Boete voor medisch lab voor niet uitvoeren DPIA
De Geschillenkamer van de Gegevensbeschermingsautoriteit (België) heeft een boete opgelegd van € 20.000,- aan een medisch laboratorium vanwege diverse schendingen van de AVG. De Geschillenkamer geeft in haar beslissing onder meer aan dat het medisch lab een DPIA (GEB) had moeten uitvoeren en dat, door dat niet te hebben gedaan, artikelen 35.1 en 35.3 van de AVG zijn geschonden. De Geschillenkamer stelt vast dat de verwerkingen van het medisch lab (50 analyses per dag) grootschalige verwerkingen van bijzondere categorieën van persoonsgegevens betreft en dat een DPIA dus verplicht is.
Daarbij merkt de Geschillenkamer ten overvloede nog op op dat zij van mening is dat de bewuste verwerkingen ook beantwoorden aan de definitie van punt 6.5) van beslissing nr. 01/2019 van het Algemeen Secretariaat van 16 januari 2019 die als volgt luidt:
"Wanneer bijzondere categorieën van persoonsgegevens in de zin van artikel 9 van de AVG [...] systematisch worden uitgewisseld tussen meerdere verwerkingsverantwoordelijken.".
Het staat immers vast dat het medisch lab analyses uitvoert voor vele artsen die zelf worden beschouwd als verwerkingsverantwoordelijken en die vervolgens de resultaten van de analyses kunnen raadplegen. Volgens de Geschillenkamer had de uitvoering van een GEB dus ook op deze basis verplicht kunnen zijn.
Daarnaast heeft de Geschillenkamer vastgesteld dat het medisch lab verwerkingsverantwoordelijk is en dat het aanbieden van een webpagina waarop artsen de resultaten van medische analyses van patiënten op afstand kunnen raadplegen zonder versleuteling ("http"-protocol in plaats van een versleuteld "https"-protocol), in strijd is met het in artikel 5.1.f) en artikel 32 van de AVG vastgelegde beginsel van integriteit en vertrouwelijkheid.
De Geschillenkamer geeft tevens aan dat, hoewel dit aspect geen deel uitmaakt van de vaststellingen van het onderzoek, het ontbreken van een robuust authenticatiesysteem (MFA) vragen kan doen rijzen omtrent de naleving van het beginsel van vertrouwelijkheid en integriteit zoals bedoeld in artikel 5.1.f) en artikel 32 van de AVG.
De Geschillenkamer heeft eveneens beslist dat, door haar vertrouwelijkheidsbeleid niet op haar website te publiceren, het medisch lab artikelen 12, 13 en 14 van de AVG heeft geschonden. Zij verwijst daarvoor naar de richtsnoeren inzake transparantie van de WP29: "Elke onderneming met een website zou op die site een verklaring of een mededeling over de bescherming van de persoonlijke levenssfeer moeten publiceren. Een rechtstreekse link naar deze verklaring of mededeling over de bescherming van de persoonlijke levenssfeer zou duidelijk zichtbaar moeten zijn op elke pagina van de website, onder een algemeen gebruikte term (bv. "Vertrouwelijkheid", "Vertrouwelijkheidsbeleid" of "Mededeling inzake de bescherming van de persoonlijke levenssfeer").