Gemäß dem schwedischen Patientendatengesetz müssen die Leistungserbringer eine gründliche Analyse und Bewertung des Bedarfs des Personals an Zugang zu Informationen in den Gesundheitsakten und der Risiken durchführen, die der Zugang zu Patientendaten beinhaltet. Ohne eine solche Analyse können Gesundheitsdienstleister in Schweden ihrem Personal keine korrekte Autorisierungsebene zuweisen, was wiederum bedeutet, dass die Organisationen das Recht der Patienten auf Schutz der Privatsphäre nicht garantieren kann. Die schwedische Datenschutzbehörde stellt fest, dass sieben der Gesundheitsdienstleister keine Bedarfs- und Risikoanalyse durchgeführt haben, während ein Dienstleister eine Analyse durchgeführt hat, die jedoch einige Mängel aufweist. Die Behörde kommt zu dem Schluss, dass sieben der Gesundheitsdienstleister die Zugriffsberechtigung der Nutzer auf das jeweilige Patientenjournalsystem nicht auf das für die Erfüllung ihrer Aufgaben unbedingt erforderliche Maß beschränken. Dies bedeutet, dass die sieben Leistungserbringer des Gesundheitswesens keine geeigneten Maßnahmen ergriffen haben, um ein ausreichendes Sicherheitsniveau für die personenbezogenen Daten in den elektronischen Patientendatensystemen zu gewährleisten und nachweisen zu können.

Die Mängel von sieben Leistungserbringern im Gesundheitswesen sind so gravierend, dass sie zu Verwaltungsstrafen in Höhe von 2,5 bis 30 Millionen SEK führen. Die Berechnung der Höhe der Geldbuße unterscheidet sich erheblich, je nachdem, ob es sich um ein privates Unternehmen oder eine öffentliche Behörde handelt. Für Unternehmen beträgt die maximale Geldbuße 20 Mio. € oder vier Prozent des weltweiten Jahresumsatzes des Unternehmens, je nachdem, welcher Betrag höher ist. Für Behörden beträgt die Höchststrafe in Schweden 10 Mio. SEK.

Quelle: Europäischer Datenschutzausschuss 07.12.2020

Übersetzt mit www.DeepL.com/Translator. Um die Original-Pressemitteilung auf Schwedisch zu lesen, klicken Sie hier.