Patientendaten: 400.000 Euro DSGVO-Strafe wegen falschen Zugriffsberechtigungen
Kein Hack und auch kein Datenleck, sondern zu umfangreiche Benutzerberechtigungen haben einem portugiesischen Krankenhaus jetzt eine der größten Geldbußen nach DSGVO eingebracht. Gesamt bis zu 400.000 Euro soll das „Centro Hospitalar Barreiro Montijo“, gelegen in einer Industriestadt nahe Lissabon, nun wegen Verstößen gegen die DSGVO zahlen. Publico hat berichtet.
Zugriff auf Patientendaten mit „Techniker-Profil“
Bei einem Datenschutz-Audit hat die portugiesische Datenschutzbehörde „CNPD“ ein Testbenutzerkonto mit einem „Techniker-Profil“ angelegt. Dabei wurde festgestellt, dass damit uneingeschränkter Zugriff auf die Krankengeschichten aller Patienten möglich ist. Dieser Zugriff sollte eigentlich Ärzten mit entsprechendem „Arzt-Profil“ vorbehalten sein. Aber auch diese waren nicht korrekt vergeben: 985 aktiven Benutzern mit „Arzt-Profil“, standen nur 296 beschäftigte Ärzte gegenüber.
Das Krankenhaus will die Strafe anfechten.