Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) anser att ett sjukhus brutit mot principen om uppgiftsminimering i dataskyddsförordningen (GDPR) genom att inkludera unika och praktiskt taget permanenta identifikationsnummer i textmeddelanden som skickades till patienter.
Av beslutet framgår att Dataombudsmannens byrå underrättats om att ett sjukhus skickat testresultat till sina patienter via textmeddelanden (SMS), inklusive patientens personnummer. Dataombudsmannens byrå bad därefter sjukhuset att förklara syftet med att inkludera personnummer i textmeddelanden.
Som svar på begäran klargjorde sjukhuset att dess mobiltjänst automatiskt skickade testresultat, behandlingsinstruktioner och ett förslag till nästa kontrolldatum till patienter via textmeddelande. Enligt sjukhuset säkerställde införandet av personnumret i textmeddelandet att patientinformationen inte oavsiktligt lämnades ut till fel personer med samma namn.
På grundval av den information som lämnats av sjukhuset konstaterade Dataombudsmannens byrå att syftet med 29 § i den finska dataskyddslagen är att skydda personnumret och förhindra onödig behandling av den. Enligt 29 § 4 mom. i den finska dataskyddslagen ska personnumret dessutom inte i onödan införas i handlingar som skrivs ut eller upprättas på grundval av ett arkiveringssystem. Dataombudsmannens byrå ansåg att textmeddelanden skulle betraktas som en sådan handling.
Dataombudsmannens byrå betonade att, i enlighet med artikel 87 GDPR, får medlemsstaterna fastställa särskilda villkor för behandlingen av ett nationellt identifikationsnummer och i så fall ska det nationella identifikationsnumret endast användas under lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Dataombudsmannens byrå noterade att det personnumret är en unik och praktiskt taget permanent identifierare, vars tillgång för tredje part kan orsaka betydande skada för den registrerade, såsom identitetsstöld. Dessutom tillhandahåller systemet för textmeddelanden inte kryptering av meddelandets innehåll eller trafikdata.
Mot bakgrund av detta ansåg Dataombudsmannens byrå att införandet av det personnumret i textmeddelandet i själva verket inte garanterar att textmeddelandet är adresserat till rätt person. Dataombudsmannens byrå konstaterade att sjukhuset inte bör behandla personnummer enbart i syfte att underlätta sin verksamhet. Sjukhuset borde därför inte i onödan ha inkluderat personnumret i textmeddelandet.
På grundval av den insamlade informationen ansåg Dataombudsmannens byrå att sjukhuset brutit mot artikel 5.1 (c) GDPR, artikel 25.2 GDPR och § 29.4 i den finska dataskyddslagen. Som ett resultat utfärdade Dataombudsmannens byrå ett föreläggande mot sjukhuset att se till att sjukhusets behandling av personuppgifter överensstämmer med de ovannämnda bestämmelserna.