Datatilsynet har beslutat att polisanmäla Region Midjylland för att inte ha säkerställt en tillräckligt hög säkerhet kring regionens lagring av patientjournaler i ett arkiv i Livstilscenter Brædstrup. Datatilsynet har rekommenderat böter på 400 000 danska kronor.
Den 12 juni 2020 mottog Datatilsynet en anmälan om en personuppgiftsincident från Region Midjylland. Anmälan konstaterade att alla patienter och personal på Livstilscenter Brædstrup haft tillgång till en byggnad där upp till 100 000 fysiska patientjournaler lagrats, innehållande exempelvis information om hälsa och personnummer. Dessutom var det möjligt för förbipasserande att genom ett fönster till byggnaden se omslaget på några av journalerna där bland annat personnummer och namn framgick.
Den oavsiktliga åtkomsten berodde på att passerkort som delats ut till anställda och patienter gett tillgång till alla tre byggnaderna i Livstilscenter Brædstrup, oavsett om personerna haft behov av detta eller inte. Dessutom var fönstren till byggnaden inte frostade eller liknande. I detta sammanhang ansåg Datatilsynet att Region Midjylland inte fastställt lämpliga säkerhetsåtgärder avseende lagring av personuppgifter.
I samband med behandlingen av ärendet uppgav Region Midtjylland att den oavsiktliga tillgången skett i samband med en flytt till Livstilscenter Brædstrup 2016, och att regionen inte genomfört regelbundna inspektioner av fysiska säkerhetsåtgärder under perioden.
Vid tidpunkten för anmälan uppgav Region Midjylland vidare att regionen har riktlinjer för vilka som får tillgång till vilka lokaler på sjukhuset som drev Livsstilscentret Brædstrup. Regionen lämnade in flera versioner av samma riktlinje om “ID -kort och åtkomstkontroll”. Riktlinjen nämner dock inte patienters åtkomst med passerkort eller att journaler kunde ses genom en fönsterruta. I samtliga versioner angavs endast att riktlinjerna riktade sig mot personal, inklusive elever, studenter och andra icke-fast anställda. En annan riktlinje som lämnats in av regionen gav endast vägledning vid praktisk tillverkning av passerkort, men nämnde inget om vilka som skulle få åtkomst till de olika passerkorten.
Sammantaget ansåg Datatilsynet att Region Jylland inte fastställt lämpliga fysiska säkerhetsåtgärder avseende lagring av de fysiska patientjournalerna, inklusive att regionen inte hade fastställt tillräckliga riktlinjer för åtkomstbegränsningar vid framställning av passerkort. Vidare ansåg Datatilsynet att regionen inte utfört lämpliga regelbundna tester, bedömningar och utvärderingar av säkerhetsåtgärderna.
Enligt Datatilsynet måste regioner ta väl hand om de stora mängderna hälsoinformation som de behandlar, vilket Region Midjylland inte gjort i detta fall. Att all personal och patienter haft tillgång till ett arkiv på ca 100 000 patientjournaler, är ett allvarligt fel som borde ha upptäckts tidigare. Region Midjylland borde enligt Datatilsynet ha mycket tydliga riktlinjer för kodning och användning av passerkort. Regionen borde också regelbundet ha kontrollerat om åtkomstkontrollen fungerade som den skulle.
Vid bedömningen av om böter ska dömas ut har Datatilsynet betonat att Region Midtjylland behandlar stora mängder känsliga personuppgifter, inklusive hälsodata, och därmed har en striktare skyldighet att skydda denna information med en tillräcklig åtkomstbegränsning. Region Midjylland har i tidigare fall, som Datatilsynet har behandlat, haft utmaningar med åtkomstkontroll och åtkomstbegränsning för behandling av personuppgifter. Mot bakgrund av detta rekommenderar Datatilsynet böter på 400 000 danska kronor.