Datatilsynet bötfäller Moss kommun med 500 000 norska kronor för brott mot artikel 32.1 (b) och (d) i dataskyddsförordningen (“GDPR”).
Av beslutet framgår att Rygge och Moss kommun slagits samman i januari 2020. Av denna anledning kombinerades flera IT-system från de båda kommunerna. På grund av otillräckliga säkerhetsåtgärder inträffade ett dataintrång i ett system som använts inom kommunens sjuk- och hälsovård. Systemet behandlade personuppgifter inkluderat uppgifter om hälsa och påverkade människor som bor i kommunen. Systemet användes bland annat för tjänster i samband med vaccinationsprogram i kommunen, liksom andra hälsokontroller och uppföljning av gravida kvinnor. Cirka 2000 personer ska potentiellt ha drabbats av överträdelsen.
Felen som registreras i samband med händelsen är följande:
- Fel vid registrering av vaccinering. Bland annat har vaccin som personer inte har fått registrerats och vaccin som personer har fått har inte registrerats. Felen kan ha gett upphov till felaktig vaccination och fel i det nationella vaccinregistret.
- Fel i patientjournaler. Felen som hittats är relaterade till uppföljning av mammor under graviditeten, inklusive fel i antalet graviditetsveckor, vikt och mål i skolhälsovården och i information om mammans användning av droger.
- Patientinformation har gjorts tillgänglig för hälso- och sjukvårdspersonal vid en avdelning som inte har ett behov av tillgång utan att tillgången har varit möjlig att spåra.
- Fel som hittas är relaterade till daglig verksamhet, till exempel tidböcker.
Felen korrigerades snabbt och är under kontroll. Moss kommun har själva uppgett att delar av händelsen utgör ett brott mot reglerna om konfidentialitet, integritet och tillgänglighet.
Efter en totalbedömning av ärendet, där Moss kommun också har gett sina synpunkter, har Datatilsynet beslutat att utfärda en sanktionsavgift på 500 000 norska kronor för brott mot artikel 32.1 (b) och (d) i GDPR.