162 milliós bírság egy amsterdami kórháznak
„Minden betegnek jogos elvárása, hogy amit az orvosával bizalmasan közöl, az kettejük között marad.” – ezzel, és ehhez hasonló mondatokkal bírálta a Holland Adatvédelmi Hatóság (AP) alelnöke az amsterdami OLVG kórház adatkezelését, melynek hiányosságai miatt 2021. február 11-én 440.000 eurós (~162M Ft) bírságot szabott ki az intézményre.
Külső szemlélőként úgy tűnik, a holland hatóság eddig is kiemelt figyelmet fordított az egészségügyi szektor személyesadat-kezelésére, elmondásuk szerint ez az iparág rendszeresen a három legproblémásabb terület között van adatvédelmi szempontból. 2020-ban mi is írtunk arról az esetről, amikor egy USB meghajtó miatt adatvédelmi incidens történt egy másik intézménynél.
Jelen esetben a GDPR kétszeres megsértéséért bírságolt a Hatóság. A vizsgálatot azután kezdték meg, hogy egy állampolgár bejelentést tett, illetve a média is beszámolt olyan esetekről, melyekben illetéktelenül fértek hozzá páciensek adataihoz. A vizsgálat lezárását követően az AP a következő két hiányosságot emelte ki:
- Minden kórháznak nyilvántartást kell vezetnie arról, hogy melyik páciens adataihoz milyen személyek férnek hozzá, szintén rendszeresen kell ellenőriznie ezen személyek illetékességét. Bár az OLVG nyilvántartotta az adatokhoz való hozzáféréseket, nem ellenőrizte, hogy ezen személyek jogosultak lettek volna-e egyáltalán azokat megtekinteni.
- A megfelelő biztonsági szint azt jelenti, hogy legalább kétfaktoros azonosításon kell átesnie annak, aki a fájlokat meg kívánja tekinteni. Erre jó példa lehet egy jelszó és egy dolgozói igazolvány egyidejű használata. A kórházon kívüli hozzáférések esetében az OLVG ugyan megkövetelte a kétfaktoros azonosítást, ugyanezt a gyakorlatot viszont nem alkalmazta az intézményen belül.
Valamennyi adatkezelés során különösen fontos a hozzáférési jogosultságok pontos meghatározása és érvényesítése. Ahogy egy szervezetben nem elfogadható, hogy a munkavállalók megismerjék egymás olyan adatait, amelyekhez munkakörükből adódóan nincs közük (bérszámfejtéshez, adózáshoz kapcsolódó adatok, egészségügyi adatok stb.), úgy egy kórházban is elfagadhatatlan, hogy bárki hozzáférhessen a betegek személyes és különleges személyes adataihoz.
A Hatóság döntésében felhívta a figyelmet, hogy az egészségügy adatvédelmi szempontból az egyik legfontosabb ágazat, ezért is fordítanak rá kiemelt figyelmet. Különösen a Covid-19 járvány miatt a páciensek az elmúlt évben még a korábbinál is több személyes adatot osztottak meg egészségügyi intézményekkel, ezért szükségszerű, hogy a megnövekedett adatmennyiségre a kórházak robusztusabb biztonsági és szervezeti intézkedésekkel válaszoljanak.
Az OLVG már a Hatóság vizsgálata során elkezdte adatkezelési gyakorlatainak felülvizsgálatát, melyet a bírság kiszabásának időpontjára sikeresen el is végeztek. Az új rendszer segítségével most már a kórház területén belül is alkalmazzák a kétlépcsős azonosítást. Az OLVG nem fellebbezett az AP döntése ellen, a bírság mértékét és annak fizetési feltételeit elfogadta.