Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att Region Hovedstadens behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 i dataskyddsförordningen (GDPR).
Av ärendet framgår att beslutet baseras på två personuppgiftsincidenter som rapporterats av den danska hälso- och läkemedelsmyndigheten i augusti 2020 och juli 2021. De två överträdelserna gällde en datautbytestjänst på den hälsoplattform som användes av hälso- och läkemedelsmyndigheten, och som Region Hovedstaden var personuppgiftsansvarig för.
I augusti 2020 berörde säkerhetsöverträdelsen 4 223 läkemedelsförskrivningar till 2 310 patienter och i juli 2021 berörde säkerhetsöverträdelsen 1 311 läkemedelsförskrivningar fördelade på 1 149 patienter från Region Huvudstaden och Region Själland.
Båda incidenterna inträffade när kodändringar i Health Platform (SP), där Region Hovedstaden ansvarar för data, ledde till oavsiktliga ändringar i Joint Medicine Card (FMK), där den danska hälso- och läkemedelsmyndigheten är personuppgiftsansvarig. Incidenterna uppstod utifrån att integrationerna mellan FMK och SP möjliggör en uppdatering i SP för att påverka integriteten för visningen av information i FMK.
Efter att ha granskat de båda rapporterade incidenterna har Datatilsynet uttryckt allvarlig kritik mot Region Hovedstaden för:
- inte ha kvalificerade relevanta testscenarier för att bättre kunna identifiera beroenden av andra IT-system,
- inte ha utfört de nödvändiga testerna innan ändringarna sattes i produktion, och
- att inte ha informerat den danska hälso- och läkemedelsmyndigheten om incidenterna när dessa konstaterades.
Det har också varit en försvårande omständighet i Datatilsynets beslut att Region Hovedstaden inte tagit itu med säkerheten på ett adekvat sätt efter den första incidenten i augusti 2020 och att ett liknande brott därför upprepades i juli 2021.
Mot bakgrund av ovanstående finner Datatilsynet att det finns skäl att framföra allvarlig kritik mot att Region Hovedstadens behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 GDPR.