29 jun 2020

Utilstrækkelige sikkerhedsforanstaltninger udløste påbud om underretning af 800.000 borgere

Utilstrækkelige sikkerhedsforanstaltninger hos Region Syddanmark udløser alvorlig kritik fra Datatilsynet og påbud om underretning af 800.000 borgere.

Netværksdrev anvendt til midlertidig opbevaring af dokumenter med personoplysninger

Af sagen fremgår det, at Region Syddanmark siden 2013 har anvendt et netværksdrev til midlertidig opbevaring af dokumenter indeholdende almindelige, fortrolige og personoplysninger af særlige kategorier. Der kan være tale om prøvesvar, henvisninger, korrespondance mv.

Netværksdrevet har ikke været beskyttet med tilstrækkelig adgangskontrol, idet alle regionens ca. 30.000 ansatte havde adgang til dokumenterne.

Region Syddanmark forklarer, at netværksdrevet fungerer som et midlertidigt opbevaringssted, inden dokumenterne overføres til Patientjournalen, og formålet med den midlertidige placering har været at kvalificere dokumenterne samt tilknytte metadata, inden de overføres til Patientjournalen. Hensigten har været, at dokumenterne kun skulle opbevares på det midlertidige netværksdrev i nogle minutter, men i nogle tilfælde er oplysningerne blevet opbevaret der i måneder.

Anmeldelse til Datatilsynet

Den 24. januar 2020 bliver Region Syddanmark gjort opmærksom på problemstillingen og anmelder dette til Datatilsynet. Region Syddanmark vurderer dog ved gennemgang af logs, at dette ikke giver indikation af uretmæssig adgang til oplysningerne, da de, der har benyttet adgangen, har haft et sagligt behov som følge af deres arbejdsopgaver. Og på baggrund af blandt andet denne gennemgang, vurderer Region Syddanmark, at risikoen for den registrerede er lav og foretager derfor ingen underretning af borgerne.

Datatilsynets begrundelse for alvorlig kritik

Datatilsynet vurderer, at Regionen ikke har levet op til bestemmelserne i databeskyttelsesforordningens artikel 32, stk. 1 omhandlende gennemførelse af passende tekniske og organisatoriske sikkerhedsforanstaltninger og udtaler på den baggrund alvorlig kritik.

De har ved valg af sanktion særligt lagt vægt på følgende:

  • At bruddet omfatter et stort antal berørte
  • At der er tale om store mængder af personoplysninger, herunder særlige kategorier af personoplysninger jf. art. 9
  • At uvedkommende har haft adgang til data, og at samtlige medarbejdere i Region Syddanmark er tildelt adgang uden vurdering af arbejdsbetinget behov
  • At der ikke er truffet tilstrækkelige tekniske og organisatoriske foranstaltninger, herunder at der ikke er sket logning, der kan dokumentere en eventuel anvendelse af personoplysningerne.

Som formildende omstændighed har Datatilsynet lagt vægt på:

  • at det kun er medarbejdere, der har været autoriseret til regionens netværk, der har kunne tilgå dokumenterne.
  • at medarbejderne er underlagt tavshedspligt.
  • at dokumenterne kun har været tilgængelige afgrænset tidsrum.

Datatilsynet gør dog også opmærksom på, at hvis hele hændelsen havde fundet sted efter forordningens ikrafttræden, ville en sådan hændelse normalt kunne give anledning til bødestraf, særligt henset til udstrækning og omfang.

Påbud om underretning af borgerne

Datatilsynet finder grundlag for at meddele regionen påbud om at foretage underretning af de 800.000 muligt berørte borgere. Dette begrundet i, at regionen ikke kan godtgøre, at personoplysningerne ikke er kommet til uvedkommendes kendskab samt typen af oplysninger, som hændelsen omfatter.

Fristen for efterlevelse af påbuddet er den 26. juni 2020, og undladelse af dette medfører straf med bøde eller fængsel i op til 6 måneder jf. artikel 58, stk. 2, litra e.

Region Syddanmark har efterkommet påbuddet den 23. juni 2020.

Vores kommentarer

Denne afgørelse viser med al tydelighed vigtigheden af gennemførelse af sikkerhedsforanstaltninger, men lige så vigtigt, at effektiviteten af de gennemførte sikkerhedsforanstaltninger løbende skal afprøves, vurderes og evalueres.

Derudover er det også fremhævet i afgørelsen, at ved risikovurderingen i tilfælde af en sikkerhedshændelse som f.eks. brud på fortroligheden, er det at få sat en stopper for en hændelse ikke ensbetydende med, at risikoen for misbrug af de oplysninger, der er kompromitteret, er blevet mindre.

Har du spørgsmål eller brug for rådgivning i forbindelse med databeskyttelsesreglerne, er du altid velkommen til at kontakte en af vores specialister i persondataret.

Tak for din henvendelse

Vi har sendt dig en kvittering via mail og kontakter dig hurtigst muligt.

Har du brug for en advokat med speciale i persondataret?

Vores advokater står klar til at hjælpe

Vil du vide mere, eller har du brug for hjælp, så udfyld felterne. Så kontakter vi dig hurtigst muligt.

Vi anbefaler, at du ikke indtaster nogle følsomme personoplysninger (f.eks. helbredsoplysninger) eller cpr. nr. i kontaktformularen.

Se vores persondatapolitik her