Datatilsynet anser att det finns skäl att framföra kritik mot att Sundhedsstyrelsens behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32 i dataskyddsförordningen (GDPR).
Av beslutet framgår att en tidigare anställd vid Sundhedsstyrelsen, i strid med interna riktlinjer och rutiner, lagrat en datamängd innehållande pseudonymiserade personuppgifter i utvecklingsmiljön Microsoft Azure DevOps, där de inte fick förvaras. Datauppsättningen innehöll pseudonymiserad konfidentiell information om medborgare, som kunde avkodas av betrodda medarbetare, oavsett om de hade ett arbetsrelaterat behov av det eller inte.
Sundhedsstyrelsens upptäckte inte förrän ett år senare att datamängden lagrats i den it-miljö som användes för uppgiftshantering. Sundhedsstyrelsen informerade Datatilsynet om att datamängder som lagras i it-miljön i allmänhet inte kontrolleras för personuppgifter och att det inte är möjligt att fastställa tekniska säkerhetsåtgärder för att säkerställa att ett liknande mänskligt fel inte inträffar i framtiden.
Enligt Datatilsynet har Sundhedsstyrelsens, genom att inte upprätta lämpliga kontroller för att säkerställa att inga personuppgifter behandlas i systemet, inte följt reglerna om säkerhet vid behandling av personuppgifter. Datatilsynet betonar att personuppgiftsansvariga generellt sett måste upprätta kontroller, antingen manuella eller automatiska, för att säkerställa att personuppgifter inte lagras i it-miljöer där de inte ska finnas. I detta sammanhang räcker det enligt Datatilsynet inte med riktlinjer och rutiner för om information får lagras i en it-miljö, utan det krävs att den personuppgiftsansvarige regelbundet kontrollerar om de följs i praktiken.
Efter en genomgång av ärendet finner därför Datatilsynet skäl att framföra kritik mot att Sundhedsstyrelsens behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32 GDPR.