Голландская больница получила крупный штраф за нарушение GDPR

Больница в нидерландском городе Гаага (Dutch Haga Hospital) оштрафована на 460 тыс. евро (примерно $515 тыс.). По мнению регулятора, клиника не обеспечила необходимую безопасность персональных данных пациентов в соответствии с требованиями общеевропейского регламента, передает Security Magazine.

Поводом к расследованию голландского управления по защите данных (Dutch DPA) послужил прошлогодний инцидент в клинике. Выяснилось, что около 200 сотрудников незаконно получили доступ к персональным данным известной телеведущей Саманты де Йонг (Samantha de Jong), которая была доставлена в больницу после попытки самоубийства. В ходе проверки выяснилось, что клиника не приняла адекватных мер безопасности по отношению к процессу аутентификации пользователей и контроля ведения записей. Так, при занесении информации пациентов не использовалась двухфакторная идентификация. Это явное нарушение статьи 32 GDPR.

При проведении проверки безопасности эксперты DPA в случайном порядке выбрали шесть записей персональных данных и убедились, что, с учетом масштаба регулярной обработки данных, больница Гааги не соответствует требованиям систематического, ориентированного на управление рисками и интеллектуальный контроль, процесса информационной безопасности.

Свое решение о штрафе DPA дополнило приказом о прекращении и невозобновлении: если больница Гааги до 2 октября не улучшит систему защиты персональных данных пациентов, то ей придется выплатить еще один штраф в размере до 300 тыс. евро.

Штрафные санкции в отношении Dutch Haga Hospital не стали неожиданностью для голландской общественности. Еще в конце 2018 г. регулятор заявил, что свои правоприменительные усилия сосредоточит на государственном секторе и сфере здравоохранения.