Danmark: Datatilsynet uttrycker allvarlig kritik för underlåtenhet att utföra riskbedömning av IT-system

Datatilsynet uttrycker allvarlig kritik mot Region Syddanmark för att inte ha genomfört nödvändig riskbedömning och testning vid utveckling av ett nytt IT-system, vilket lett till obehörig åtkomst av gravida kvinnors namn, personnummer och graviditetsinformation.

Datatilsynet har fattat ett beslut i ett fall där region Syddanmark har rapporterat ett dataintrång. I beslutet har Datatilsynet funnit skäl att framföra allvarlig kritik mot att Region Syddanmarks behandling av personuppgifter inte har utförts i enlighet med dataskyddsförordningens (“GDPR”) regler.

Dataintrånget gällde obehörig åtkomst till namn, personnummer och graviditetsinformation för 365 personer, och beslutet fattades på mot bakgrund av Region Syddanmarks bristande riskbedömning av en behandling, bristande åtgärder för utveckling och testning, underlåtenhet att dokumentera omständigheterna kring dataintrånget och brister i informationen till de registrerade.

Beslutet visar hur en bristande riskbedömning och bristande fokus på kända IT-säkerhetsfrågor i utveckling och testning av IT-lösningar kan leda till dataintrång. I beslutet betonas också hur underlåtenhet att dokumentera en personuppgiftsincident kan påverka personuppgiftsansvarigas förmåga att följa reglerna i GDPR, i detta fall avseende innehållet i den information som lämnades till de berörda individerna, då Region Syddanmark i informationen till de registrerade endast angett att namn och personnummer påverkats, trots att information om graviditet också gått förlorad.

Eftersom personuppgiftsansvariga måste dokumentera dataintrång, undvika att liknande överträdelser i framtiden och eventuellt informera de drabbade registrerade är det väsentligt för GDPR-efterlevnad att personuppgiftsansvariga har mekanismer som säkerställer att en likvärdig kunskap finns om incidenten och att förståelsen av omständigheterna kring incidenten dokumenteras av den personuppgiftsansvarige.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: N/A

Sanktionsavgift: N/A

Mottagare: Region Syddanmark

Beslutsnummer: 2018-442-0026

Beslutsdatum: 2020-07-17

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

07 MAR

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.