Datatilsynet har utfärdat en sanktionsavgift på 750 000 euro mot sjukhuset Østfold HF för brott mot artikel 32 i dataskyddsförordningen (GDPR),
Av beslutet framgår att Østfold HF under perioden 2013-2019 lagrat rapportutdrag ur patientjournaler. Personuppgifterna i rapportutdragen omfattade bland annat namn, födelsedatum, kommun, avdelning och eventuell information om underlättande vid överföring av patient till annan kommun. Två av rapportutdragen innehöll även personnummer och orsak till inläggning på sjukhuset. Händelsen har anmälts som en personuppgiftsincident till Datatilsynet.
Enligt Datatilsynets beslut i ärendet har det inte funnits någon åtkomstkontroll på området/mapparna där rapportutdragen lagrades och/eller cachelagrats, och Østfold HF har inte heller loggat om anställda tagit del av informationen. Personuppgifterna har därmed varit tillgängliga för 118 anställda på sjukhuset, varav de flesta inte haft behov av en sådan åtkomst. Datatilsynet ansåg vidare att rapportutdragen lagrats långt efter att de inte längre behövdes i Østfold HF:s verksamhet. Att en sådan omfattande lagring av oskyddad hälsoinformation kan äga rum under en lång tid ansåg Datatilsynet tyda på brister i Østfold HF:s interna ledningssystem. Enligt Datatilsynet hade Østfold HF inte implementerat tillräckliga säkerhetsåtgärder för att förhindra att liknande incidenter kan komma att ske i framtiden.