Den 17 juli 2018 mottog ett portugisiskt sjukhus en bot på 400 000 € för överträdelse av Dataskyddsförordningen (GDPR). Det var den portugisiska datatillsynsmyndigheten (”CNPD”), som utdömde böterna efter att ha konstaterat allvarliga brister i sjukhusets interna hantering av känsliga personuppgifter.
Enligt pressrapporter genomförde CNPD en undersökning på sjukhuset som visade att sjukhuspersonal, psykologer, dietister och andra yrkesverksamma hade tillgång till patientdata genom falska profiler.
Profilhanteringssystemet verkade bristfälligt - sjukhuset hade 985 registrerade doktorsprofiler medan det endast hade 296 läkare. Dessutom hade läkare obegränsad tillgång till alla patientfiler, oavsett läkarens specialitet. CNPD drog slutsatsen att sjukhuset inte införde lämpliga tekniska och organisatoriska åtgärder för att skydda patientdata.
I försvaret visade sjukhuset att det använder det IT-system som tillhandahålls till offentliga sjukhus av det portugisiska hälsovårdsministeriet. CNPD bestämde emellertid att det var sjukhusets ansvar att se till att det IT-system det använder överensstämmer med GDPR.
Medan Portugal inte har "implementerat" Dataskyddsförordningen än, tillämpade CNPD principerna i Dataskyddsförordningen i detta fall och åberopade GDPR för att fastställa bötesbeloppet. Detta är en av de högsta böter som CNPD hittills utdelat.
