Prima amendă pe GDPR în Olanda este acordată unui spital
3 minute • Ana-Maria Udriste • 16 iulie 2019
Prima amendă aplicată în temeiul GDPR în Olanda vizează date extrem de sensibile
Spitalul HagaZiekenhuis este primul amendat de către autoritatea privind protecția datelor din Olanda pentru nerespectarea măsurilor de securitate și siguranță privind accesul la dosarele pacienților
Accesul la date trebuie limitat
Spitalul Haga nu a implementat în mod corespunzător măsuri tehnice și siguranță pentru a asigura confidențialitatea datelor pacienților. Acesta este rezultatul unui studiu (studiul este disponibil doar în olandeză, dar se poate citi cu Google Translate) efectuat de Autoritatea olandeză pentru protecția datelor cu caracter personal (AP).
Ultimele articole publicate:
Autoritatea a pornit investigația ca urmare a unei informații apărute că mai mulți membri ai personalului au putut accesa și consulta dosarul medical al unui pacient al spitalului, persoană publică, deși nu erau implicați în tratamentul acestuia. AP a aplicat o amendă în cuantum de 460.000 euro pentru lipsa unor garanții de securitate suficiente privind accesul la datele sensibile, respectiv datele medicale.
Amenda în sine nu e de ajuns
Pe lângă amenda de 460.000 euro, AP a aplicat spitalului și măsuri complementare (corective) de aliniere la normele GDPR. Astfel, autoritatea a obligat spitalul Haga ca, până la 2 octombrie 2019, să îmbunătățească securitatea privind datele pacienților și accesul la dosarul medical al acestora. În cazul în care spitalul nu se conformează până la acel moment, autoritatea va pune în aplicare daunele-cominatorii: 100.000 euro de plătit la fiecare 2 săptămâni, până la un maxim de 300.000 euro.
(2) Fiecare autoritate de supraveghere are toate următoarele competențe corective:
[…]
(d)
de a da dispoziții operatorului sau persoanei împuternicite de operator să asigure conformitatea operațiunilor de prelucrare cu dispozițiile prezentului regulament, specificând, după caz, modalitatea și termenul-limită pentru aceasta;Articolul 58 din GDPR
Relația confidențială medic-pacient
“AP consideră că este un lucru rău ca un spital să nu aibă bine pusă la punct siguranța internă a înregistrărilor pacientului. O amendă fermă se potrivește cu această viziune. Relația dintre un furnizor de asistență medicală și un pacient trebuie să fie complet confidențială. De asemenea, să nu părăsească pereții spitalului. Nu contează cine ești. “
Securitatea dosarelor pacienților
Un spital trebuie să ia toate măsurile tehnice și organizatorice pentru a se asigura că informațiile despre pacient sunt sigure. Spitalul Haga a luat măsuri de securitate insuficiente în două domenii:
- spitalul trebuie să verifice în mod constant cine poate consulta și acccesa dosarul pacientului. În acest fel, spitalul poate observa în timp când o persoană neautorizată consultă un dosar și să ia măsuri împotriva acesteia.
- o bună securitate implică implementarea autentificării prin cel puțin 2 factori (2 pași). Astfel, identitatea unui utilizator care să poată avea acces la un fișier din dosarul pacientului trebuie ulterior dublată, de exemplu, cu un cod sau parolă sau o combinație de dublă verificare.
Lucrezi în domeniul medical? Te-ar putea interesa și ghidul nostru gratuit pentru medici (cu formulare incluse).
Poză făcută de rawpixel.com de pe Pexels