Norge: Datatilsynet har godkänt böter på 750 000 norska kronor till sjukhuset Østfold HF

Datatilsynet har tidigare meddelat att sjukhuset Østfold HF kan komma att bötfällas med 1 200 000 norska kronor för brott mot artikel 32 i dataskyddsförordningen (”GDPR”) (läs mer om detta här). Datatilsynet har nu beslutat att sjukhuset Østfold HF ska betala 750 000 norska kronor i sanktionsavgifter på grund av sjukhusets bristande behandling av personuppgifter.

Av beslutet framgår att Østfold HF under perioden 2013-2019 lagrat rapportutdrag ur patientjournaler. Personuppgifterna i rapportutdragen omfattade bland annat namn, födelsedatum, kommun, avdelning och eventuell information om underlättande vid överföring av patient till annan kommun. Två av rapportutdragen innehöll även personnummer och orsak till inläggning på sjukhuset. Händelsen har anmälts som en personuppgiftsincident till Datatilsynet.

Enligt Datatilsynets beslut i ärendet har det inte funnits någon åtkomstkontroll på området/mapparna där rapportutdragen lagrades och/eller cachelagrats, och Østfold HF har inte heller loggat om anställda tagit del av informationen. Personuppgifterna har därmed varit tillgängliga för 118 anställda på sjukhuset, varav de flesta inte haft behov av en sådan åtkomst. Datatilsynet ansåg vidare att rapportutdragen lagrats långt efter att de inte längre behövdes i Østfold HF:s verksamhet. Att en sådan omfattande lagring av oskyddad hälsoinformation kan äga rum under en lång tid ansåg Datatilsynet tyda på brister i Østfold HF:s interna ledningssystem. Enligt Datatilsynet hade Østfold HF inte implementerat tillräckliga säkerhetsåtgärder för att förhindra att liknande incidenter kan komma att ske i framtiden. Mot bakgrund av det inträffade beslutade Datatilsynet därför att bötfälla Østfold HF och beordrade samtidigt sjukhuset att övervaka efterlevnaden av interna rutiner för att säkra uppgifter, särskilt när känsliga personuppgifter är inblandade i behandlingen.

Mer information

Myndighet: Datatilsynet

Land: Norge

Lagrum: Art. 32 GDPR

Sanktionsavgift: 750 000 norska kronor

Mottagare: Østfold HF

Beslutsnummer: 20/02291-4

Beslutsdatum: 2020-10-22

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

07 MAR

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.