AVG boetes voor dozijn Spaanse apothekers

In dit artikel:

De Spaanse privacytoezichthouder AEPD heeft in 2024 een dozijn apothekers beboet omdat zij zonder toestemming toegang hadden tot het interne IT-systeem van seniorencomplexen en daar persoonsgegevens van bewoners gebruikten. De apotheken haalden medische gegevens op om sneller medicatie te leveren, maar voldeden daarmee niet aan de AVG: er was geen rechtmatige grondslag voor de toegang, het betrof bijzondere categorieën (medische gegevens) en er ontbraken passende beveiligingsmaatregelen. Bovendien werden gegevens lokaal opgeslagen in onbeveiligde Excel-bestanden en per e-mail gedeeld met bezorgers en andere schakels in de keten, waardoor informatie van honderden bewoners uit tientallen tehuizen wijdverspreid raakte. De individuele boetes variëren van circa €6.000 tot €21.000. Het is nog onduidelijk of de toezichthouder ook onderzoek doet naar de verzorgingsinstellingen zelf, bijvoorbeeld naar hun achterliggende IT-beveiliging of personeelsprocedures; eventuele vervolgstappen kunnen bij een volgende publicatieronde volgen. Context: onder de AVG zijn medische gegevens extra beschermd en vereisen ze strikte waarborgen en wettelijke grondslagen voor verwerking.