21-02-2022

GDPR: Alvorlig kritik, påbud og advarsel til Region Hovedstaden

Datatilsynets kraftige kritik kommer på baggrund af to sikkerhedsbrud, som var anmeldt af Sundhedsdatastyrelsen i august 2020 og juli 2021. I begge brud var en dataudvekslingsservice fra sundhedsplatformen, som Region Hovedstaden var dataansvarlig for, involveret.

Datatilsynet har udtalt alvorlig kritik og udstedt et påbud samt en advarsel til Region Hovedstaden. Afgørelsen kommer på baggrund af to sikkerhedsbrud, som var anmeldt af Sundhedsdatastyrelsen i august 2020 og juli 2021. I begge brud var en dataudvekslingsservice fra sundhedsplatformen – som Region Hovedstaden var dataansvarlig for – involveret.

I august 2020 påvirkede sikkerhedsbruddet 4.223 medicinordinationer for 2.310 patienter, og i juli 2021 påvirkede sikkerhedsbruddet 1.311 lægemiddelordinationer fordelt på 1.149 patienter fra Region Hovedstaden og Region Sjælland.

Kodeændringer i ét system gav utilsigtede ændringer i et andet

Begge sikkerhedsbrud opstod, da kodeændringer i Sundhedsplatformen (SP), hvor Region Hovedstaden er dataansvarlig, medførte utilsigtede ændringer i det Fælles Medicin Kort (FMK), hvor Sundhedsdatastyrelsen er dataansvarlig. Sikkerhedsbruddene opstod på baggrund af, at integrationerne mellem FMK og SP muliggør, at en opdatering i SP kan påvirke integriteten af visningen af oplysninger i FMK.

Datatilsynet har efter gennemgang af begge anmeldte brud udtalt alvorlig kritik af Region Hovedstaden for:

  • ikke at have kvalificeret relevante testscenarier med henblik på bedre at kunne identificere afhængigheder til andre it-systemer
  • ikke at have gennemført nødvendige test, inden ændringerne blev sat i produktion
  • ikke at have informeret Sundhedsdatastyrelsen om sikkerhedsbruddene, da hændelserne blev konstateret.

Datatilsynet har meddelt Region Hovedstaden påbud om, at udarbejde og indføre en proces, der sikrer, at ingen ændringer i SP’s funktionalitet eller datagrundlag gennemføres og sættes i drift, før det er sikret, at der ikke ved kendte integrationer med andre systemer skabes urigtige informationer i disse. Påbuddet omfatter således ikke alene integrationer med FMK, men alle it-systemer der er integreret med SP. Herunder også it-systemer som har andre dataansvarlige.

Datatilsynet har endvidere udstedt en advarsel til Region Hovedstaden om, det sandsynligvis vil være i strid med databeskyttelsesforordningen at idriftsætte systemændringer i SP, hvor der forekommer dataintegration med andre systemer, uden at foretage tests af dataintegritet.

Detaljeret kortlægning og bedre overblik over dataansvar

I forhold til Sundhedsdatastyrelsen har Datatilsynet indskærpet, at de skal foretage en detaljeret kortlægning af den interne it-arkitektur og it-miljøet i samarbejde med de involverede parter. Herunder en kortlægning af integrationer mellem FMK og øvrige kilde- og aftagersystemer, således at det fremgår tydeligt, hvilket dataansvar Sundhedsdatastyrelsen har i forhold til behandling af personoplysninger i FMK, og hvilket ansvar øvrige dataansvarlige har for behandling af personoplysninger i kilde- og aftagersystemer. Dette sætter også involverede parter bedre i stand til at identificere og udbedre integrationsfejl i samarbejde med hinanden.

Datatilsynet har endvidere præciseret, at det er den dataansvarliges ansvar at anmelde et brud på persondatasikkerheden til tilsynsmyndigheden, når den dataansvarlige har konstateret tab af integritet af personoplysninger i eget it-system - også i situationer, hvor bruddet er forårsaget af fejl i kilde- og aftagersystemer tilhørende en anden dataansvarlig.




Nyheder fra forsiden
Til "Samfund"  
Leverandører
Ændre marked
Sverige Danmark
Tilbage til toppen
Luk

Abonner på vores nyhedsbrev!


Med vores nyhedsbrev kan du få de seneste nyheder fra sikkerhedsmarkedet. Nyhedsbrevet sendes ugentligt, og du kan afmelde dig, når du ønsker det.