Danmark: Region Hovedstaden kritiseras för bristande säkerhetsåtgärder

Den danska dataskyddsmyndigheten Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att Region Hovedstadens behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 i dataskyddsförordningen (GDPR).

Av ärendet framgår att beslutet baseras på två personuppgiftsincidenter som rapporterats av den danska hälso- och läkemedelsmyndigheten i augusti 2020 och juli 2021. De två överträdelserna gällde en datautbytestjänst på den hälsoplattform som användes av hälso- och läkemedelsmyndigheten, och som Region Hovedstaden var personuppgiftsansvarig för.

I augusti 2020 berörde säkerhetsöverträdelsen 4 223 läkemedelsförskrivningar till 2 310 patienter och i juli 2021 berörde säkerhetsöverträdelsen 1 311 läkemedelsförskrivningar fördelade på 1 149 patienter från Region Huvudstaden och Region Själland.

Båda incidenterna inträffade när kodändringar i Health Platform (SP), där Region Hovedstaden ansvarar för data, ledde till oavsiktliga ändringar i Joint Medicine Card (FMK), där den danska hälso- och läkemedelsmyndigheten är personuppgiftsansvarig. Incidenterna uppstod utifrån att integrationerna mellan FMK och SP möjliggör en uppdatering i SP för att påverka integriteten för visningen av information i FMK.

Efter att ha granskat de båda rapporterade incidenterna har Datatilsynet uttryckt allvarlig kritik mot Region Hovedstaden för:

  • inte ha kvalificerade relevanta testscenarier för att bättre kunna identifiera beroenden av andra IT-system,
  • inte ha utfört de nödvändiga testerna innan ändringarna sattes i produktion, och
  • att inte ha informerat den danska hälso- och läkemedelsmyndigheten om incidenterna när dessa konstaterades.

Det har också varit en försvårande omständighet i Datatilsynets beslut att Region Hovedstaden inte tagit itu med säkerheten på ett adekvat sätt efter den första incidenten i augusti 2020 och att ett liknande brott därför upprepades i juli 2021.

Mot bakgrund av ovanstående finner Datatilsynet att det finns skäl att framföra allvarlig kritik mot att Region Hovedstadens behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 GDPR.

Datatilsynet finner samtidigt att det finns skäl att förelägga Region Hovedstaden att förbereda och införa en process som säkerställer att inga förändringar i hälsoplattformens funktionalitet eller dataunderlag implementeras och tas i drift innan den är säkerställt att inga kända integrationer med andra system skapar felaktig information i dessa. Deadline för efterlevnad av föreläggandet är den 10 mars 2022.

Datatilsynet har också utfärdat en varning till Region Hovedstaden om att idrifttagande av systemändringar i hälsoplattformen där dataintegration med andra system sker utan test av dataintegritet sannolikt kommer att stå i strid med artikel 5.1 (a) och (d) GDPR.

Du kan läsa pressmeddelandet här och beslutet här, båda endast tillgängliga på danska.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.