De Algemene Verordening Gegevensbescherming (AVG) is nu bijna een half jaar van kracht in heel Europa onder de naam GDPR. Tot nu toe waren er alleen nog maar waarschuwingen uitgedeeld, tot gisteren. De Portuguese privacywaakhond CNPD, de Autoriteit Persoonsgegevens van Portugal, heeft een ziekenhuis nabij Lissabon een boete van 400.000 euro gegeven voor twee overtredingen van de GDPR.
Het ziekenhuis had honderden personeelsleden toegang gegeven tot klinische gegevens van patiënten terwijl ze daar geen bevoegdheid voor zouden moeten hebben. Bijna 1000 medewerkers bleken een account te hebben met dezelfde toegang als een arts terwijl er nog geen 300 artsen bij het ziekenhuis werkzaam zijn.
400.000 euro
Voor het niet respecteren van de privacy van patiënten werd een boete van 300.000 euro opgelegd, voor de gebrekkige bescherming van data werd een boete van 100.000 euro opgelegd. Het ziekenhuis herkent zich gaat overigens in beroep tegen de beslissing en zou zelfs een rechtszaak kunnen aanspannen. “Het Centro Hospitalar Barreiro Montijo volgt de aannames van de CNPD over deze kwestie niet”, aldus de raad van bestuur van het ziekenhuis. “We bereiden momenteel juridische stappen voor.”
Eén schaap over de dam?
Er is dus nog geen definitieve uitspraak en daarom is het des te interessant deze zaak te volgen. Interessant omdat de uitslag ervan maatgevend kan gaan worden voor toekomstige kwesties in Europa en dus ook in Nederland. En omdat dit – in het kader van als er een schaap over de dam is – een beweging in gang kan gaan zetten waarbij Europees meer boetes uitgedeeld gaan worden.
Is uw organisatie AVG-compliant?
Het voldoen aan de AVG wordt vaak beschouwd als een ICT-project, maar dat is het niet. De AVG stelt inderdaad eisen aan ICT-systemen, maar gaat veel verder en stelt meer eisen die losstaan van de gebruikte ICT-systemen. Het nemen van maatregelen om ICT-systemen te laten voldoen aan de AVG is zeker van groot belang, maar het houdt niet daarmee niet op.
Omdat we als WSB Solutions wel te maken hebben met wet- en regelgeving, maar onze specialisatie bij automatisering ligt, bieden wij niet rechtstreeks(!) diensten om u te helpen met uw GDPR-compliancy. Laten we u dan aan u lot over? Nee, zeker niet.
Blog met alle basisinformatie
Om u op weg te helpen hebben we allereerst een blog geschreven waarin we de belangrijkste zaken rondom de GDPR op een rijtje hebben gezet. Wat houdt de GDPR nou precies in? Op welke organisaties is de GDPR van toepassing? Wat zijn de belangrijkste onderdelen van de GDPR? En een aantal voorbeelden om het een en ander te verduidelijken.
