Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att Region Själlands behandling av personuppgifter inte har skett i enlighet med reglerna i dataskyddsförordningen (GDPR).
Av beslutet framgår att Datatilsynet fått en förfrågan om att anställda på Region Själland har tillgång till patientlistor på alla Region Själlands sjukhus via vårdplattformens förstasida. Patientlistorna innehöll information om bland annat personnummer, namn och åtgärds- eller inläggsdiagnoser på patienter som de anställda inte nödvändigtvis har en medicinsk relation med. Antalet användare vid den angivna tidpunkten var 16 322. Mot denna bakgrund valde Datatilsynet att inleda ett ärende på eget initiativ för att utreda frågan.
Datatilsynet konstaterade efter en genomgång av ärendet att Region Själland, genom att ge 16 322 användare tillgång till patientlistor på alla sjukhus i regionen, haft tillgång till personuppgifter som, baserat på den specifika risken, inte utgjorde en adekvat säkerhetsnivå. Dessutom konstaterade Datatilsynet att Region Själland, genom att inte ha en logg som återspeglar vilka personuppgifter en viss användare hade sett, inte vidtagit lämpliga tekniska och organisatoriska åtgärder som skulle kunna dokumentera och följa upp eventuellt missbruk av den mycket breda beviljade användaråtkomsten till personuppgifter. Region Själland har därmed inte följt artikel 32.1 GDPR.