Spaans ziekenhuis krijgt 1,2 miljoen euro boete voor verlies van cd's patiënt

In dit artikel:

Een Spaans ziekenhuis is beboet met 1,2 miljoen euro omdat het cd‑s met MRI‑beelden van een patiënt kwijtgeraakt en vernietigd heeft. De patiënt bracht eind 2021 oude MRI‑cd’s mee tijdens een opname zodat personeel oude en nieuwe beelden kon vergelijken. Toen hij begin 2022 de schijven wilde ophalen, waren ze verdwenen; het ziekenhuis stelde dat niet opgehaalde spullen na een maand werden verwijderd. Nadat de patiënt in 2024 opnieuw om de cd’s vroeg, diende hij een klacht in bij de Spaanse privacytoezichthouder AEPD.

De AEPD oordeelde dat het ziekenhuis meerdere GDPR‑bepalingen (artikel 6, 9 en vooral 25) had geschonden: de cd’s hadden als onderdeel van het medisch dossier gearchiveerd moeten worden, het vernietigen van gezondheidsgegevens ontbrak aan een rechtsgrond, en er was geen ‘data protection by design and default’ of duidelijke procedures voor door patiënten aangeleverde data. Ook waren de beelden eerder verwijderd dan nationale gezondheidsregels toestaan. Van de boete was 1 miljoen euro toegekend voor de overtreding van artikel 25.

De zaak onderstreept dat zorginstellingen patiëntaangeleverde gegevens als medische dossiers moeten behandelen en passende technische en organisatorische maatregelen moeten implementeren, ook voor fysieke media.