Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 1 200 000 euro mot ett sjukhus för att ha raderat en patients hälsouppgifter i strid med dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad genomgått en MR-undersökning på sjukhuset och samtidigt lämnade in flera CD-skivor med tidigare MR-bilder, så att sjukhusets medicinska personal kunde jämföra dessa med den nya undersökningen. Sjukhusets interna dokumentation bekräftade att CD-skivorna hade mottagits.
När den registrerade senare återvände för att hämta CD-skivorna kunde sjukhuset inte återlämna dem och meddelade att materialet inte längre var tillgängligt. Sjukhuset förklarade att fysiskt material som inte hämtades regelbundet kasserades, enligt interna rutiner som krävde att patienter hämtade testresultat inom en viss tid.
AEPD konstaterade att sjukhuset olagligt raderat den registrerades MR-bilder, vilket innebar hantering av känsliga hälsouppgifter utan giltigt undantag enligt artiklarna 6 och 9 GDPR. AEPD konstaterade vidare att sjukhuset saknade rutiner för inbyggt dataskydd och dataskydd som standard som säkerställer att patientuppgifter bevaras, skyddas och kan återlämnas vid behov enligt artikel 25 GDPR.
Beslutet klargör att organisationer måste säkerställa att personuppgifter, särskilt känsliga hälsouppgifter, hanteras i enlighet med principerna om laglighet samt inbyggt dataskydd och dataskydd som standard enligt GDPR.
TechLaw bistår verksamheter i frågor som rör dataskydd, personuppgiftsansvar och regelefterlevnad enligt GDPR. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: AEPD.