Dataombudsmannen vid Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) har gett en hälsovårdsaktör en anmärkning för att inte ha uppfyllt sin skyldighet att adekvat skydda personuppgifterna i enlighet med dataskyddsförordningen (GDPR).
Av beslutet framgår att Dataombudsmannens byrå tagit emot en anmälan om en personuppgiftsincident från en hälsovårdsaktör. Enligt anmälan har en bärbar dator, pappershandlingar och två externa hårddiskar hamnat hos en utomstående när en datorväska stulits. De stulna sakerna innehöll bland annat kunders hälsouppgifter, kontaktuppgifter och uppgifter om försäkringar. Datorn var avstängd och inloggningen skyddades med ett lösenord, men datorns massminne eller personuppgifterna i minnet hade inget skydd.
Biträdande dataombudsmannen konstaterar att skydda personuppgifter som sparats på den bärbara datorn enbart med ett lösenord inte var en tillräckligt bra skyddsmetod. Om en utomstående kommer in på enheten, förhindrar inte ens ett starkt lösenord som används för inloggning tillgången till uppgifterna på datorn om uppgifterna inte är adekvat och effektivt krypterade. Det kan vara ännu lättare att få tillgång till uppgifterna på externa hårddiskar. Därför ska i synnerhet personuppgifter med hög risk skyddas tillräckligt starkt och enheter där sådana uppgifter sparats ska förvaras omsorgsfullt.
Enligt biträdande dataombudsmannen kunde personuppgifterna ha skyddats till exempel med ett krypteringsprogram. Användningen av ett sådant program skulle inte ha krävt orimlig möda eller orimliga resurser av den personuppgiftsansvariga.
Mot denna bakgrund fick hälsovårdsaktören en anmärkning för att inte ha uppfyllt sin skyldighet att adekvat skydda personuppgifterna i enlighet med artikel 32 GDPR. Företaget har informerat de ca 3 000 kunder som drabbats av personuppgiftsincidenten.