top of page
Foto van schrijverOlivier Sustronck

GDPR sancties in de medische sector

“De tijd van sit back and relax over GDPR is voorbij”. Dat waren de woorden van David Steven, de kersvers benoemde voorzitter van de Gegevensbeschermingsautoriteit (voorheen Privacycommissie). En hij heeft er zin in!


De Gegevensbeschermingsautoriteit (afgekort GBA) heeft aangekondigd een inhaalbeweging te maken ten opzichte van onze buurlanden, waar de regels wél reeds serieus worden genomen. Zo waren er in Nederland in 2018 21.000 meldingen van datalekken. In België waren er 442. In alle ons omringende landen vonden veelvuldig controles plaats en werden boetes uitgedeeld. Een 200.000 tal zaken zouden momenteel in onderzoek zijn en er werden reeds enkele honderden boetes uitgeschreven. Niet alleen giganten als Google mochten hierbij een (stevige) boete ontvangen, maar vooral ondernemingen die gevoelige persoonsgegevens verwerken en in het bijzonder ondernemingen in de medische sector, werden geviseerd.


Toegangsbeperking en controle voor gebruik medische gegevens


Wat opvalt is dat in de medische sector, veel boetes worden uitgeschreven wegens een te laks toegangsbeleid. Zo wordt meermaals benadrukt dat niet meer personen mogen toegang hebben tot de medische gegevens dan nodig. Zo werd een ziekenhuis in Portugal veroordeeld tot een boete van 400.000 euro onder andere omdat iedere dokter toegang had tot alle patiëntengegevens, ongeacht zijn specialiteit. Dat de software niet of een afwijking hierin was voorzien werd niet als een verzachtende omstandigheid aangenomen.


Tevens wordt erop gewezen dat controle (logging) moet worden uitgevoerd of mogelijk zijn op alle personen die toegang hebben tot gevoelige persoonsgegevens om te kunnen controleren of zij geen misbruik maken van hun bevoegdheid. Een zorgverzekeraar in Nederland werd hiertoe veroordeeld tot een bedrag van 50.000 euro.


Zorg voor een aangepast veiligheidsbeleid


Het niet kunnen terugvinden van een medisch dossier na opvraging door een patiënt werd als een inbreuk op het veiligheidsbeleid aanzien en bezorgde een ziekenhuis in Cyprus een boete van 5.000 euro.


Voor de verwerking van medische gegevens in het kader van een werkgeversportaal ziekteverzuim werd geen meerfactorauthenticatie toegepast bij de login. Dit was vereist volgens de Nederlandse autoriteit om voldoende de veiligheid te kunnen garanderen van de medische gegevens.

Opleiding personeel


Het feit dat het personeel onvoldoende opleiding had gekregen omtrent de GDPR en het veilig omgaan met persoonsgegevens was een van de redenen waarom de luchthaven “Heathrow Airport” een veroordeling heeft opgelopen. Het gebruik (en het verlies) van een onbeveiligde en ongeëncrypteerde USB-stick voor professionele documenten leverde hen een boete op van 120.000 pond.


Bewaartermijn overschreden


In Denemarken werd een taxibedrijf veroordeeld tot een boete van 160.754 euro voor het bijhouden van telefoonnummers voor een periode van 5 jaar in plaats van de vooropgestelde 2 jaar. Het feit dat de software vroeger wissen niet toeliet werd niet als een geldige reden aangenomen door de autoriteit.


Verplicht DPO vanaf gegevens over meer dan 10.000 patiënten


In Nederland is het verplicht om een DPO aan te duiden zodra de dokterspraktijk, verzorgingsinstelling of apotheek beschikt over gegevens van meer dan 10.000 patiënten. De kans is meer dan reëel dat ook de Belgische GBA hier de grens zal trekken.


Belang van een verwerkersovereenkomst


Een vervoersfirma in Duitsland werd veroordeeld tot een boete van 5.000 euro omdat zij geen verwerkersovereenkomst had afgesloten met een verwerker. (Een verwerker is een externe persoon of onderneming die persoonsgegevens verwerkt in opdracht van een onderneming, zoals een IT bedrijf dat de server onderhoudt of een boekhouder).


Voor vragen of indien u zich wenst te laten bijstaan door een GDPR-expert, kan u steeds vrijblijvend contact opnemen met Mr. Olivier Sustronck, advocaat en DPO via olivier@misterfranklin.be of per telefoon op +32 486 27 53 05.


Comments


bottom of page