Norge: Moss kommun bötfälls med 500 000 norska kronor för otillräckligt skydd av personuppgifter

Den norska dataskyddsmyndigheten Datatilsynet bötfäller Moss kommun med 500 000 norska kronor för brott mot artikel 32.1 (b) och (d) i dataskyddsförordningen (“GDPR”).

Av beslutet framgår att Rygge och Moss kommun slagits samman i januari 2020. Av denna anledning kombinerades flera IT-system från de båda kommunerna. På grund av otillräckliga säkerhetsåtgärder inträffade ett dataintrång i ett system som använts inom kommunens sjuk- och hälsovård. Systemet behandlade personuppgifter inkluderat uppgifter om hälsa och påverkade människor som bor i kommunen. Systemet användes bland annat för tjänster i samband med vaccinationsprogram i kommunen, liksom andra hälsokontroller och uppföljning av gravida kvinnor. Cirka 2000 personer ska potentiellt ha drabbats av överträdelsen.

Felen som registreras i samband med händelsen är följande:

  • Fel vid registrering av vaccinering. Bland annat har vaccin som personer inte har fått registrerats och vaccin som personer har fått har inte registrerats. Felen kan ha gett upphov till felaktig vaccination och fel i det nationella vaccinregistret.
  • Fel i patientjournaler. Felen som hittats är relaterade till uppföljning av mammor under graviditeten, inklusive fel i antalet graviditetsveckor, vikt och mål i skolhälsovården och i information om mammans användning av droger.
  • Patientinformation har gjorts tillgänglig för hälso- och sjukvårdspersonal vid en avdelning som inte har ett behov av tillgång utan att tillgången har varit möjlig att spåra.
  • Fel som hittas är relaterade till daglig verksamhet, till exempel tidböcker.

Felen korrigerades snabbt och är under kontroll. Moss kommun har själva uppgett att delar av händelsen utgör ett brott mot reglerna om konfidentialitetintegritet och tillgänglighet.

Efter en totalbedömning av ärendet, där Moss kommun också har gett sina synpunkter, har Datatilsynet beslutat att utfärda en sanktionsavgift på 500 000 norska kronor för brott mot artikel 32.1 (b) och (d) i GDPR.

Du kan läsa pressmeddelandet här och beslutet här, båda endast tillgängliga på norska.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.