03-10-2023

Alvorlig kritik til Region Sjælland for manglende sikkerhed

Datatilsynet har udtalt alvorlig kritik af Region Sjællands manglende sikkerhed omkring brede adgange til persondata og for at have en logning, der ikke gav mulighed for at kunne se, hvilke personoplysninger en given bruger tilgik.

Autoriserede brugeres uretmæssige adgang til personoplysninger udgør en betydelig risiko, som alle dataansvarlige ifølge GDPR skal forholde sig til.

Datatilsynet har i flere sager konstateret, at dataansvarlige ikke har gennemført tilstrækkelige sikkerhedsforanstaltninger for at imødegå den risiko. I disse sager har dataansvarlige anført, at de – som den eneste sikkerhedsforanstaltning – har oplyst brugerne om deres tavshedspligt og de mulige strafferetlige konsekvenser, hvis tavshedspligten overtrædes.

Det er dog i de fleste tilfælde ikke tilstrækkeligt til at beskytte de registreredes rettigheder. Selv i tilfælde, hvor brugerne bliver godt informeret, modtager Datatilsynet anmeldelser om brud på persondatasikkerheden, hvor netop uretmæssig brug af adgangsrettigheder er årsagen til bruddet.

Skærpede sikkerhedsforanstaltninger

Selvom afgørelsen vedrører en konkret sag, skal Datatilsynet indskærpe følgende sikkerhedsforanstaltninger overfor alle dataansvarlige:

  • Adgang til personoplysninger bør kun gives til en bruger efter en dokumenteret vurdering af den dataansvarlige
  • Ansatte bør kun have adgang til personoplysninger, som vedkommende har et arbejdsbetinget behov for at tilgå
  • Den dataansvarlige skal reducere risikoen ved adgang til personoplysninger
  • Den dataansvarlige skal implementere passende kontrolforanstaltninger.

Det er Datatilsynets opfattelse, at kontrollen af adgangsrettigheder som minimum bør bestå af en verifikation af det arbejdsbetingede behov ved tildelingen, en løbende kontrol baseret på verifikation af, at behovet stadig er relevant og en form for auditering heraf. Hvis auditeringen udføres som stikprøvekontroller, skal antallet og frekvensen af udtagne stikprøver stå repræsentativt i forhold til antallet af mulige hændelser og risikoen for de registreredes rettigheder.

Region Sjælland får alvorlig kritik

I den konkrete sag fandt Datatilsynet, at der på sundhedsområdet – i visse tilfælde – kan være behov for en bredere adgang til personoplysninger. Denne adgang skal dog begrænses til de medarbejdere, hvor der er et konkret arbejdsbetinget behov og kun i de arbejdssituationer, hvor det er relevant. Behovet for denne bredere adgang skal altid afvejes mod de kendte risikoscenarier.

Datatilsynet udtalte alvorlig kritik af Region Sjælland for at give alle autoriserede brugere adgang til patientlister med personoplysninger på samtlige af Regionens hospitalsafdelinger - uden tilstrækkelige sikkerhedsforanstaltninger.

Datatilsynet fandt også, at Regionens logningspraksis ikke kunne skabe en sammenhæng mellem et opslag og de konkrete personoplysninger, som blev tilgået gennem patientlisten. Regionen kunne derfor ikke dokumentere og følge op på et eventuelt misbrug af den omfattende brugeradgang til persondata. Region Sjælland havde på den baggrund ikke overholdt databeskyttelsesforordningens artikel 32, stk. 1.



Nyheder fra forsiden
Til "Samfund"  
Leverandører
Ændre marked
Sverige Danmark
Tilbage til toppen
Luk

Abonner på vores nyhedsbrev!


Med vores nyhedsbrev kan du få de seneste nyheder fra sikkerhedsmarkedet. Nyhedsbrevet sendes ugentligt, og du kan afmelde dig, når du ønsker det.