HOLLANDA VERİ KORUMA OTORİTESİ’NDEN GENEL VERİ KORUMA TÜZÜĞÜ KAPSAMINDA İLK CEZA !

22 Temmuz 2019

Hollanda Veri Koruma Otoritesi (“Autoriteit Persoonsgegevens” -Data Protection Authority”, “DPA”), Genel Veri Koruma Tüzüğü (General Data Protection Regulation, “GDPR”) kapsamında 460.000 € tutarında ilk para cezasını uygulamıştır.

Ceza, Hollanda Haga Hastanesine hasta kayıtlarının yetersiz iç güvenliği sebebi ile verilmiştir. Veri Koruma Otoritesi, hastane personelinin büyük bir kısmının, Hollandalı bir ünlünün tıbbi kayıtlarına eriştiğini öğrendikten sonra soruşturma başlatmış ve soruşturma kapsamında, hastanenin bilgi güvenliği sisteminin, GDPR’ın 32. maddesini[1] ve özel sağlık sektörünün güvenlik standartlarını karşılayıp karşılamadığı kontrol edilmiştir.

Veri Koruma Otoritesi, Genel Veri Koruma Tüzüğünün 32. maddesi çerçevesinde hastanenin yeterli güvenlik önlemlerini almadığı; hastanenin kayıtlarının kontrol edildiği ancak bunun sistematik bir şekilde yapılmadığı ve riske yönelik ihtiyacı karşılamak için yeterli olmadığı sonucuna varmıştır. Ayrıca hastanenin sahip olması gereken iki faktörlü kimlik doğrulama sisteminin de (“ two-factor authentication” – “the control of logging”) bulunmadığının altı çizilmiştir.

Haga Hastanesine uygulanan 460.000 € tutarındaki para cezasına ek olarak, Hastaneye, 2 Ekim 2019 tarihine kadar iç güvenliğini arttırması için süre verilmiştir. Bu süre sonunda iç güvenliğinin sağlanamaması durumunda, Hastaneye, en fazla 300.000 €  olmak koşuluyla her iki haftada bir 100.000 € tutarında para cezası uygulanacağı ifade edilmiştir.

Bu kapsamda, bilhassa hastanelerin ve sağlık hizmeti sağlayan diğer kurumların, çoğu “hassas veri - (sensitive data)” niteliğini haiz hasta verilerinin güvenliğini sağlamak adına, gerekli teknik ve idari tedbirleri almalarının önem arz ettiğine; aksi takdirde çok ciddi idari para cezalarıyla karşı karşıya kalınabileceğine dikkatinizi çekeriz.  

Konuya ilişkin herhangi bir sorunuz ve/veya yorumunuz olması halinde, bizimle her zaman iletişime geçebilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr


[1] Avrupa Birliği Genel Veri Koruma Tüzüğü Madde 32/İşlemenin Güvenliği/

  1. Tekniğin durumu, uygulama maliyeti ve işlemenin tabiatı, kapsamı, bağlamı ve amaçları ile gerçek kişilerin hak ve özgürlüklerine yönelik farklı olasılık ve önemde riskleri dikkate alarak veri sorumlusu veya veri işleyen, riskle orantılı bir güvenlik seviyesi temin etmek için uygun teknik ve organizasyonel tedbirleri alır, bunlar arasında, uygun düştüğü ölçüde:
  1. Kişisel verilerin psödonimleştirilmesi ve şifrelenmesi;
  2. İşleme sistemleri ve hizmetlerinin gizliliğini, bütünlüğünü, ulaşılabilirliğini ve dayanıklılığını sürekli olarak temin etme yetisi;
  3. Fiziksel veya teknik bir kaza olduğunda kişisel verilerin kurtarılması ve bu verilere erişimin yeniden sağlanması yetisi;
  4. İşlemenin güvenliğini temin eden teknik ve organizasyonel tedbirlerin etkinliğini düzenli olarak kontrol etmek, ölçmek ve değerlendirmek için bir prosedür yer alır.
  1. Uygun güvenlik seviyesinin tespiti için aktarılan, depolanan veya başka şekilde işlenen kişisel verilerin kazaen veya hukuka aykırı olarak tahrifi, kaybı, değiştirilmesi, izinsiz ifşa edilmesi veya erişilmesi başta olmak üzere işlemenin teşkil ettiği riskler göz önüne alınır.
  2. 40. Maddede belirtilen onaylanmış davranış kurallarına veya 42. Maddede belirtilen onaylanmış sertifikasyon mekanizmalarına uyulması, bu maddenin 1. Fıkrasında öngörülen şartlara uyulduğunu ortaya koymak için bir unsur olarak kullanılabilir.
  3. Veri sorumlusu veya veri işleyen, kendi otoritesi altında bulunan ve kişisel verilere erişimi olan gerçek kişilerin, Birlik veya Üye Devlet hukuku uyarında zorunlu kılınmadıkça, kişisel verileri talimatı dışında işlememesini temin etmek için gerekli önlemleri alır.