Datatilsynet har beslutat att polisanmäla Charlottenlund Lægehus Medicals Nordic I/S för att ha behandlat konfidentiell information och hälsouppgifter om medborgare i samband med COVID-19-tester, utan att företaget har vidtagit lämpliga säkerhetsåtgärder vid personuppgiftsbehandlingen. Datatilsynet rekommenderar böter på 600 000 danska kronor.
I januari 2021 fick Datatilsynet information om att Medicals Nordic använde WhatsApp-appen för att överföra konfidentiell information och hälsouppgifter om medborgare som testats i företagets testcenter. På den grunden inledde Datatilsynet en utredning för att bland annat klargöra om Medicals Nordic implementerat lämpliga tekniska och organisatoriska säkerhetsåtgärder i samband med behandling av medborgarnas personuppgifter (jfr artikel 5.1 f och 32 dataskyddsförordningen, GDPR). Under utredningen upptäckte Datatilsynet att Medicals Nordic inte vidtagit lämpliga säkerhetsåtgärder i ett antal fall.
Datatilsynets utredning visade att anställda på Medicals Nordic använde sina privata telefoner för att överföra konfidentiell information om medborgare till företagets centrala administration via WhatsApp-applikationen, och att Medicals Nordic skapat en WhatsApp-grupp för vart och ett av de fyra testcenter som företaget drev. Samtliga anställda som arbetade i ett testcenter blev inbjudna till WhatsApp-gruppen som tillhörde testcentret, och medlemmarna i WhatsApp-grupperna fick samtliga meddelanden som andra anställda skickade i grupperna. Detta innebar att anställda som enligt Datatilsynets uppfattning inte hade ett arbetsrelaterat behov av att behandla den konfidentiella informationen (information som andra anställda var tvungna att överföra till den centrala förvaltningen) fortfarande fick åtkomst till information som bland annat inkluderade personnummer och hälsouppgifter om medborgarna. Den otillräckliga åtkomstkontrollen av grupperna innebar vidare enligt Datatilsynet att anställda som inte längre var anställda inte togs bort från WhatsApp-grupperna, varpå de kunde fortsätta att komma åt informationen som överfördes i grupperna.
Vid bedömningen av vilken påföljd som är den rätta gör Datatilsynet alltid en konkret bedömning av ärendets allvar enligt artikel 83.1 GDPR. I detta fall betonar Datatilsynet att konfidentiell information och hälsouppgifter om ett stort antal medborgare behandlats osäkert och vidarebefordrats till obehöriga, inklusive anställda som inte haft ett arbetsrelaterat behov att ta emot uppgifterna, varav vissa inte längre var anställda av företaget. Datatilsynet betonar också att kränkningarna i flera fall skett avsiktligt eftersom Medicals Nordic bland annat hade inte gjort nödvändiga riskbedömningar i samband med personuppgiftsbehandlingen. Mot bakgrund av detta rekommenderar Datatilsynet böter på 600 000 danska kronor.