De Spaanse toezichthouder voor de AVG AEPD heeft bekend gemaakt dat een dozijn apothekers boetes heeft gekregen. Elk van de apothekers werkte voor complexen met seniorenwoningen en ging steeds op dezelfde manier goed de fout in.
Drie AVG overtredingen
Uit de losse boetebesluiten is op te maken dat op enig moment in 2024 de apotheken toegang hebben gekregen tot het interne IT systeem van de tehuizen. Vervolgens zijn ze de data van de bewoners gaan bekijken en gebruiken voor de eigen activiteiten.
Die toegang en het gebruik betekenen al twee serieuze AVG overtredingen begaan door de apothekers. Ze hebben toegang gekregen tot persoonsgegevens en daar vooraf geen toestemming gevraagd. Derde overtreding is dat het hier gaat om deels bijzondere gegevens, namelijk medische data.
Nog twee overtredingen
Met de dataset zijn ze zelf aan de slag gegaan met als doel de bewoners snel te kunnen voorzien van de medicatie. Er zijn dus geen slechte bedoelingen. Het blijft niet bij de drie genoemde overtredingen. De data wordt lokaal onbeveiligd opgeslagen op een excelsheet. Die wordt vervolgens per mail gedeeld met de bezorgers van de medicijnen en nog wat partijen in de keten. Dat zijn dus nog eens twee AVG overtredingen.
In totaal zijn de persoonsgegevens inclusief medische data van vele honderden bewoners van tientallen tehuizen “overal en nergens“ beland. Een zeer kwalijke zaak dus. Elke betrokken apotheker heeft een AVG boete gekregen tussen de 6.000 en 21.000 Euro.
Onduidelijk is of er ook nog een onderzoek loopt naar de verzorgingsinstellingen. Dat is immers de plek waar de data vandaan komt. Vragen als of er een slecht beveiligd achterliggend IT systeem is of dat het personeel van al die instellingen de zelfde fout heeft gemaakt worden mogelijk bij het publiceren van een volgende ronde boetes in deze zaak beantwoord.
