Norge: Moss kommun bötfälls med 500 000 norska kronor för otillräckligt skydd av personuppgifter

Datatilsynet bötfäller Moss kommun med 500 000 norska kronor för brott mot artikel 32.1 (b) och (d) i dataskyddsförordningen (“GDPR”).

Av beslutet framgår att Rygge och Moss kommun slagits samman i januari 2020. Av denna anledning kombinerades flera IT-system från de båda kommunerna. På grund av otillräckliga säkerhetsåtgärder inträffade ett dataintrång i ett system som använts inom kommunens sjuk- och hälsovård. Systemet behandlade personuppgifter inkluderat uppgifter om hälsa och påverkade människor som bor i kommunen. Systemet användes bland annat för tjänster i samband med vaccinationsprogram i kommunen, liksom andra hälsokontroller och uppföljning av gravida kvinnor. Cirka 2000 personer ska potentiellt ha drabbats av överträdelsen.

Felen som registreras i samband med händelsen är följande:

  • Fel vid registrering av vaccinering. Bland annat har vaccin som personer inte har fått registrerats och vaccin som personer har fått har inte registrerats. Felen kan ha gett upphov till felaktig vaccination och fel i det nationella vaccinregistret.
  • Fel i patientjournaler. Felen som hittats är relaterade till uppföljning av mammor under graviditeten, inklusive fel i antalet graviditetsveckor, vikt och mål i skolhälsovården och i information om mammans användning av droger.
  • Patientinformation har gjorts tillgänglig för hälso- och sjukvårdspersonal vid en avdelning som inte har ett behov av tillgång utan att tillgången har varit möjlig att spåra.
  • Fel som hittas är relaterade till daglig verksamhet, till exempel tidböcker.

Felen korrigerades snabbt och är under kontroll. Moss kommun har själva uppgett att delar av händelsen utgör ett brott mot reglerna om konfidentialitetintegritet och tillgänglighet.

Efter en totalbedömning av ärendet, där Moss kommun också har gett sina synpunkter, har Datatilsynet beslutat att utfärda en sanktionsavgift på 500 000 norska kronor för brott mot artikel 32.1 (b) och (d) i GDPR.

Mer information

Myndighet: Datatilsynet

Land: Norge

Lagrum: Art. 32 GDPR

Sanktionsavgift: 500 000 norska kronor

Mottagare: Moss kommun

Beslutsnummer: 20/02165-9

Beslutsdatum: 2021-06-04

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

30 MAR

Introduktion till AI-förordningen

Få en genomgång av de viktigaste reglerna i nya AI-förordningen och hur AI-system kan användas på ett lagenligt sätt.

20 APR

Privacy by Design & Privacy by Default

En genomgång av de viktigaste åtgärderna för inbyggt dataskydd och dataskydd som standard.

27 APR

Informationssäkerhet & personuppgifter

Få en övergripande introduktion till informationssäkerhet vid behandling av personuppgifter.