Laut einem Bericht der portugiesischen Tageszeitung Público wurde kürzlich die erste größere Geldstrafe wegen eines Verstoßes gegen die im Mai 2018 eingeführte EU-Datenschutz-Grundverordnung (DSGVO) verhängt. Das Krankenhaus „Barreiro Montijo“ soll 300.000 Euro Strafe bezahlen, da neben Ärzten auch anderen Personen Zugriff auf sensible Patientendaten hatten. 100.000 Euro Strafe wurden außerdem wegen eines anderen Verstoßes gegen die DSGVO verhängt. Das Krankenhaus hat angekündigt gerichtlich gegen die insgesamt 400.000 Euro hohe Geldstrafe vorgehen zu wollen.
Daten nicht ausreichend geschützt
Die zuständige Datenschutzbehörde bemängelte, dass der Krankenhausbetreiber auch Nutzern mit einem Techniker-Profil Zugriff auf geheime Patientendaten erlaubte, obwohl diese gesetzlich nur von Ärzten aufgerufen werden dürften. Aufgedeckt wurde das Fehlverhalten bei einer Untersuchung der Systeme, bei dem ein solches Techniker-Profil auch sensible Patientendaten aufrufen konnte.
Des Weiteren haben die Datenschützer während des Audits 985 Benutzer entdeckt, die im System als Arzt registriert waren und somit ebenfalls umfassende Zugriffsrechte hatten, obwohl zum Untersuchungszeitpunkt nur 296 in dem Krankenhaus angestellt waren. Die Betreiber erklärten, dass die fast 700 überzähligen Profile angelegt wurden, um temporären Zugang im Rahmen von Dienstleistungsverträgen zu ermöglichen.
