Datatilsynet har tidigare meddelat att sjukhuset Østfold HF kan komma att bötfällas med 1 200 000 norska kronor för brott mot artikel 32 i dataskyddsförordningen (”GDPR”) (läs mer om detta här). Datatilsynet har nu beslutat att sjukhuset Østfold HF ska betala 750 000 norska kronor i sanktionsavgifter på grund av sjukhusets bristande behandling av personuppgifter.
Av beslutet framgår att Østfold HF under perioden 2013-2019 lagrat rapportutdrag ur patientjournaler. Personuppgifterna i rapportutdragen omfattade bland annat namn, födelsedatum, kommun, avdelning och eventuell information om underlättande vid överföring av patient till annan kommun. Två av rapportutdragen innehöll även personnummer och orsak till inläggning på sjukhuset. Händelsen har anmälts som en personuppgiftsincident till Datatilsynet.
Enligt Datatilsynets beslut i ärendet har det inte funnits någon åtkomstkontroll på området/mapparna där rapportutdragen lagrades och/eller cachelagrats, och Østfold HF har inte heller loggat om anställda tagit del av informationen. Personuppgifterna har därmed varit tillgängliga för 118 anställda på sjukhuset, varav de flesta inte haft behov av en sådan åtkomst. Datatilsynet ansåg vidare att rapportutdragen lagrats långt efter att de inte längre behövdes i Østfold HF:s verksamhet. Att en sådan omfattande lagring av oskyddad hälsoinformation kan äga rum under en lång tid ansåg Datatilsynet tyda på brister i Østfold HF:s interna ledningssystem. Enligt Datatilsynet hade Østfold HF inte implementerat tillräckliga säkerhetsåtgärder för att förhindra att liknande incidenter kan komma att ske i framtiden. Mot bakgrund av det inträffade beslutade Datatilsynet därför att bötfälla Østfold HF och beordrade samtidigt sjukhuset att övervaka efterlevnaden av interna rutiner för att säkra uppgifter, särskilt när känsliga personuppgifter är inblandade i behandlingen.