Den nederländska dataskyddsmyndigheten Autoriteit Persoonsgegevens (AP) meddelar på sin webbplats att Amsterdam-sjukhuset OLVG har ålagts sanktionsavgift om 440 000 euro eftersom vårdgivaren inte har vidtagit tillräckliga åtgärder för att säkerställa att obehöriga inte haft tillgång till patientjournaler. Detta har möjliggjort att arbetande studenter och andra anställda har haft åtkomst till patientjournaler utan att det varit nödvändigt för deras arbete.

Utredningen inleddes efter ett tips från en berörd medborgare, vissa signaler från media och två incidentrapporter från OLVG.

Brister i journalåtkomst

Efter den granskning som AP genomfört framkom att sjukhuset har haft brister i kontrollen av vem som har åtkomst till vilka patientjournaler. Det framkom även att vårdgivaren inte använt sig av tvåfaktorsautentisering vid inloggning i sjukhusets it-system. Efter AP:s granskning har OLVG infört strukturella kontroller av inloggningar på sjukhuset samt implementerat tvåfaktorsautentisering.

Sjukhuset uppger att man inte avser invända mot eller överklaga sanktionerna.

Läs mer här.