Los amplios permisos de acceso a los datos concedidos por parte de proveedores de atención sanitaria en Suecia derivan en multas que superan los 2,9 millones de euros.
Tras revisar las prácticas de ocho proveedores de atención sanitaria, la autoridad de protección de datos sueca identificó una serie de deficiencias en las medidas de seguridad aplicadas para proteger el acceso a datos de salud electrónicos. Las investigaciones comprobaron sobre todo si los proveedores habían realizado las obligatorias evaluaciones de necesidades y riesgos necesarias para asignar de manera adecuada los permisos de acceso a los datos de salud electrónicos.
Las deficiencias de privacidad identificadas en los procesos de los proveedores de atención sanitaria consistieron principalmente en la ausencia de los análisis correspondientes para conceder los permisos de acceso.
Todos los proveedores de atención sanitaria deberán ser capaces de demostrar un nivel suficiente de protección de los datos personales en sus sistemas electrónicos. A este fin, deberán llevar a cabo una evaluación de las necesidades de acceso a la información de su personal y los riesgos asociados a dicho acceso a los datos del paciente, tal y como subraya la normativa nacional, en concreto la Ley de Datos del Paciente, que complementa al RGPD. Los resultados de dicho análisis son los que permitan a los proveedores de asistencia sanitaria asignar a sus empleados los permisos necesarios, por niveles. Sin ello, las organizaciones no podrían garantizar la protección del derecho a la privacidad de los pacientes.
Las deficiencias de privacidad identificadas se debieron sobre todo a la ausencia de dichas evaluaciones de asignación de permisos de acceso a los registros de salud electrónicos en siete de los ocho proveedores analizados. El octavo sí había completado la evaluación pero esta contaba con algunas limitaciones.
Se ha impuesto multas administrativas a siete de los ocho proveedores analizados, de diferentes cantidades hasta los 2,9 millones de euros.
Las deficiencias detectadas en siete de los ocho proveedores de asistencia sanitaria analizados eran de tal magnitud que derivaron en multas de importes comprendidos entre 250.000 euros y 2,9 millones de euros, en función de diferentes factores, entre ellos, si se trataba de una compañía pública o una compañía privada. En Suecia, la multa que se puede imponer a las empresas es la mayor cantidad resultante entre 20 millones de euros o el 4% del beneficio anual del año anterior. Sin embargo, la cuantía máxima que se puede imponer a autoridades públicas es de 1 millón de euros.
Conforme a las conclusiones de estas auditorías, la autoridad de control sueca ha desarrollado unas orientaciones alrededor de la obligación de analizar las necesidades y realizar análisis de riesgos.
La autoridad de control sueca ha desarrollado unas orientaciones donde recoge la importancia de que los proveedores de asistencia sanitaria lleven a cabo un análisis de las necesidades de acceso a los datos y los riesgos asociados, en un esfuerzo de asegurar que los pacientes reciben la protección de privacidad que merecen, ayudando a los proveedores a realizar dichas evaluaciones. Es importante destacar que estas deben hacerse antes de que se conceda al personal ningún tipo de permiso de acceso al sistema con registros de datos de salud.
