Les Pays-Bas infligent leur première amende RGPD pour violation de données

L'Autorité néerlandaise de protection des données (« Autoriteit Persoonsgegegevens ») a infligé sa première amende RGPD d’un montant de 460 000 € à l'hôpital néerlandais de Haga.

L’Autorité néerlandaise reproche à l’hôpital d’avoir insuffisamment sécurisé les accès aux dossiers des patients en interne. En effet, après l’admission en Janvier 2019 de la star de télé-réalité Samantha de Jong (surnommé « Barbie » au Pays-Bas) à la suite de sa tentative de suicide fin 2018, l’hôpital avait constaté que son dossier médical avait été consulté par plus de 85 employés n’étant pas impliqués dans le traitement.

Suite à cette affaire, l’Autorité néerlandaise de protection des données a enquêté et conclu que l’hôpital d’Haga n’avait pas mis en œuvre les moyens de sécurité nécessaires pour protéger les données de santé à caractère personnel de ses patients, notamment en termes d’authentification et de traçabilité comme défini dans l’article 32 de la RGPD (http://www.privacy-regulation.eu/fr/32.htm).

L’hôpital dispose d’un délai allant jusqu’au 2 Octobre pour mettre en place les mécanismes de sécurité nécessaires. Si le délai n’était pas respecté, des amendes supplémentaires de 100 000€ viendraient s’ajouter à l’amende initiale toutes les 2 semaines dans la limite de 300 000€.

Afin d’éviter ces problématiques à l’avenir, le gouvernement néerlandais envisage de mettre en place un système permettant aux patients de « gérer » leur propre dossier médical depuis leur ordinateur ou leur téléphone portable et de décider des modalités d’accès à ce dernier.