Datatilsynet i Portugal: Bøde til portugisisk hospital på 400.000 EUR for flere brud på GDPR

17.07.2018

Hospitalet havde 985 brugere registreret som læger i hospitalets IT-system, som havde adgang til oplysninger om alle patienter på hospitalet, selvom der kun var 296 læger ansat. Iblandt brugerne var også læger, der ikke længere var tilknyttet hospitalet. Der var ingen dokumenter, som fastsatte retningslinjer for oprettelsen af brugere i IT-systemet eller beskrev sammenhængen mellem brugernes funktionelle kompetencer og deres adgang til oplysninger. Det var ikke en undskyldning, at hospitalet brugte det IT-system, som sundhedsstyrelsen stillede til rådighed for dem, da hospitalet selv var ansvarligt for at sikre, at databeskyttelseslovgivningen blev overholdt.

LOVBRUD

  • Der blev behandlet for mange personoplysninger i forhold til, hvad der var nødvendigt (princippet om dataminimering). Sanktion på EUR 150.000
  • Uvedkommende havde adgang til personoplysningerne (princippet om integritet og fortrolighed). Sanktion på EUR 150.000
  • IT-systemets opsætning og retningslinjerne for, hvordan det skulle bruges, var utilstrækkelige (kravet om at implementere af passende tekniske og organisatoriske sikkerhedsforanstaltninger). Sanktion på EUR 100.000

Formidlende omstændigheder
• Hospitalet fremhævede selv, at medarbejdere potentielt kunne have udnyttet IT-systemets utilstrækkelighed, og tilpassede sig efter det.
• Hospitalet samarbejdede med datatilsynet for at afhjælpe situationen og begrænse den skade, som hospitalets patienter kunne lide som følge af overtrædelserne.
• Hospitalet traf foranstaltninger for at bringe situationen i overensstemmelse med reglerne.
• Der var ingen tidligere overtrædelser af databeskyttelseslovgivningen.
Skærpende omstændigheder
• Der var blandt andet tale om følsomme oplysninger, herunder sundhedsoplysninger.
• Hospitalet gjorde ikke selv datatilsynet opmærksom på overtrædelserne.

Kommentarer til afgørelsen
Afgørelsen er ikke blevet offentliggjort på det portugisiske datatilsyns hjemmeside.