AVG-boete van 400.000 Euro voor Portugees ziekenhuis dat onzorgvuldig met patiëntgegevens omgaat. Uitspraak interessant voor Limburg en rest Europa
Stel dat het VieCuri Medisch Centrum in Venlo inderdaad onzorgvuldig met patientgegevens is omgegaan…
Stel dat de Functionaris Gegevensbescherming (FG) inderdaad niet volgens de regels een datalekprocedure in gang heeft gezet…
Hoe hoog zou de boete die de Autoriteit Persoonsgegevens (AP) dan oplegt dan kunnen uitvallen?
Tot dusver was er nog geen voorbeeld. Geen jurisprudentie. Niet in Nederland en ook niet elders in Europa. Maar daar is deze week toevallig verandering in gekomen.
Portugese Autoriteit Persoonsgegevens legt eerste boete op aan ziekenhuis
Het Centro Hospitalar Barreiro Montijo ziekenhuis in de buurt van Lissabon zou zo onzorgvuldig zijn omgegaan met patiëntengegevens dat de Portugese Autoriteit Persoonsgegevens, de CNPD, deze week een boete van 400.000 euro heeft opgelegd.
Het ziekenhuis heeft aangekondigd de boete te gaan aanvechten bij de rechter.
Die rechtzaak lijkt uitstel van executie, omdat de Portugese toezichthouder een hele duidelijke concrete overtreding van de Europese privacywet heeft vastgesteld.
Honderden onbevoegden hebben toegang tot patientgegevens
“Alleen professionals hebben toegang tot uw gezondheidsinformatie in onze database”, staat er in de Privacy Policy op de website van Centro Hospitalar Barreiro Montijo.
Volgens de Portugese toezichthoudende autoriteit CNPD komt de beveiliging van de patientgegevens in het systeem echter niet eens in de buurt van de vereisten van de Algemene Verordening Gegevensbescherming.
In het Portugese ziekenhuis werken 295 artsen, terwijl er 995 mensen “dokterstoegang” hadden tot de patiëntgegevens.
Datalek in Portugees ziekenhuis werd gemeld door medische vereniging
Het datalek kwam al in juni naar buiten tijdens een inspectie van de CNPD. De toezichthouder kwam in actie na een klacht van een medische vereniging.
Uit het onderzoek bleek dat onder het onverklaarbaar hoge aantal mensen dat zonder goede verklaring toegang had tot de gevoelige medische informatie zich ten minste negen vertegenwoordigers van sociale diensten bevonden.
Ook mensen die alleen als “technische medewerkers” geregistreerd stonden, konden volgens het CNPD de patiëntendossiers inzien.
Portugees ziekenhuis heeft verplichtingen AVG ‘bewust veronachtzaamd’
De CNPD besloot deze week, vier maanden na het eigen onderzoek, op basis van de duidelijke bewijzen tot het opleggen van de eerste zware boete sinds de AVG van kracht geworden is. Het Barreiro-Montijo ziekenhuis heeft volgens de Portugese toezichthouder CNPD de verplichtingen die voortvloeien uit de AVG opzettelijk veronachtzaamd.
Het Barreiro-Montijo ziekenhuis wil juridische stappen ondernemen tegen de beslissing. Enerzijds zijn er twijfels over de bevoegdheid van de autoriteit om een dergelijke sanctie op te leggen. Aan de andere kant verdedigt de kliniek zijn acties. Zo zou er bijvoorbeeld een groot aantal inlogaccounts gecreëerd zijn in verband met tijdelijke contracten met artsen die slechts kort in het ziekenhuis hebben gewerkt.
Ziekenhuis had accounts tijdelijke artsen na vertrek meteen moeten verwijderen
Het CNPD reageerde daar echter onmiddellijk op met de mededeling na het vertrek van de tijdelijke artsen hun inlogaccounts onmiddelijk hadden moeten worden geschrapt.
Het is volgens de Portugese toezichthouder ook niet te rechtvaardigen dat maatschappelijk werkers of zelfs technici informatie over de gezondheidstoestand van de patiënten kunnen inzien.
Uitspraak in Portugal interessant voor heel Europa
De omvang van de beschuldigingen en de hoogte van de opgelegde boete maken de zaak van de Portugese kliniek interessant voor gegevensbeschermers en bedrijven in heel Europa.
De rechtszaak die het Centro Hospitalar Barreiro Montijo tegen de CNPD wil aanspannen kan leiden tot jurisprudentie die duidelijkheid brengt in soortgelijke zaken. Privacyspecialisten zijn bijzonder benieuwd naar de intrepretatie die een rechter geeft in deze zaak.