; ;
SMV-PortalBæredygtighedsportalCarnet & certifikater#sammenombørsenOm osPresseNyhedsbreveOK2023EN
Gemt

Portugisisk hospital får millionbøde for brud på GDPR

Det koster et portugisisk hospital en bøde på 400.000 euro, at de bl.a. ikke havde sørget for at begrænse adgangen til patienternes personoplysninger.

Nyhed

DANSK ERHVERV | PERSONALE - 8. NOVEMBER 2018

Sagen kort
Det portugisiske datatilsyn, Comissão Nacional de Protecção, har udstedt en anseelig bøde til det offentlige portugisiske hospital, Centro Hospitalar Barreiro Montijo, på i omegnen af 3 millioner danske kroner for manglende overholdelse af grundlæggende principper i EU’s persondataforordning.

Det portugisiske datatilsyn havde foretaget sit tilsyn af hospitalet på baggrund af en anmeldelse, de havde modtaget fra den portugisiske lægeforening.

Unødvendig adgang til personoplysninger 
Under tilsynet kom det frem, at medarbejdere med både medicinsk og ikke-medicinsk baggrund havde adgang til patienternes kliniske data. Hospitalet havde registreret 985 brugerprofiler i deres system, hvoraf det kun var 296 af disse, der havde en medicinsk baggrund.

Utilstrækkelig sikkerhed
Under tilsynet kom det også frem, at hospitalet ikke havde sørget for at adskille patienternes personoplysninger fra et andet hospitals arkiverede personoplysninger, ligesom hospitalet ikke havde sørget for at implementere de nødvendige sikkerhedsforanstaltninger.

Sagens afgørelse
Det portugisiske datatilsyn lagde i deres afgørelse til grund, at hospitalet havde overtrådt persondataforordningen i form af følgende forhold:

  • Overtrædelse af principperne om fortrolighed og integritet.
  • Overtrædelse af princippet om dataminimering.
  • Manglende evne til at sikre fortrolighed og integritet af den behandlede data.

De første to overtrædelser takserede datatilsynet til to bøder af 150.000 euro. Den sidste overtrædelse blev takseret til en bøde på 100.000 euro.

Dansk Erhverv vurderer
Afgørelsen fra det portugisiske datatilsyn er interessant, idet den er blandt de første afgørelser, som er truffet efter, at EU’s persondataforordning trådte i kraft i EU den 25. maj 2018.

Det virksomheden (hospitalet) gjorde galt var blandt, at man som dataansvarlig ikke havde sørget for at gennemføre "passende tekniske og organisatoriske foranstaltninger" for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesreglerne. Blandt andet havde man ikke sørget for at begrænse adgangen til patienternes personoplysninger. 

Det er ikke givet, at bøder, som udstedes i Danmark, vil blive udmålt i samme størrelsesorden, men eftersom et af hensynene bag persondataforordningen er at opnå en fælles beskyttelse af persondata, kan det ikke udelukkes, at afgørelsen vil have en afsmittende effekt på det danske datatilsyns praksis.