Danmark: Sundhedsstyrelsen kritiseras för bristande kontroll över personuppgifter i it-miljö

Den danska dataskyddsmyndigheten Datatilsynet anser att det finns skäl att framföra kritik mot att Sundhedsstyrelsens behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32 i dataskyddsförordningen (GDPR).

Av beslutet framgår att en tidigare anställd vid Sundhedsstyrelsen, i strid med interna riktlinjer och rutiner, lagrat en datamängd innehållande pseudonymiserade personuppgifter i utvecklingsmiljön Microsoft Azure DevOps, där de inte fick förvaras. Datauppsättningen innehöll pseudonymiserad konfidentiell information om medborgare, som kunde avkodas av betrodda medarbetare, oavsett om de hade ett arbetsrelaterat behov av det eller inte.

Sundhedsstyrelsens upptäckte inte förrän ett år senare att datamängden lagrats i den it-miljö som användes för uppgiftshantering. Sundhedsstyrelsen informerade Datatilsynet om att datamängder som lagras i it-miljön i allmänhet inte kontrolleras för personuppgifter och att det inte är möjligt att fastställa tekniska säkerhetsåtgärder för att säkerställa att ett liknande mänskligt fel inte inträffar i framtiden.

Enligt Datatilsynet har Sundhedsstyrelsens, genom att inte upprätta lämpliga kontroller för att säkerställa att inga personuppgifter behandlas i systemet, inte följt reglerna om säkerhet vid behandling av personuppgifter. Datatilsynet betonar att personuppgiftsansvariga generellt sett måste upprätta kontroller, antingen manuella eller automatiska, för att säkerställa att personuppgifter inte lagras i it-miljöer där de inte ska finnas. I detta sammanhang räcker det enligt Datatilsynet inte med riktlinjer och rutiner för om information får lagras i en it-miljö, utan det krävs att den personuppgiftsansvarige regelbundet kontrollerar om de följs i praktiken.

Efter en genomgång av ärendet finner därför Datatilsynet skäl att framföra kritik mot att Sundhedsstyrelsens behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32 GDPR.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 32 GDPR

Sanktionsavgift: N/A

Mottagare: Sundhedsstyrelsen

Beslutsnummer: 2021-442-1299

Beslutsdatum: 2022-03-16

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.