Португальская комиссия по защите данных (CNPD) выписала, похоже, один из первых в Евросоюзе штрафов за нарушение «Общего регламента Европейского союза о защите данных» (GDPR) в области электронных медицинских карт (ЭМК). Его получила одна из больниц Португалии.
В ходе проверки обнаружилось, что в системе ЭМК присутствовала уязвимость, которая позволяла получить доступ к данным пациентов с помощью фальшивых профилей сотрудников. В системе обнаружили 985 зарегистрированных аккаунтов, хотя в больнице работали всего 296 врачей. Кроме того, врачи имели неограниченный доступ ко всем медицинским записям пациентов, независимо от специальности врача – система безопасности не учитывала профиль и медицинскую специальность и разрешала просматривать данные любого пациента.
В итоге CNPD пришла к выводу, что администрацией больницы не были приняты необходимые технические и организационные меры для защиты данных пациентов. Штраф составил 400 тысяч евро. На осень 2018 г. это был один из самых крупных штрафов по GDPR, выписанных в Евросоюзе.
Напомним, что GDPR вступил в силу 25 мая 2018 года. К тому моменту все организации, которые хранят и обрабатывают персональные данные резидентов Евросоюза, должны были обновить пользовательские соглашения и привести все рабочие процессы в соответствие с требованиями регламента. За несоблюдение требований предусмотрен штраф в размере 20 миллионов евро или 4% годовой выручки организации-нарушителя.
Любопытно, что оспаривая это решение, руководство больницы ссылалось на тот факт, что использует ИТ-систему, предоставленную министерством здравоохранения Португалии. В CNPD, однако, решили, что ответственность за обеспечение соответствия используемой ИТ-системы требованиям GDPR лежит на больнице, а не на министерстве здравоохранения или разработчике.