GDPR: 400 ezer eurós bírságot kapott egy portugál kórház

Bírságot szabott ki a portugál adatvédelmi hatóság (Comissão Nacional de Proteção de Dados, röviden: CNPD) a Portugáliában található Barreiro kórházra a betegadatokhoz való jogosulatlan hozzáférés lehetővé tétele miatt - írja a portugál Publico. A CNPD még július közepén kezdte a vizsgálatot, amelynek eredményeként 400 ezer eurós bírságot állapított meg. Az összeg több tételből tevődik össze az Európai Unió általános adatvédelmi rendeletének (GDPR) különböző pontjainak megsértése következtében. Az intézmény a jogosulatlannak tartott bírság miatt a bírósághoz akar fordulni felülvizsgálatért.

A portugál állami kórház a betegek adatait a saját rendszerében tárolta, de ezen belül a CNPD szerint nem megfelelően kezelte a jogosultságokat. Így az adatokhoz legalább kilenc olyan személy is hozzáférhetett, akik egyáltalán nem rendelkeznek orvosi végzettséggel, mint például szociális munkások. Továbbá a rendszerben összesen 985 felhasználó regisztrált orvos szerepkörben, miközben az intézményben mindössze csak 296 doktor dolgozik. Ezenkívül a portugál hatóság szerint a kórház a hozzá tartozó betegadatokat nem különítette el megfelelően más kórházak archív adataitól, és a hozzáférést biztosító autentikációs folyamat nem volt megfelelő az adatbázis kapcsán.

A szabálytalanságokra egy portugál orvosi egyesület hívta fel a hatóság figyelmét, mivel értesült róla, hogy nem orvosi végzettséggel rendelkezők is hozzáférhetnek az intézményben a klinikai adatokhoz. Végül a hatóság vizsgálatba kezdett, és a fent említett szabálytalanságokat állapította meg. A CNPD szerint a kórház a klinikai adatok hozzáférhetőségével kapcsolatban megsértette a GDPR integritási és bizalmas jellegének elvét, valamint az adatminimalizáció elvét, amiért 150-150 ezer eurós bírságot ítélt meg.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

Az indoklás szerint a kórház semmilyen intézkedést nem tett a jogosulatlan hozzáférés megakadályozására, és nem különböztetett meg olyan csoportokat, akik például csak bizonyos előre meghatározott esetekben férhetnek hozzá az adatokhoz. A hatóság a vizsgálat során egy tesztet is végrehajtott, amelyben egy "technikai profilt" hozott létre, majd megállapította, hogy valóban korlátlanul hozzáférhetett minden beteg klinikai adataihoz - tehát nem volt szabályozva a jogosultság. A további 100 ezer eurós bírság pedig abból következik, hogy a hatóság szerint az adatkezelő a rendszerén belül általában véve sem tudja garantálni az integritást és a bizalmasságot.

A Barreiro kórház elismerte az intézményben dolgozó orvosok számánál magasabb felhasználói profil meglétét, de indoklása szerint ezek csak "ideiglenes profilok" az egyes szolgáltatások miatt megbízott orvosoknak. A kórház összességében nem ért egyet a CNPD bírságával, és megkérdőjelezi, hogy egyáltalán a helyi adatvédelmi hivatal jogosult-e bírság kiszabására a kórházzal szemben. Úgyhogy az intézmény igazgatótanácsa úgy tervezi, hogy a határozat bírósági felülvizsgálatát kérvényezi.