Datatilsynet uttrycker allvarlig kritik mot Region Syddanmark för att inte ha genomfört nödvändig riskbedömning och testning vid utveckling av ett nytt IT-system, vilket lett till obehörig åtkomst av gravida kvinnors namn, personnummer och graviditetsinformation.
Datatilsynet har fattat ett beslut i ett fall där region Syddanmark har rapporterat ett dataintrång. I beslutet har Datatilsynet funnit skäl att framföra allvarlig kritik mot att Region Syddanmarks behandling av personuppgifter inte har utförts i enlighet med dataskyddsförordningens (“GDPR”) regler.
Dataintrånget gällde obehörig åtkomst till namn, personnummer och graviditetsinformation för 365 personer, och beslutet fattades på mot bakgrund av Region Syddanmarks bristande riskbedömning av en behandling, bristande åtgärder för utveckling och testning, underlåtenhet att dokumentera omständigheterna kring dataintrånget och brister i informationen till de registrerade.
Beslutet visar hur en bristande riskbedömning och bristande fokus på kända IT-säkerhetsfrågor i utveckling och testning av IT-lösningar kan leda till dataintrång. I beslutet betonas också hur underlåtenhet att dokumentera en personuppgiftsincident kan påverka personuppgiftsansvarigas förmåga att följa reglerna i GDPR, i detta fall avseende innehållet i den information som lämnades till de berörda individerna, då Region Syddanmark i informationen till de registrerade endast angett att namn och personnummer påverkats, trots att information om graviditet också gått förlorad.
Eftersom personuppgiftsansvariga måste dokumentera dataintrång, undvika att liknande överträdelser i framtiden och eventuellt informera de drabbade registrerade är det väsentligt för GDPR-efterlevnad att personuppgiftsansvariga har mekanismer som säkerställer att en likvärdig kunskap finns om incidenten och att förståelsen av omständigheterna kring incidenten dokumenteras av den personuppgiftsansvarige.