İSVEÇ VERİ KORUMA OTORİTESİ'NDEN SAĞLIK KURULUŞLARINA DENETİM VE CEZA

07.12.2020

Avrupa Veri Koruma Kurulu (“EDPB”), yaptığı açıklama ile İsveç Veri Koruma Otoritesi’nin sekiz sağlık kuruluşunda personellerin hastalara ait elektronik sağlık verilerine erişimlerinin yönetilmesi ve yeterli erişim kısıtlamalarının tanınması konularında denetimler gerçekleştirdiğini ve sekiz kuruluşun yedisi hakkında idari para cezasına hükmedildiğini açıkladı.

Yapılan denetimler neticesinde; denetim kapsamındaki yedi sağlık kuruluşunda çalışmakta olan personellerin, hastalara ait sağlık kayıtlarındaki bilgilere erişmekte meşru bir amacının (ihtiyacın) bulunup bulunmadığı ve hasta verilerine erişimin içerdiği riskler konusunda kapsamlı bir analiz ve değerlendirme yapılmadığı saptanmıştır. Sağlık kuruluşlarından yapılması beklenen bu değerlendirme, ihtiyaç ve risk analizi şeklinde tanımlanmıştır. İsveç Veri Koruma Otoritesi’nce; ihtiyaç ve risk analizi yapılmaksızın tanınacak erişim yetkileri sağlıklı olmayacağı ve hasta mahremiyetini koruma noktasında yetersiz kalacağı belirtilmiştir.

Bu kapsamda İsveç Veri Koruma Otoritesi, denetim yapılan yedi sağlık kuruluşu bakımından, personellerin hasta sağlık kayıtlarına erişim yetkilerinin kesinlikle gerekli olanlarla sınırlanmadığı sonucuna varmıştır. Dolayısıyla ilgili sağlık kuruluşları bakımından, veri güvenliğinin sağlanması için yeterli ve uygun idari ve teknik tedbirler alınmamıştır. Bu nedenle ilgili sağlık kuruluşları hakkında 2,5 ila 30 milyon İsveç Kronu arasında idari para cezalarına hükmedilmiştir.

İlgili açıklamanın İngilizce metnine buradan ulaşabilirsiniz.

Konuya ilişkin herhangi bir sorunuz ve/veya yorumunuz olması halinde, bizimle her zaman iletişime geçebilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr