Danmark: Datatilsynet uttrycker kritik mot Region Nordjylland för bristande säkerhet kring självbetjäningslösningar

Den danska dataskyddsmyndigheten Datatilsynet har fattat beslut om att rikta kritik mot Region Nordjylland då regionen inte vidtagit tillräckliga säkerhetsåtgärder vid behandling av personuppgifter vilket strider mot artikel 32.1 i dataskyddsförordningen (“GDPR”).

Av beslutet framgår att Datatilsynet inlett granskningen efter att Region Nordjylland den 8 maj 2021 anmält en personuppgiftsincident till myndigheten. Enligt anmälan har det från maj 2018 till april 2021 det varit möjligt att via en IT-lösning komma åt andras personuppgifter och avboka bokningar, till exempel möten på sjukhus. Detta var en välkänd typ av sårbarhet, som handlar om bristande kontroll av användarens åtkomst. Missbruk av lösningen krävde att användaren var inloggad med NemID, men felet gjorde att tillgången till bokningar och brev inte var begränsad till den aktuella användarens egna bokningar/brev.

Datatilsynet framför nu kritik mot att Region Nordjylland inte följt kravet på lämpliga säkerhetsåtgärder enligt artikel 32.1 GDPR eftersom regionen inte ställt tillräckliga krav på säkerhet i sina avtal med företaget som tagit fram lösningen. Datatilsynet konstaterar att Region Nordjyllands IT-lösning möjliggjort tillgång till andras personuppgifter, inklusive känsliga personuppgifter, och möjligheten att avboka bokningar.

Datatilsynet konstaterar särskilt att överträdelsen varat i cirka tre år och att cirka en halv miljon registrerade personers personuppgifter utsatts för potentiell obehörig tillgång och att de registrerades integritet och konfidentialitet potentiellt har påverkades. Vidare konstaterar Datatilsynet att intrånget berott på en känd typ av sårbarhet och därmed något som Region Nordjylland borde ha hanterat redan under utvecklingen och testningen av IT-lösningen.

Du kan läsa pressmeddelandet här och beslutet här, båda endast tillgängliga på danska.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.