Danmark: Sundhedsstyrelsen kritiseras för bristande kontroll över personuppgifter i it-miljö

Datatilsynet anser att det finns skäl att framföra kritik mot att Sundhedsstyrelsens behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32 i dataskyddsförordningen (GDPR).

Av beslutet framgår att en tidigare anställd vid Sundhedsstyrelsen, i strid med interna riktlinjer och rutiner, lagrat en datamängd innehållande pseudonymiserade personuppgifter i utvecklingsmiljön Microsoft Azure DevOps, där de inte fick förvaras. Datauppsättningen innehöll pseudonymiserad konfidentiell information om medborgare, som kunde avkodas av betrodda medarbetare, oavsett om de hade ett arbetsrelaterat behov av det eller inte.

Sundhedsstyrelsens upptäckte inte förrän ett år senare att datamängden lagrats i den it-miljö som användes för uppgiftshantering. Sundhedsstyrelsen informerade Datatilsynet om att datamängder som lagras i it-miljön i allmänhet inte kontrolleras för personuppgifter och att det inte är möjligt att fastställa tekniska säkerhetsåtgärder för att säkerställa att ett liknande mänskligt fel inte inträffar i framtiden.

Enligt Datatilsynet har Sundhedsstyrelsens, genom att inte upprätta lämpliga kontroller för att säkerställa att inga personuppgifter behandlas i systemet, inte följt reglerna om säkerhet vid behandling av personuppgifter. Datatilsynet betonar att personuppgiftsansvariga generellt sett måste upprätta kontroller, antingen manuella eller automatiska, för att säkerställa att personuppgifter inte lagras i it-miljöer där de inte ska finnas. I detta sammanhang räcker det enligt Datatilsynet inte med riktlinjer och rutiner för om information får lagras i en it-miljö, utan det krävs att den personuppgiftsansvarige regelbundet kontrollerar om de följs i praktiken.

Efter en genomgång av ärendet finner därför Datatilsynet skäl att framföra kritik mot att Sundhedsstyrelsens behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32 GDPR.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 32 GDPR

Sanktionsavgift: N/A

Mottagare: Sundhedsstyrelsen

Beslutsnummer: 2021-442-12991

Beslutsdatum: 2022-03-16

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

09 MAR

Introduktion till dataskyddsförordningen

Lär dig om grunderna i GDPR och vad som gäller vid behandling av personuppgifter.

16 MAR

Molntjänster och tredjelandsöverföringar

Få en genomgång av reglerna för tredjelandsöverföringar vid användning av molntjänster.

23 MAR

Konsekvensbedömning avseende dataskydd

Lär dig att göra en konsekvensbedömning avseende dataskydd i praktiken.