel 32 GDPR.

TechLaw bistår verksamheter i frågor som rör dataskydd, säkerhetsåtgärder vid personuppgiftsbehandling och behandling av känsliga hälsouppgifter. Läs mer om vår expertis inom dataskydd och integritet.

Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.

Källa: AEPD.

Relaterade nyheter

EU: EDPB antar gemensam mall för anmälan av personuppgiftsincidenter

Sverige: IMY publicerar rapport om AI-bolagens ansvarsroller enligt GDPR

EU: Kommissionen publicerar uppförandekod för märkning av AI-genererat innehåll

USA: Trump utfärdar presidentorder om avancerad AI och cybersäkerhet

EU: Kommissionen föreslår ny förordning om moln- och AI-infrastruktur

USA: AI-verktyg för kodning leder till ökade kostnader och fler produktionsfel

Tyskland: Domstol tillerkänner registrerad 3 000 euro i skadestånd för olaglig spårning via affärsverktyg på sociala medier

Sverige: NCSC publicerar rekommendationer för övergång till kvantsäker kryptografi

Sverige: Regeringen beslutar om molnpolicy för offentlig förvaltning

USA: Majoriteten av anställda använder otillåtna AI-verktyg i arbetet

Fler nyheter

Är du redo för AI-förordningen?

AI-förordningen påverkar alla verksamheter som utvecklar eller använder AI. Gör dig och dina kollegor redo för de nya kraven. Gå AI-kurs med oss.

Till våra AI-kurser