Datatilsynet har fattat beslut om att rikta kritik mot Region Nordjylland då regionen inte vidtagit tillräckliga säkerhetsåtgärder vid behandling av personuppgifter vilket strider mot artikel 32.1 i dataskyddsförordningen (“GDPR”).
Av beslutet framgår att Datatilsynet inlett granskningen efter att Region Nordjylland den 8 maj 2021 anmält en personuppgiftsincident till myndigheten. Enligt anmälan har det från maj 2018 till april 2021 det varit möjligt att via en IT-lösning komma åt andras personuppgifter och avboka bokningar, till exempel möten på sjukhus. Detta var en välkänd typ av sårbarhet, som handlar om bristande kontroll av användarens åtkomst. Missbruk av lösningen krävde att användaren var inloggad med NemID, men felet gjorde att tillgången till bokningar och brev inte var begränsad till den aktuella användarens egna bokningar/brev.
Datatilsynet framför nu kritik mot att Region Nordjylland inte följt kravet på lämpliga säkerhetsåtgärder enligt artikel 32.1 GDPR eftersom regionen inte ställt tillräckliga krav på säkerhet i sina avtal med företaget som tagit fram lösningen. Datatilsynet konstaterar att Region Nordjyllands IT-lösning möjliggjort tillgång till andras personuppgifter, inklusive känsliga personuppgifter, och möjligheten att avboka bokningar.
Datatilsynet konstaterar särskilt att överträdelsen varat i cirka tre år och att cirka en halv miljon registrerade personers personuppgifter utsatts för potentiell obehörig tillgång och att de registrerades integritet och konfidentialitet potentiellt har påverkades. Vidare konstaterar Datatilsynet att intrånget berott på en känd typ av sårbarhet och därmed något som Region Nordjylland borde ha hanterat redan under utvecklingen och testningen av IT-lösningen.