GDPR: Pokuta pro holandskou nemocnici

V Evropě se pomalu objevují první případy, ve kterých byly uděleny pokuty v souvislosti s porušováním pravidel ochrany osobních údajů ve zdravotnictví. Jedním z příkladů je pokuta, udělená holandským úřadem pro ochranu osobních údajů (Autoriteit Persoonsgegevens) nemocnici Haga.

Pokuta v celkové výši 460.000 Euro byla udělena podle dostupných informací za nedostatečnou vnitřní ochranu osobních údajů pacientů, přesněji za to, že nemocnice nepřijala dostatečná odpovídající opatření, aby zabránila neoprávněnému přístupu ke zdravotním informacím pacientů.

Nemocnice nezavedla tzv. dvou-faktorové ověření osoby, která má k informacím přístup a nepřijala dostatečná kontrolní opatření k tomu, aby neoprávněný přístup ke zdravotnické dokumentaci včas odhalila.

Ukázalo se, že desítky pracovníků nemocnice zbytečně nahlížely do zdravotnické dokumentace známé holandské osoby, v nemocnici léčené. To bylo podnětem k zahájení kontroly. Ta ukázala, že nemocnice ve svém vnitřním systému dostatečně nekontroluje, kdo přistupuje k jaké zdravotnické dokumentaci. Díky tomu nezjistili včas, že k určité zdravotnické dokumentaci přistupuje nezvykle mnoho osob. Současně neměla nemocnice dostatečně vyřešenu otázku identifikace osob, které ke zdravotnické dokumentaci přistupují, například kombinací průkazu pracovníka a hesla.

Aby úřad přiměl nemocnici k nápravě, rozhodl o tom, že pokud nemocnice zabezpečení osobních dat pacientů do konce září nezlepší, bude dále platit pokutu ve výši 100.000 Euro každé dva týdny až do výše 300.000 Euro. Nemocnice oznámila, že požadovaná opatření přijme.

5. srpna 2019, MUDr. Milan Cabrnoch, MBA

zdroj:

www.huntonprivacyblog.com

www.autoriteitpersoonsgegevens.nl