Danmark, Dataskydd

Danmark: Region Hovedstaden kritiseras för bristande säkerhetsåtgärder

February 23, 2022

Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att Region Hovedstadens behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 i dataskyddsförordningen (GDPR).

Av ärendet framgår att beslutet baseras på två personuppgiftsincidenter som rapporterats av den danska hälso- och läkemedelsmyndigheten i augusti 2020 och juli 2021. De två överträdelserna gällde en datautbytestjänst på den hälsoplattform som användes av hälso- och läkemedelsmyndigheten, och som Region Hovedstaden var personuppgiftsansvarig för.

I augusti 2020 berörde säkerhetsöverträdelsen 4 223 läkemedelsförskrivningar till 2 310 patienter och i juli 2021 berörde säkerhetsöverträdelsen 1 311 läkemedelsförskrivningar fördelade på 1 149 patienter från Region Huvudstaden och Region Själland.

Båda incidenterna inträffade när kodändringar i Health Platform (SP), där Region Hovedstaden ansvarar för data, ledde till oavsiktliga ändringar i Joint Medicine Card (FMK), där den danska hälso- och läkemedelsmyndigheten är personuppgiftsansvarig. Incidenterna uppstod utifrån att integrationerna mellan FMK och SP möjliggör en uppdatering i SP för att påverka integriteten för visningen av information i FMK.

Efter att ha granskat de båda rapporterade incidenterna har Datatilsynet uttryckt allvarlig kritik mot Region Hovedstaden för:

inte ha kvalificerade relevanta testscenarier för att bättre kunna identifiera beroenden av andra IT-system,
inte ha utfört de nödvändiga testerna innan ändringarna sattes i produktion, och
att inte ha informerat den danska hälso- och läkemedelsmyndigheten om incidenterna när dessa konstaterades.

Det har också varit en försvårande omständighet i Datatilsynets beslut att Region Hovedstaden inte tagit itu med säkerheten på ett adekvat sätt efter den första incidenten i augusti 2020 och att ett liknande brott därför upprepades i juli 2021.

Mot bakgrund av ovanstående finner Datatilsynet att det finns skäl att framföra allvarlig kritik mot att Region Hovedstadens behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 GDPR.

Taggar: Informationssäkerhet, Personuppgiftsincident, Tillsyn

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 5 GDPR, art. 32 GDPR

Sanktionsavgift: N/A

Mottagare: Region Hovedstaden

Beslutsnummer: 2020-442-8862

Beslutsdatum: 2022-02-18

Källa: Beslut

Danmark: Region Hovedstaden kritiseras för bristande säkerhetsåtgärder

Mer information

Relaterade nyheter

Spanien: Sindicato Aragonés de Transporte bötfälls med 3 000 euro för att ha publicerat personuppgifter på webbplats och i sociala medier

Italien: Giessegi Industria Mobili bötfälls med 50 000 euro för flera överträdelser av GDPR

Sverige: Kamerabevakning ska bli enklare för kommuner och regioner

Aktuellt: Extrainsatt kurstillfälle för distanskurs om molntjänster och tredjelandsöverföringar

Irland: Centric Health bötfälls med 460 000 euro för otillräckliga säkerhetsåtgärder

Spanien: Privatperson bötfälls med 5 000 euro för att ha skickat ett e-postmeddelande i en öppen distributionslista

Tyskland: Företag får reprimand för olaglig behandling av personuppgifter och överträdelser av registrerades rättigheter

Spanien: Privatperson bötfälls med 480 euro för otillåten kamerabevakning av grannfastighet

Norge: Argon Medical Devices bötfälls med 2,5 miljoner norska kronor för sen anmälan av personuppgiftsincident

Österrike: Domstolen anser att rätten till radering är en personlig rättighet och därför icke-överförbar

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Juridik

Hitta snabbt

Kontakt

Prenumerera på vårt nyhetsbrev

Gå kurs med oss

30 MAR

Introduktion till AI-förordningen

20 APR

Privacy by Design & Privacy by Default

27 APR

Informationssäkerhet & personuppgifter