In einem Krankenhaus in Portugal hatten nicht nur Ärzte Zugriff auf Patientendaten. Dafür wurde nun eine empfindliche Geldstrafe verhängt.
In Portugal ist die europaweit erste substanzielle Geldstrafe wegen eines Verstoßes gegen die neue EU-Datenschutz-Grundverordnung (DSGVO) verhängt worden. Die Datenschutzbehörde CNPD (Comissão Nacional de Protecção de Dados) hat 22.10. bekanntgegeben, dass das Krankenhaus Barreiro Montijo 400.000 Euro bezahlen soll, berichtet Público. Der Großteil davon ist die Strafe dafür, dass viel zu viele Personen Zugriff auf Patientendaten hatten. Für einen anderen Verstoß wurden 100.000 Euro Strafe verhängt. Das Krankenhaus wolle nun gerichtlich gegen die Entscheidung vorgehen.
Daten viel zu leicht zugänglich
Wie die portugiesische Tageszeitung erläutert, hat der Krankenhausbetreiber laut Datenschutzaufsicht „bewusst“ dafür gesorgt, dass Nutzer mit dem Profil „Techniker“ in den IT-Systemen auf Daten zugreifen konnten, die eigentlich nur für Ärzte einsehbar sein dürfen. Das sei bei einem Test ermittelt worden, in dessen Rahmen solch ein Profil mit unbegrenztem Zugang erstellt werden konnte.
Darüber hinaus seien in dem System insgesamt 985 aktive Benutzer mit einem Profil „Arzt“ registriert, obwohl 2018 lediglich 296 Ärzte eingeteilt worden seien. Das Krankenhaus habe die Diskrepanz mit temporären Profilen im Rahmen eines Dienstleistungsvertrags zu erklären versucht.
Die DSGVO war Ende Mai wirksam geworden und soll den Datenschutz in Europa vereinheitlichen und stärken. Bei Verstößen können empfindliche Geldstrafen verhängt werden, die Prüfung von Beschwerden dauert aber eine Weile. Das Krankenhaus Barreiro Montijo hatte im Juli Besuch von den Datenschützern erhalten. Deren Schlussfolgerungen teilt es nicht, das Krankenhaus will deswegen vor Gericht gehen.