Divulgarea neautorizată a datelor personale ale pacienților

0
695

O unitate spitalicească a notificat Autoritatea națională de supraveghere cu privire la producerea unui incident de încălcare a securității datelor cu caracter personal.

În fapt, dintr-o eroare a medicului curant, în camera de gardă a spitalului, au fost amestecate documente medicale aparținând a doi pacienți, ceea ce a condus la înmânarea acestor documente aparținătorului unuia dintre aceștia. Documentele medicale erau în format olograf și tipărite pe hârtie și card de plastic.

Categoriile de date cu caracter personal afectate de incidentul de securitate erau: nume și prenume, CNP, număr card de sănătate, număr foaie de observație, adresă, număr de telefon, informații privind starea de sănătate a persoanei vizate, informații referitoare la internare și locul de muncă.

La data efectuării investigației, Autoritatea națională de supraveghere a constatat că operatorul a prelucrat date cu caracter personal într-un mod care nu asigură securitatea adecvată, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal stocate sau prelucrate într-un alt mod.

Aceasta a condus la divulgarea neautorizată de către un angajat propriu, a unor documente conținând date cu caracter personal de identificare (nume și prenume, CNP), număr card de sănătate, număr foaie de observație, date de contact (adresă, număr de telefon), date privind starea de sănătate, date privind internarea și date profesionale (locul de muncă) aparținând unui pacient, către un alt pacient al spitalului.

În urma investigației efectuate, Autoritatea națională de supraveghere a dispus împotriva operatorului, măsura corectivă privind revizuirea și actualizarea măsurilor tehnice și organizatorice implementate, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, precum și implementarea unor măsuri privind instruirea periodică a persoanelor care acționează sub autoritatea sa, referitor la obligațiile ce le revin conform GDPR, inclusiv cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal, în funcție de specificul activității.

(ANSPDCP – Raport de activitate 2020)

Foto: Markus Spiske, Unsplash.com