Strafe gegen Krankenhaus
Nachdem bereits in Portugal eine Geldstrafe gegen ein Krankenhaus verhängt wurde, ist nun auch ein Fall in Tschechien bekannt geworden.
Aufgrund mangelhafter technischer Umsetzung hat die Behörde ein Bußgeld in Höhe von CZK 40.000,- (ca. € 1550,-) verhängt.
Hintergrund
Aufgrund der Beschwerde eines Patienten hat die tschechische Datenschutzbehörde ein Verfahren gegen das Krankenhaus in der Stadt Tábor eingeleitet. Der Beschwerdeführer gab an, dass die elektronischen Patientenakten von Unbefugten sowohl eingesehen als auch verändert werden konnten. Die Datenschutzbehörde konzentrierte sich daher auf diesen Aspekt und stellte fest, dass die erstellten Protokolle zu jeder Krankenakte unvollständig sind. Aufgrund dieser Protokolle ist nicht eindeutig erkennbar wer auf die Krankenakte zugegeriffen hat. Auch ein Änderungsprotokoll ist nicht vorhanden. Zudem wurde festgestellt, dass mit Ausnahme der psychatrischen Patienten, jeder Arzt auf alle Krankenakten zugreifen kann. Gerade deswegen ist ein zuverlässiges Zugriffsprotokoll unerlässlich.
Aufgrund der gefundenen Mängel verhängte die Behörde das oben genannten Bußgeld. Das Krankenhaus akzeptierte die Strafhöhe.
Fazit
Einmal mehr zeigt sich, dass die technische Absicherung einer Datenverarbeitung essentiell ist. Bereits unzählige Bußgelder sind verhängt worden, weil die gesetzten Maßnahmen unzureichend waren. Da die DSGVO eine Verarbeitung am Stand der Technik fordert, ist eine regelmäßige Überprüfung notwendig.
Um personenbezogene Daten optimal zu schützen, benötigen auch kleine und mittlere Betriebe eine leistungsstarke, aber leicht zu bedienende Firewall. Unser easyGDPR Datenschutz- und Datensicherheitspaket bietet mit der Sophos Next-Generation Firewall das passende Gerät.
Entscheidungsdatum:
30.09.2018
Land:
Tschechien
Art des Verstoßes:
technische Mängel
Betroffene Datensätze:
unbekannt
Waren sensible Daten betroffen?:
Ja
verhängte Geldstrafe:
€ 1,550,-
Verstoß gegen DSGVO Paragraph:
32. Sicherheit der Verarbeitung
9. Verarbeitung besonderer Kategorien personenbezogener Daten
Quelle:
Mitteilung der tschechischen Datenschutzbehörde UOOU (tschechisch)