Nem kezelik megfelelően a betegadatokat a svéd egészségügyben


Az adatvédelmi hatóság olyan hiányosságokat tárt fel, amelyek a nyolc szolgáltatóból hét esetében akár 30 millió svéd korona összegű adatvédelmi bírsággal is sújthatók.


A svéd adatvédelmi hatóság nyolc egészségügyi szolgáltatónál indított vizsgálatot, hogy információkat szerezzen arról, hogy a szolgáltatók hogyan szabályozzák és korlátozzák a személyzet hozzáférését az elektronikus egészségügyi nyilvántartásokhoz.

A svéd adatvédelmi hatóság elsősorban azt vizsgálta, hogy az egészségügyi szolgáltatók elvégezték-e az elektronikus egészségügyi nyilvántartásokban szereplő személyes adatokhoz való megfelelő hozzáférési engedély megadásakor szükséges kockázatelemzést.

A betegadatok kezeléséről szóló svéd törvény a GDPR-ban foglaltakkal összhangban arra kötelezi az egészségügyi szolgáltatókat, hogy végezzenek alapos kockázatelemzést és értékelést, amikor meghatározzák, hogy az egészségügyi dolgozók a betegek egészségügyi nyilvántartásban szereplő személyes adatai közül melyekhez férhetnek hozzá, illetve értékelniük kell azon kockázatokat, amelyeket a betegadatokhoz való hozzáférés magában hordoz.

A megfelelő kockázatelemzés nélkül az egészségügyi szolgáltatók nem tudják meghatározni az egészségügyi dolgozók megfelelő jogosultsági szintjeit, amelynek hiányában nem tudják garantálni a betegek magánélet védelméhez való jogát- mondja Magnus Bergström, az ellenőrzések vezetője.

A svéd adatvédelmi hatóság megjegyzi, hogy az egészségügyi szolgáltatók közül hét nem végzett szükségességi-arányossági tesztet és kockázatelemzést, míg egy egészségügyi szolgáltató ugyan elvégezte a kockázatelemzést, de az nem volt megfelelő.

A hatóság arra a következtetésre jutott, hogy az egészségügyi szolgáltatók közül hét nem korlátozta a felhasználóknak a betegnapló-rendszerhez való hozzáférési jogosultságát a feladataik ellátásához szükséges adatokra.

Tehát ez a hét egészségügyi szolgáltató nem tett megfelelő intézkedéseket az elektronikus egészségügyi nyilvántartó rendszerekben tárolt személyes adatok megfelelő szintű biztonságának garantálása érdekében.

A svéd adatvédelmi hatóság szerint az egészségügyi szolgáltatók hiányosságai a súlyosságuk alapján 2,5-30 millió svéd korona (243,647 euró – 2,923,772 euró) közötti adatvédelmi bírságok kiszabását indokolják.

A bírság összege eltérő attól függően, hogy magánegészségügyi-, vagy állami egészségügyi szolgáltatóról van szó. A GDPR szerint az adatkezelőre kiszabható maximális bírság 20 millió euró, vagy a vállalat globális éves forgalmának négy százaléka, attól függően, hogy a kettő közül melyik a magasabb. Az állami szervek számára Svédországban a bírság maximális összege 10 millió Svéd korona.

A svéd adatvédelmi hatóság iránymutatásokat dolgozott ki, amelyek összefoglalják az ellenőrzések következtetéseit az alapvető elvárásokra és a kockázatelemzési kötelezettségre vonatkozóan.

Az útmutató szerint az egészségügyi szolgáltatók alapvető kötelezettsége, hogy biztosítsák a kockázatelemzések elvégzését és a hozzáférési szintek meghatározását. Az útmutatóval a hatóság célja az, hogy segítsen az egészségügyi szolgáltatóknak a megfelelő kockázatelemzéseket elvégezni mielőtt az egészségügyi nyilvántartási rendszerben bármilyen hozzáférési jogosultságot kiosztanának.

Reméljük, hogy az ország összes egészségügyi szolgáltatója használja majd az útmutatót annak érdekében, hogy a betegek személyes adatainak kezelését megfelelően végezzék, így garantálva a betegek magánéletének védelmét- tette hozzá Magnus Bergström.

(edpb.europa.eu)




Kapcsolódó cikkek

2021. szeptember 17.

Minden olasz munkavállalónak védettnek kell lennie

Az olasz kormány csütörtökön fogadta el a világ legszigorúbb koronavírus-elleni intézkedéseit, amely minden munkavállaló számára kötelezővé teszi a koronavírus elleni védettség igazolását, a negatív tesztet vagy a fertőzésből való gyógyulást.