Datatilsynet har indstillet Region Syddanmark og Region Midtjylland til bøder på henholdsvis 500.000 kr. og 400.000 kr. på baggrund af to afgørelser. Ved begge afgørelser fandt Datatilsynet, at regionerne ikke havde etableret tilstrækkelige sikkerhedsforanstaltninger. Ud fra de to afgørelser kan man udlede nogle generelle råd til, hvordan man som dataansvarlig træffer sådanne sikkerhedsforanstaltninger.
Af Christian Zeeberg Madsen, advokat (H), partner
Utilstrækkelig beskyttelse på hjemmeside
Datatilsynet har på baggrund af en ny afgørelse indstillet Region Syddanmark til en bøde på 500.000 kr. Datatilsynet fandt, at der ikke var udført en tilstrækkelig kontrol med offentliggjorte dokumenter på regionens hjemmeside.
Der var tale om en PowerPoint-præsentation, der indeholdt personoplysninger, herunder helbredsoplysninger og cpr-nr., vedrørende 3.915 patienter. Præsentationen havde ligget frit tilgængeligt på regionens hjemmeside siden maj 2011.
Region Syddanmark anvendte et digitalt værktøj til at scanne hjemmesiden for fejlagtige offentliggørelser af personoplysninger og personnumre. Værktøjet kunne ikke scanne PowerPoint-præsentationer, og det resulterede i, at regionen ikke levede op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen.
Datatilsynet fandt at Region Syddanmark ikke havde sikret at der var etableret tilstrækkelige sikkerhedsforanstaltninger.
Utilstrækkelig sikkerhed ved opbevaring af fysiske journaler
Datatilsynet har på baggrund af en anden ny afgørelse indstillet Region Midtjylland til en bøde på 400.000 kr. for ikke at have sikret visse foranstaltninger i relation til fysiske patientjournaler.
Der var tale om ca. 100.000 arkiverede journaler, der befandt sig i et livsstilscenter. Journalerne indeholdt blandt andet oplysninger om patienternes CPR-numre og helbredsoplysninger. Alle medarbejdere havde nøglekort der gav adgang til det rum journalerne befandt sig i, også de medarbejdere der ikke behøvede det.
Datatilsynet fandt, at regionen ikke havde oprettet de tilstrækkelige sikkerhedsforanstaltninger vedrørende adgangen til journalerne. Der skulle have været etableret klare retningslinjer i forhold til brug af nøglekortene.
Gode råd vedrørende sikkerhedsforanstaltninger
Det er pågældende dataansvarliges ansvar at sikre etableringen af tilstrækkelige sikkerhedsforanstaltninger. Den dataansvarlige skal vurdere, hvilken risiko der kan være forbundet med virksomhedens behandling, og ud fra det træffe de nødvendige sikkerhedsforanstaltninger. På baggrund af det, foretager datatilsynet en konkret undersøgelse og vurdering af om foranstaltningerne, der er etableret, er tilstrækkelige.
På baggrund af de to ovennævnte afgørelser, kan man udlede nogle af de forhold Datatilsynet ligger vægt på i deres vurdering af, om en sikkerhedsforanstaltning er tilstrækkelig.
Der bliver lagt vægt på:
- Den samlede mængde af personoplysninger.
- Hvor følsomme oplysningerne er.
- Hvorvidt virksomheden tidligere har haft problemer med at etablere tilstrækkelige sikkerhedsforanstaltninger.
- Hvor ofte virksomheden selv fører kontrol med de etablerede sikkerhedsforanstaltninger.
Udover at have fokus på ovennævnte punkter, bør man altid ved arbejde i relation til GDPR:
- Foretage en risikovurdering af de etablerede sikkerhedsforanstaltninger
- Sørge for at eventuelle svagheder udbedres
- Jævnligt kontrollere både fysiske og digitale sikkerhedsforanstaltninger
- Altid beskytte opbevarede personoplysninger, både fysisk og digitalt opbevarede
- Have klare retningslinjer i forhold til hvem der har adgang til personoplysningerne
- Overveje om det er muligt at slette data, der ikke længere er relevant
Har du eller din virksomhed spørgsmål til ovenstående, er du/I velkomne til at kontakte os.