Een Spaans ziekenhuis heeft een boete van 1,2 miljoen euro gekregen wegens het kwijtraken van cd's van een patiënt met medische data. De patiënt bezocht eind 2021 het ziekenhuis om een MRI-scan te krijgen en had verschillende cd's met beelden van eerdere MRI-scans meegenomen. Het ziekenhuispersoneel kon zo de oude met de nieuwe beelden vergelijken.

Begin 2022 keerde de patiënt terug naar het ziekenhuis om zijn cd's op te halen. Het ziekenhuis liet weten dat de cd's niet konden worden gevonden. Vervolgens meldde het ziekenhuis via e-mail dat er beperkte fysieke opslagruimte is en dat niet opgehaalde spullen na een maand worden verwijderd. De cd's waren dan ook niet meer beschikbaar. Begin 2024 vroeg de patiënt het ziekenhuis nogmaals om zijn cd's. Het ziekenhuis herhaalde wederom dat het spullen na een maand weggooit of vernietigt. Daarop diende de patiënt een klacht in bij de Spaanse privacytoezichthouder AEPD.

De AEPD startte een onderzoek en stelde dat het ziekenhuis meerdere bepalingen van de AVG had overtreden. Volgens de toezichthouder hadden de cd's aan het medisch dossier van de patiënt moeten worden toegevoegd. Het ziekenhuis stelde dat de cd's geen medische documentatie waren geproduceerd door het ziekenhuis zelf, en dat daardoor de opslagtermijn die nationale gezondheidswetgeving verplicht niet van toepassing is. Ook zou de opslag van de cd' s in strijd zijn met het principe van dataminimalisatie.

Volgens de Spaanse toezichthouder heeft het ziekenhuis bepaling 6, 9 en 25 van de AVG overtreden door onrechtmatig de gezondheidsgegevens van de patiënt te vernietigen, zonder dat het hiervoor een geldige grondslag had. Daarnaast had het ziekenhuis geen databescherming by design en default geïmplementeerd. Tevens had het ziekenhuis de MRI-gegevens eerder verwijderd dan verplicht door de nationale gezondheidswetgeving. De cd's waren onderdeel van de patiëntgegevens, aldus de AEPD.

Het grootste deel van de boete, een bedrag van 1 miljoen euro, werd opgelegd wegens het overtreden van Artikel 25 van de AVG. Het ziekenhuis had geen procedures voor het verwerken van door patiënten aangedragen gegevens en geen databescherming by design en default geïmplementeerd (pdf).