:

Szerző: Habók Lilla

2018. október 24. 12:23

GDPR: 400 ezer eurós bírságot kapott egy portugál kórház

A helyi adatvédelmi hatóság szerint a kórház több ponton megsértette az adatvédelmi rendeletet a betegek adatkezelésével kapcsolatban, ezért 400 ezer eurós bírságot állapított meg.

Bírságot szabott ki a portugál adatvédelmi hatóság (Comissão Nacional de Proteção de Dados, röviden: CNPD) a Portugáliában található Barreiro kórházra a betegadatokhoz való jogosulatlan hozzáférés lehetővé tétele miatt - írja a portugál Publico. A CNPD még július közepén kezdte a vizsgálatot, amelynek eredményeként 400 ezer eurós bírságot állapított meg. Az összeg több tételből tevődik össze az Európai Unió általános adatvédelmi rendeletének (GDPR) különböző pontjainak megsértése következtében. Az intézmény a jogosulatlannak tartott bírság miatt a bírósághoz akar fordulni felülvizsgálatért.

A portugál állami kórház a betegek adatait a saját rendszerében tárolta, de ezen belül a CNPD szerint nem megfelelően kezelte a jogosultságokat. Így az adatokhoz legalább kilenc olyan személy is hozzáférhetett, akik egyáltalán nem rendelkeznek orvosi végzettséggel, mint például szociális munkások. Továbbá a rendszerben összesen 985 felhasználó regisztrált orvos szerepkörben, miközben az intézményben mindössze csak 296 doktor dolgozik. Ezenkívül a portugál hatóság szerint a kórház a hozzá tartozó betegadatokat nem különítette el megfelelően más kórházak archív adataitól, és a hozzáférést biztosító autentikációs folyamat nem volt megfelelő az adatbázis kapcsán.

barreiro_korhaz

A szabálytalanságokra egy portugál orvosi egyesület hívta fel a hatóság figyelmét, mivel értesült róla, hogy nem orvosi végzettséggel rendelkezők is hozzáférhetnek az intézményben a klinikai adatokhoz. Végül a hatóság vizsgálatba kezdett, és a fent említett szabálytalanságokat állapította meg. A CNPD szerint a kórház a klinikai adatok hozzáférhetőségével kapcsolatban megsértette a GDPR integritási és bizalmas jellegének elvét, valamint az adatminimalizáció elvét, amiért 150-150 ezer eurós bírságot ítélt meg.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig

Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Az indoklás szerint a kórház semmilyen intézkedést nem tett a jogosulatlan hozzáférés megakadályozására, és nem különböztetett meg olyan csoportokat, akik például csak bizonyos előre meghatározott esetekben férhetnek hozzá az adatokhoz. A hatóság a vizsgálat során egy tesztet is végrehajtott, amelyben egy "technikai profilt" hozott létre, majd megállapította, hogy valóban korlátlanul hozzáférhetett minden beteg klinikai adataihoz - tehát nem volt szabályozva a jogosultság. A további 100 ezer eurós bírság pedig abból következik, hogy a hatóság szerint az adatkezelő a rendszerén belül általában véve sem tudja garantálni az integritást és a bizalmasságot.

A Barreiro kórház elismerte az intézményben dolgozó orvosok számánál magasabb felhasználói profil meglétét, de indoklása szerint ezek csak "ideiglenes profilok" az egyes szolgáltatások miatt megbízott orvosoknak. A kórház összességében nem ért egyet a CNPD bírságával, és megkérdőjelezi, hogy egyáltalán a helyi adatvédelmi hivatal jogosult-e bírság kiszabására a kórházzal szemben. Úgyhogy az intézmény igazgatótanácsa úgy tervezi, hogy a határozat bírósági felülvizsgálatát kérvényezi.

a címlapról