Datatilsynet finner inte skäl att åsidosätta Region Nordjyllands rutiner för utfärdande av passerkort till dess sjukhus och lokaler då regionens behandling av personuppgifter skett enligt reglerna i artikel 32.1 i dataskyddsförordningen (GDPR).
Av ärendet framgår att Region Nordjylland var bland de verksamheter som Datatilsynet sommaren 2021 valt att utöva tillsyn över enligt gällande dataskyddsregler. Revisionen var en skriftlig revision och fokuserade på Region Nordjyllands rutiner för att utfärda passerkort till de av regionens sjukhus och lokaler där personuppgifter behandlas. I samband med handläggningen av ärendet fick Datatilsynet bland annat Region Nordjyllands riktlinjer om tilldelning och utfärdande av passerkort.
Enligt Datatilsynet finns det inte underlag för att åsidosätta Region Nordjyllands bedömning att de inledda rutinerna för utfärdande av passerkort till regionens sjukhus och lokaler där personuppgifter behandlas utgör lämpliga säkerhetsåtgärder enligt artikel 32.1 GDPR. Datatilsynet framhöll i detta sammanhang att Region Nordjylland använder sig av tillträdeskontroll till låsta rum, att regionen har rutiner för utfärdande av passerkort samt att regionen även har andra säkerhetsåtgärder för att förhindra att obehöriga får tillgång till personliga information på regionens platser.