Danmark: Datatilsynet polisanmäler Medicals Nordic och rekommenderar 600 000 danska kronor i böter

Den danska dataskyddsmyndigheten Datatilsynet har beslutat att polisanmäla Charlottenlund Lægehus Medicals Nordic I/S för att ha behandlat konfidentiell information och hälsouppgifter om medborgare i samband med COVID-19-tester, utan att företaget har vidtagit lämpliga säkerhetsåtgärder vid personuppgiftsbehandlingen. Datatilsynet rekommenderar böter på 600 000 danska kronor.

I januari 2021 fick Datatilsynet information om att Medicals Nordic använde WhatsApp-appen för att överföra konfidentiell information och hälsouppgifter om medborgare som testats i företagets testcenter. På den grunden inledde Datatilsynet en utredning för att bland annat klargöra om Medicals Nordic implementerat lämpliga tekniska och organisatoriska säkerhetsåtgärder i samband med behandling av medborgarnas personuppgifter (jfr artikel 5.1 f och 32 dataskyddsförordningen, GDPR). Under utredningen upptäckte Datatilsynet att Medicals Nordic inte vidtagit lämpliga säkerhetsåtgärder i ett antal fall.

Datatilsynets utredning visade att anställda på Medicals Nordic använde sina privata telefoner för att överföra konfidentiell information om medborgare till företagets centrala administration via WhatsApp-applikationen, och att Medicals Nordic skapat en WhatsApp-grupp för vart och ett av de fyra testcenter som företaget drev. Samtliga anställda som arbetade i ett testcenter blev inbjudna till WhatsApp-gruppen som tillhörde testcentret, och medlemmarna i WhatsApp-grupperna fick samtliga meddelanden som andra anställda skickade i grupperna. Detta innebar att anställda som enligt Datatilsynets uppfattning inte hade ett arbetsrelaterat behov av att behandla den konfidentiella informationen (information som andra anställda var tvungna att överföra till den centrala förvaltningen) fortfarande fick åtkomst till information som bland annat inkluderade personnummer och hälsouppgifter om medborgarna. Den otillräckliga åtkomstkontrollen av grupperna innebar vidare enligt Datatilsynet att anställda som inte längre var anställda inte togs bort från WhatsApp-grupperna, varpå de kunde fortsätta att komma åt informationen som överfördes i grupperna.

Vid bedömningen av vilken påföljd som är den rätta gör Datatilsynet alltid en konkret bedömning av ärendets allvar enligt artikel 83.1 GDPR. I detta fall betonar Datatilsynet att konfidentiell information och hälsouppgifter om ett stort antal medborgare behandlats osäkert och vidarebefordrats till obehöriga, inklusive anställda som inte haft ett arbetsrelaterat behov att ta emot uppgifterna, varav vissa inte längre var anställda av företaget. Datatilsynet betonar också att kränkningarna i flera fall skett avsiktligt eftersom Medicals Nordic bland annat hade inte gjort nödvändiga riskbedömningar i samband med personuppgiftsbehandlingen. Mot bakgrund av detta rekommenderar Datatilsynet böter på 600 000 danska kronor.

Du kan läsa pressmeddelandet, endast tillgänglig på danska, här.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.