Hospital i Portugal fik bøder på €400.000 for at overtræde GDPR

Af Ayo Næsborg-Andersen

Nogle af de første bøder efter GDPR er blevet udstedt af det portugisiske datatilsyn, til et hospital uden for Lissabon. Selve afgørelsen er ikke offentlig tilgængelig, men ud fra hvad den internationale presse har refereret blev bøden bl.a. givet på følgende baggrund:

Baggrund for bøden

Der var ikke styr på adgangen til patientdata. Blandt andet havde 985 brugere fået tildelt adgang som ”læger”, men der var kun 296 læger ansat på hospitalet. Brugere, der ikke længere var ansat, fik ikke deres adgang inddraget, og der var kun 18 brugerkonti, der var markeret som inaktive – den seneste var blevet deaktiveret i november 2016. Derudover havde samtlige læger, uanset speciale, adgang til oplysninger om samtlige patienter, der var tilknyttet hospitalet.

Der manglede også dokumentationfor hvordan brugeradgang blev tildelt. Der var heller ikke dokumentation for hvilke informationer de forskellige typer af brugere kunne tilgå, og hvilke informationer, der var spærret.

Hospitalet havde påpeget, at de blot benyttede de systemer, som det portugisiske sundhedsministerium tilbød til offentlige hospitaler, men datatilsynet understregede, at det var hospitalets eget ansvar, at forordningen blev overholdt.

Det portugisiske datatilsyn vurderede desuden, at hospitalet havde handlet imod bedre vidende, og bevidst brudt loven.

De konkrete bøder

Hospitalet fik bøden for tre forskellige forhold i GDPR:

1. Brud på artikel 5, stk. 1, litra c, også kaldet dataminimeringsprincippet, ved at give uhindret adgang til samtlige patientoplysninger til alt for mange brugere. Dette blev straffet med en bøde på € 150.000, jf. artikel 83, stk. 5, litra a.
2. Brud på princippet om datasikkerhed i artikel 5, stk. 1, litra f, for ikke at have iværksat passende tekniske og organisatoriske foranstaltninger, der kunne hindre ulovlig adgang til personoplysninger. Dette blev også straffet med en bøde på € 150.000, jf. artikel 83, stk. 5, litra a.
3. Manglende behandlingssikkerhed, jf. art. 32, stk. 1, litra b, ved ikke at have sikret fortrolighed og integritet, og ikke have iværksat tekniske og organisatoriske foranstaltninger for at sikre passende sikkerhed. Dette inkluderede også manglende procedurer for at efterprøve og evaluere effektiviteten af de tekniske og organisatoriske foranstaltninger, og blev straffet med en bøde på € 100.000, jf. artikel 83, stk. 4.

Fastlæggelse af bødeniveau

Forhold 1 og 2 havde et maksimalt bødeniveau på 20 millioner euro, eller 4% af den samlede globale omsætning. Forhold 3 havde et maksimalt bødeniveau på 10 millioner euro, eller 2% af den samlede globale omsætning. I forhold til de maksimale bødeniveauer er der altså tale om ret lave bøder.

Det portugisiske datatilsyn tog bl.a. hensyn til følgende faktorer i fastsættelsen af bødeniveauet, jf. artikel 83, stk. 1:

• Alvoren, varigheden og omfanget af bruddet. Heriblandt formålet med databehandlingen (helbredsbehandling), og antallet af registrerede personer. Det var også relevant, at der var tale om følsomme oplysninger i form af helbredsoplysninger, som er beskyttet af artikel 9.
• Tilsynet fik kendskab til sagen igennem en avisartikel, og ikke ved at hospitalet selv indrapporterede den. Dette har tilsyneladende vejet meget tungt.
• Hospitalet havde ikke tidligere været involveret i lignende sager.
• Hospitalets villighed til at samarbejde med tilsynet for at sikre at bruddene ophørte, og følgerne blev repareret.
• Vurdering af hospitalets ansvar, herunder hvilke tekniske og organisatoriske foranstaltninger der var blevet implementeret forud for tilsynets besøg.

Derudover spillede det en stor rolle, at der ikke i Portugal (ligesom i Danmark) var tradition for at idømme offentlige virksomheder bøder for brud på persondataretten. Dette har tilsyneladende gjort, at bøden var væsentlig lavere end hvis der havde været tale om en privat virksomhed.

Ville den samme bøde blive idømt i Danmark?

Det er på nuværende tidspunkt umuligt at sige, om den samme situation ville give nøjagtig samme bøde i Danmark. Med de antal af overtrædelser, der var tale om, og i betragtning af, at hospitalet tilsyneladende havde handlet mod bedre vidende og bevidst overtrådt GDPR, burde en tilsvarende sag i Danmark dog også resultere i en betydelig bøde.

Læs mere

Som sagt er afgørelsen ikke offentlig tilgængelig, men man kan bl.a. læse mere om den (på engelsk) her: https://iapp.org/news/a/first-gdpr-fine-in-portugal-issued-against-hospital-for-three-violations/