Norge: Moss kommun bötfälls med 500 000 norska kronor för otillräckligt skydd av personuppgifter

Datatilsynet bötfäller Moss kommun med 500 000 norska kronor för brott mot artikel 32.1 (b) och (d) i dataskyddsförordningen (“GDPR”).

Av beslutet framgår att Rygge och Moss kommun slagits samman i januari 2020. Av denna anledning kombinerades flera IT-system från de båda kommunerna. På grund av otillräckliga säkerhetsåtgärder inträffade ett dataintrång i ett system som använts inom kommunens sjuk- och hälsovård. Systemet behandlade personuppgifter inkluderat uppgifter om hälsa och påverkade människor som bor i kommunen. Systemet användes bland annat för tjänster i samband med vaccinationsprogram i kommunen, liksom andra hälsokontroller och uppföljning av gravida kvinnor. Cirka 2000 personer ska potentiellt ha drabbats av överträdelsen.

Felen som registreras i samband med händelsen är följande:

  • Fel vid registrering av vaccinering. Bland annat har vaccin som personer inte har fått registrerats och vaccin som personer har fått har inte registrerats. Felen kan ha gett upphov till felaktig vaccination och fel i det nationella vaccinregistret.
  • Fel i patientjournaler. Felen som hittats är relaterade till uppföljning av mammor under graviditeten, inklusive fel i antalet graviditetsveckor, vikt och mål i skolhälsovården och i information om mammans användning av droger.
  • Patientinformation har gjorts tillgänglig för hälso- och sjukvårdspersonal vid en avdelning som inte har ett behov av tillgång utan att tillgången har varit möjlig att spåra.
  • Fel som hittas är relaterade till daglig verksamhet, till exempel tidböcker.

Felen korrigerades snabbt och är under kontroll. Moss kommun har själva uppgett att delar av händelsen utgör ett brott mot reglerna om konfidentialitetintegritet och tillgänglighet.

Efter en totalbedömning av ärendet, där Moss kommun också har gett sina synpunkter, har Datatilsynet beslutat att utfärda en sanktionsavgift på 500 000 norska kronor för brott mot artikel 32.1 (b) och (d) i GDPR.

Mer information

Myndighet: Datatilsynet

Land: Norge

Lagrum: Art. 32 GDPR

Sanktionsavgift: 500 000 norska kronor

Mottagare: Moss kommun

Beslutsnummer: 20/02165-9

Beslutsdatum: 2021-06-04

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

07 MAR

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.