Login
Logo de functionaris

Nieuws

juni 01, 2018

Portugees ziekenhuis krijgt boete wegens het schenden van 'privacy-by-design'

De Portugese privacytoezichthouder (CNPD) heeft in juli 2018 een boete van €400.000 aan een ziekenhuis in de hoofdstad Lissabon opgelegd wegens het schenden van de Algemene Verordening Gegevensbescherming (AVG). Het desbetreffende ziekenhuis schond het ‘beginsel van minimale gegevensverwerking’ en ‘het beginsel van integriteit en vertrouwelijkheid’. Daarnaast had het ziekenhuis onvoldoende beveiligingsmaatregelen genomen om persoonsgegevens te beveiligen.

Beginselen van dataminimalisatie en integriteit & vertrouwelijkheid

Het beginsel van minimale gegevensverwerking is neergelegd in artikel 4 lid 1 onder c AVG en houdt in dat het aantal verzamelde persoonsgegevens zo veel mogelijk moet worden beperkt tot wat absoluut noodzakelijk is voor de doeleinden waarvoor je de gegevens wil gebruiken. De artsen en verplegers in het desbetreffende ziekenhuis konden – ongeacht of ze behandelaars waren – de medische gegevens van alle patiënten inzien. Daarnaast hadden negen ICT-medewerkers zichzelf ook deze rechten toegekend. De CNPD vond deze handelswijze in strijd met de AVG en bestrafte deze inbreuk met een boete van €150.000.

Daarnaast was de CNPD van mening dat het toegang verschaffen tot de medische gegevens van patiënten door alle doctoren en verplegers een schending opleverde van het in artikel 4 lid 1 onder f AVG genoemde beginsel van ‘integriteit en vertrouwelijkheid’. Doordat een grote groep doctoren ongeoorloofde toegang had tot de medische gegevens, bestond er een verhoogd risico dat er zonder een gerechtvaardigde grondslag gegevens werden verwerkt. Deze inbreuk werd ook bestraft met een boete van €150.000.

Beveiligingsmaatregelen

De derde inbreuk op de AVG die werd geconstateerd door de toezichthouder was dat het ziekenhuis structureel de beveiliging van de persoonsgegevens niet op orde had. Artikel 32 AVG schrijft namelijk voor dat er passende technische en organisatorische maatregelen moeten worden genomen om de gegevens die binnen het ziekenhuis werden gebruikt, te beveiligen.

Het door het ziekenhuis gebruikte systeem voor patiëntendossiers had niet de ingebouwde verplichting om de inloggegevens na verloop van tijd aan te vernieuwen. Daarnaast was de toezichthouder van mening dat het ziekenhuis onvoldoende technische en organisatorische maatregelen had genomen om de (gevoelige medische) gegevens te beschermen. Hiervoor werd een boete van €100.000 opgelegd.

Recente berichten

AP legt boete op vanwege gebruik van vingerafdrukscanners op de werkvloer
Duitse toezichthouder legt boete van €14.5 miljoen euro op aan woningbouwbedrijf
Bulgarije straft nationale belastingdienst met miljoenenboete voor gigantisch datalek
Onjuist gebruik van toestemming als grondslag: PwC krijgt 150.000 euro boete
Franse privacywaakhond beboet verzekeraar voor het schenden van de AVG
Autoriteit persoonsgegevens straft HagaZiekenhuis wegens lekken van patiëntendossier Barbie
ICO pakt door: opnieuw van plan om megaboete op te leggen aan Marriott Inc.
ICO voornemens monsterboete van €205 miljoen op te leggen aan British Airways
Roemeense toezichthouder legt boete op aan AVG-adviseur wegens het overtreden van de AVG
Roemeense toezichthouder legt opnieuw AVG-boete op, ditmaal aan een hotel

Contact

De Functionaris
Ligusterbaan 16a
2908 LW Capelle aan den IJssel

KvK-nummer: 69175829
btw-nummer: NL 8577.68.190.B01

info@defunctionaris.nl
0184 - 78 40 10 

Informatie

Algemene voorwaarden
Privacyverklaring
Cookieverklaring
Proclaimer

 

@DeFunctionaris

/DeFunctionaris

/DeFunctionaris

Hét portaal waarbinnen jouw onderneming aan de AVG voldoet.

Van verwerkingsregister tot beveiligingsincident, krijg privacy onder controle met onze tools in uw eigen online omgeving.

Cookievoorkeuren

Powered by Marble Systems