Danmark: Sundhedsstyrelsen kritiseras för bristande kontroll över personuppgifter i it-miljö

Datatilsynet anser att det finns skäl att framföra kritik mot att Sundhedsstyrelsens behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32 i dataskyddsförordningen (GDPR).

Av beslutet framgår att en tidigare anställd vid Sundhedsstyrelsen, i strid med interna riktlinjer och rutiner, lagrat en datamängd innehållande pseudonymiserade personuppgifter i utvecklingsmiljön Microsoft Azure DevOps, där de inte fick förvaras. Datauppsättningen innehöll pseudonymiserad konfidentiell information om medborgare, som kunde avkodas av betrodda medarbetare, oavsett om de hade ett arbetsrelaterat behov av det eller inte.

Sundhedsstyrelsens upptäckte inte förrän ett år senare att datamängden lagrats i den it-miljö som användes för uppgiftshantering. Sundhedsstyrelsen informerade Datatilsynet om att datamängder som lagras i it-miljön i allmänhet inte kontrolleras för personuppgifter och att det inte är möjligt att fastställa tekniska säkerhetsåtgärder för att säkerställa att ett liknande mänskligt fel inte inträffar i framtiden.

Enligt Datatilsynet har Sundhedsstyrelsens, genom att inte upprätta lämpliga kontroller för att säkerställa att inga personuppgifter behandlas i systemet, inte följt reglerna om säkerhet vid behandling av personuppgifter. Datatilsynet betonar att personuppgiftsansvariga generellt sett måste upprätta kontroller, antingen manuella eller automatiska, för att säkerställa att personuppgifter inte lagras i it-miljöer där de inte ska finnas. I detta sammanhang räcker det enligt Datatilsynet inte med riktlinjer och rutiner för om information får lagras i en it-miljö, utan det krävs att den personuppgiftsansvarige regelbundet kontrollerar om de följs i praktiken.

Efter en genomgång av ärendet finner därför Datatilsynet skäl att framföra kritik mot att Sundhedsstyrelsens behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32 GDPR.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 32 GDPR

Sanktionsavgift: N/A

Mottagare: Sundhedsstyrelsen

Beslutsnummer: 2021-442-12991

Beslutsdatum: 2022-03-16

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

19 SEP

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och kunskap om hur du kan utveckla och använda AI-system på ett lagenligt sätt.

21 SEP

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.