Prva kazna za bolnicu zbog GDPR-a izdana u Portugalu

//Prva kazna za bolnicu zbog GDPR-a izdana u Portugalu

Prva kazna za bolnicu zbog GDPR-a izdana u Portugalu

Bolnica iz Barreira u Portugalu, Centro Hospitalar Barreiro Montijo je imala dvojbenu čast da bude prvi subjekt tog tipa, koji je dobio kaznu zbog nepoštivanja GDPR-a.

Razlozi kažnjavanja

Portugalski ekvivalent hrvatskog AZOP-a, Comissão Nacional de Protecção de Dados (CNPD) kaznio je bolnicu zbog niza propusta.

Jedan od najvećih je bio taj što je zdravstvenim podacima pacijenata moglo pristupiti više ljudi koji za to nisu imali valjani razlog. U bolničkom sustavu postojalo je 985 profila zaposlenika preko kojih se moglo pristupiti osjetljivim podacima, a s druge strane u bolnici je  bilo samo 296 doktora koji su ovlašteni za takav pristup. Postojali su čak i profili osoba koje više nisu radile u bolnici. Osobe koje su imale pristup uključivale su i devet socijalnih radnika, koji nisu imali nikakve potrebe za takvim pristupom.

Problem je bio i u tome što nije postojao razdvojeni sustav pristupa podacima, što je u osnovi značilo da svaki doktor, bez obzira na specijalizaciju, može pristupiti svim podacima svih pacijenata u bolnici. To je bilo direktno kršenje načela smanjenja podataka.

Ne treba ni spomenuti da bolnica nije imala razrađene i dokumentirane procedure za postupanje s podacima.

Fascinantna činjenica je bila i to što je CNPD saznao za propuste iz novina, a ne na temelju neke žalbe ili prijave.

Obrana

Pokušavajući se obraniti od optužbi bolnica je izjavila da je koristila isti IT sustav koji joj je doznačilo Ministarstvo zdravlja, ali CNPD je zaključio da je svako tijelo samo zaduženo za svoju usklađenost s GDPR-om, što znači da se bolnica trebala pobrinuti da prilagodi sustav na način da bude usklađen i siguran.

Zaključak

Za propuste je bolnica „nagrađena“ sa sveukupno 400 000 eura kazne, što još uvijek nije ni blizu od maksimalne kazne za takve prekršaje, od 20 000 000 eura ili 4% godišnjeg prometa. Blagost pri kažnjavanju opravdana je time što je bolnica odmah surađivala s nadzornim tijelom i brzo primijenila potrebne modifikacije, te je u ekspresnom roku uskladila svoje poslovanje s GDPR-om.

 

Source: pixabay.com
By |2019-03-12T14:42:30+02:0012 ožujka, 2019|Financial|Komentari isključeni za Prva kazna za bolnicu zbog GDPR-a izdana u Portugalu