Danmark: Datatilsynet uttrycker kritik mot Region Nordjylland för bristande säkerhet kring självbetjäningslösningar

Datatilsynet har fattat beslut om att rikta kritik mot Region Nordjylland då regionen inte vidtagit tillräckliga säkerhetsåtgärder vid behandling av personuppgifter vilket strider mot artikel 32.1 i dataskyddsförordningen (“GDPR”).

Av beslutet framgår att Datatilsynet inlett granskningen efter att Region Nordjylland den 8 maj 2021 anmält en personuppgiftsincident till myndigheten. Enligt anmälan har det från maj 2018 till april 2021 det varit möjligt att via en IT-lösning komma åt andras personuppgifter och avboka bokningar, till exempel möten på sjukhus. Detta var en välkänd typ av sårbarhet, som handlar om bristande kontroll av användarens åtkomst. Missbruk av lösningen krävde att användaren var inloggad med NemID, men felet gjorde att tillgången till bokningar och brev inte var begränsad till den aktuella användarens egna bokningar/brev.

Datatilsynet framför nu kritik mot att Region Nordjylland inte följt kravet på lämpliga säkerhetsåtgärder enligt artikel 32.1 GDPR eftersom regionen inte ställt tillräckliga krav på säkerhet i sina avtal med företaget som tagit fram lösningen. Datatilsynet konstaterar att Region Nordjyllands IT-lösning möjliggjort tillgång till andras personuppgifter, inklusive känsliga personuppgifter, och möjligheten att avboka bokningar.

Datatilsynet konstaterar särskilt att överträdelsen varat i cirka tre år och att cirka en halv miljon registrerade personers personuppgifter utsatts för potentiell obehörig tillgång och att de registrerades integritet och konfidentialitet potentiellt har påverkades. Vidare konstaterar Datatilsynet att intrånget berott på en känd typ av sårbarhet och därmed något som Region Nordjylland borde ha hanterat redan under utvecklingen och testningen av IT-lösningen.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 32 GDPR

Sanktionsavgift: N/A

Mottagare: Region Nordjylland

Beslutsnummer: 2021-442-12924

Beslutsdatum: 2021-11-08

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

07 MAR

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.