Databeskyttelsesforordningen har nået nye højder
Der er netop udstedt en bøde på 400.000 € for overtrædelse af databeskyttelsesforordningen. Bødeniveauet i forordningen er derfor højt fra start.
400.000 € eller ca. 2,9 mio. kr. er størrelsen på den bøde, som det portugisiske datatilsyn netop har udstedt til et offentligt portugisisk hospital, Barreiro Hospital, der ligger små 40 km fra hovedstaden Lissabon. Det portugisiske datatilsyn, Comissão Nacional de Protecão de Dados (CNPD) modtog en anmeldelse fra den portugisiske lægeforening. Dette afstedkom, at CNPD førte tilsyn hos Barreiro Hospital i juli i år.
Under tilsynet kom det blandt andet frem, at både læger og personer uden medicinsk baggrund havde adgang til hospitalets patienters kliniske data. Derudover fandt CNPD hele 985 aktive brugere med en adgangsprofil til patienters kliniske data, til trods for at kun 296 af hospitalets ansatte havde medicinsk baggrund. Barreiro Hospital forklarede det høje antal af adgangsgivende profiler med, at de fleste af profilerne fungerede som midlertidige profiler til servicebrug. Dette synes dog at være irrelevant for CNPD, da forklaringen i hvert fald ikke havde nogen reducerende effekt på bødens størrelse.
Udover hospitalets manglende adgangsbegrænsning var patienternes data heller ikke tilstrækkeligt adskilt fra et andet hospitals arkiverede personoplysninger, ligesom de sikkerhedsforanstaltninger, som hospitalet havde implementeret, heller ikke var tilstrækkelige.
Overordnet fandt CNPD ved deres tilsyn frem til følgende brud på databeskyttelsesforordningen:
- Overtrædelse af principperne om fortrolighed og integritet.
- Overtrædelse af princippet om dataminimering.
- Manglende evne til at sikre fortrolighed og integritet af den behandlede data.
Heraf udløste de to første overtrædelser en bøde på hele 150.000 € (svarende til ca. 1,1 mio. kr.) pr. overtrædelse, mens den sidste overtrædelse udløste en bøde på 100.000 € (svarende til ca. 746.000 kr.).
Det særlige ved denne bøde er, at den er udstedt efter den 25. maj 2018, hvor databeskyttelsesforordningen fandt anvendelse fra. Sagen vidner om et relativt højt bødeniveau, og hvilken ”afsmittende” effekt, sagen får i forhold til de danske bødetakster, er svær at sige. Det må dog forventes, at man vil tilstræbe et fælles europæisk bødeniveau, og at det derfor bestemt ikke kan udelukkes, at sagen eller bødestørrelsen kan få en betydning i andre EU-lande, herunder også i Danmark.
Er du i tvivl om, hvorvidt din organisation overholder reglerne i persondataforordningen, er du altid velkommen til at kontakte os for sparring og rådgivning.
Nyheder
Se flereTilmeld dig
HjulmandKaptains
Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.