De Portuguese privacywaakhond heeft een Portugees ziekenhuis een boete van 400.000 euro gegeven voor twee overtredingen van de General Data Protection Regulation (GDPR). Het ziekenhuis gaat nog in beroep tegen de beslissing en zou zelfs een rechtszaak kunnen aanspannen.

Dat meldt de Portugese publicatie Publico vandaag. De Portugese privacywaakhond (CNPD) gaf een boete voor twee overtredingen van GDPR. Eén boete bedroeg 300.000 euro, de ander 100.000 euro. Dat is veel lager dan de maximale boete die opgelegd kan worden, van 20 miljoen euro (of maximaal 4 procent van de wereldwijde omzet) van een organisatie.

De overtredingen

Het Barreiro-ziekenhuis bleek negen sociaal werkers toegang te hebben gegeven tot klinische gegevens van patiënten. Verder bleken 985 gebruikers een account te hebben met dezelfde toegang als een arts, al werken er slechts 296 artsen bij het ziekenhuis.

Voor het niet respecteren van de privacy van patiënten werd een boete van 300.000 euro opgelegd, voor de gebrekkige bescherming van data werd een boete van 100.000 euro opgelegd. “Het Centro Hospitalar Barreiro Montijo (CHBM) volgt de veronderstellingen van de National Data Protection Commission (CNPD) op dit gebied niet”, aldus de directie van het ziekenhuis. “We bereiden momenteel juridische stappen voor.”

Voorzichtige aanpak

Toch lijkt de CNPD zeker van zijn zaak. Een proef liet namelijk zien dat een testprofiel van de systemen van het ziekenhuis “onbegrensde” toegang tot gegevens van patiënten gaf. Het ziekenhuis zou erkend hebben dat er ongebruikte profielen op de systemen, maar verklaarde dat het “tijdelijke profielen” waren voor artsen die op contractbasis werken.

De boete is een van de eerste GDPR-boetes die sinds de wetgeving op 25 mei van kracht werd is uitgedeeld. Dat deze relatief laag is, laat zien dat de aanpak nog relatief voorzichtig is.