Tűzoltók éjszaka – Uniós ítélet a különleges munkaszervezésről
Az unió bírósága az éjszakai munkát végzők – feladatuk jellegének megfelelő – jogvédelmi szintjét vette górcső alá egy bolgár, tűzoltók által indított perfolyam nyomán.
Nem kezelik megfelelően a betegadatokat a svéd egészségügyben
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Az adatvédelmi hatóság olyan hiányosságokat tárt fel, amelyek a nyolc szolgáltatóból hét esetében akár 30 millió svéd korona összegű adatvédelmi bírsággal is sújthatók.
A svéd adatvédelmi hatóság nyolc egészségügyi szolgáltatónál indított vizsgálatot, hogy információkat szerezzen arról, hogy a szolgáltatók hogyan szabályozzák és korlátozzák a személyzet hozzáférését az elektronikus egészségügyi nyilvántartásokhoz.
A svéd adatvédelmi hatóság elsősorban azt vizsgálta, hogy az egészségügyi szolgáltatók elvégezték-e az elektronikus egészségügyi nyilvántartásokban szereplő személyes adatokhoz való megfelelő hozzáférési engedély megadásakor szükséges kockázatelemzést.
A betegadatok kezeléséről szóló svéd törvény a GDPR-ban foglaltakkal összhangban arra kötelezi az egészségügyi szolgáltatókat, hogy végezzenek alapos kockázatelemzést és értékelést, amikor meghatározzák, hogy az egészségügyi dolgozók a betegek egészségügyi nyilvántartásban szereplő személyes adatai közül melyekhez férhetnek hozzá, illetve értékelniük kell azon kockázatokat, amelyeket a betegadatokhoz való hozzáférés magában hordoz.
A megfelelő kockázatelemzés nélkül az egészségügyi szolgáltatók nem tudják meghatározni az egészségügyi dolgozók megfelelő jogosultsági szintjeit, amelynek hiányában nem tudják garantálni a betegek magánélet védelméhez való jogát- mondja Magnus Bergström, az ellenőrzések vezetője.
A svéd adatvédelmi hatóság megjegyzi, hogy az egészségügyi szolgáltatók közül hét nem végzett szükségességi-arányossági tesztet és kockázatelemzést, míg egy egészségügyi szolgáltató ugyan elvégezte a kockázatelemzést, de az nem volt megfelelő.
A hatóság arra a következtetésre jutott, hogy az egészségügyi szolgáltatók közül hét nem korlátozta a felhasználóknak a betegnapló-rendszerhez való hozzáférési jogosultságát a feladataik ellátásához szükséges adatokra.
Tehát ez a hét egészségügyi szolgáltató nem tett megfelelő intézkedéseket az elektronikus egészségügyi nyilvántartó rendszerekben tárolt személyes adatok megfelelő szintű biztonságának garantálása érdekében.
A svéd adatvédelmi hatóság szerint az egészségügyi szolgáltatók hiányosságai a súlyosságuk alapján 2,5-30 millió svéd korona (243,647 euró – 2,923,772 euró) közötti adatvédelmi bírságok kiszabását indokolják.
A bírság összege eltérő attól függően, hogy magánegészségügyi-, vagy állami egészségügyi szolgáltatóról van szó. A GDPR szerint az adatkezelőre kiszabható maximális bírság 20 millió euró, vagy a vállalat globális éves forgalmának négy százaléka, attól függően, hogy a kettő közül melyik a magasabb. Az állami szervek számára Svédországban a bírság maximális összege 10 millió Svéd korona.
A svéd adatvédelmi hatóság iránymutatásokat dolgozott ki, amelyek összefoglalják az ellenőrzések következtetéseit az alapvető elvárásokra és a kockázatelemzési kötelezettségre vonatkozóan.
Az útmutató szerint az egészségügyi szolgáltatók alapvető kötelezettsége, hogy biztosítsák a kockázatelemzések elvégzését és a hozzáférési szintek meghatározását. Az útmutatóval a hatóság célja az, hogy segítsen az egészségügyi szolgáltatóknak a megfelelő kockázatelemzéseket elvégezni mielőtt az egészségügyi nyilvántartási rendszerben bármilyen hozzáférési jogosultságot kiosztanának.
Reméljük, hogy az ország összes egészségügyi szolgáltatója használja majd az útmutatót annak érdekében, hogy a betegek személyes adatainak kezelését megfelelően végezzék, így garantálva a betegek magánéletének védelmét- tette hozzá Magnus Bergström.