Danmark: Region Hovedstaden kritiseras för bristande säkerhetsåtgärder

Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att Region Hovedstadens behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 i dataskyddsförordningen (GDPR).

Av ärendet framgår att beslutet baseras på två personuppgiftsincidenter som rapporterats av den danska hälso- och läkemedelsmyndigheten i augusti 2020 och juli 2021. De två överträdelserna gällde en datautbytestjänst på den hälsoplattform som användes av hälso- och läkemedelsmyndigheten, och som Region Hovedstaden var personuppgiftsansvarig för.

I augusti 2020 berörde säkerhetsöverträdelsen 4 223 läkemedelsförskrivningar till 2 310 patienter och i juli 2021 berörde säkerhetsöverträdelsen 1 311 läkemedelsförskrivningar fördelade på 1 149 patienter från Region Huvudstaden och Region Själland.

Båda incidenterna inträffade när kodändringar i Health Platform (SP), där Region Hovedstaden ansvarar för data, ledde till oavsiktliga ändringar i Joint Medicine Card (FMK), där den danska hälso- och läkemedelsmyndigheten är personuppgiftsansvarig. Incidenterna uppstod utifrån att integrationerna mellan FMK och SP möjliggör en uppdatering i SP för att påverka integriteten för visningen av information i FMK.

Efter att ha granskat de båda rapporterade incidenterna har Datatilsynet uttryckt allvarlig kritik mot Region Hovedstaden för:

  • inte ha kvalificerade relevanta testscenarier för att bättre kunna identifiera beroenden av andra IT-system,
  • inte ha utfört de nödvändiga testerna innan ändringarna sattes i produktion, och
  • att inte ha informerat den danska hälso- och läkemedelsmyndigheten om incidenterna när dessa konstaterades.

Det har också varit en försvårande omständighet i Datatilsynets beslut att Region Hovedstaden inte tagit itu med säkerheten på ett adekvat sätt efter den första incidenten i augusti 2020 och att ett liknande brott därför upprepades i juli 2021.

Mot bakgrund av ovanstående finner Datatilsynet att det finns skäl att framföra allvarlig kritik mot att Region Hovedstadens behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 GDPR.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 5 GDPR, art. 32 GDPR

Sanktionsavgift: N/A

Mottagare: Region Hovedstaden

Beslutsnummer: 2020-442-8862

Beslutsdatum: 2022-02-18

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.