Datatilsynet har foretaget en undersøgelse af GHP Gildhøj Privathospital ApS’ (nu Capio A/S) tilsyn med databehandlere. I den forbindelse udvalgte Datatilsynet tilfældigt tre af privathospitalets databehandlere som genstand for undersøgelsen.
Undersøgelsen af Capios tilsyn med de tre databehandlere viste, at privathospitalet ikke havde ført tilsyn med databehandlerne. Det første tilsyn med hver enkelt databehandler blev først ført, da Datatilsynet indledte sin undersøgelse af privathospitalet.
På den baggrund har Datatilsynet besluttet at politianmelde Capio for ikke at have handlet i overensstemmelse med det databeskyttelsesretlige princip om ansvarlighed. Datatilsynet vurderer, at privathospitalet ikke har været i stand til at sikre og påvise, at personoplysninger behandles til lovlige og rimelige formål og på en måde, som sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger. Det gælder også, selvom privathospitalet bad en anden part (en databehandler) om at behandle oplysningerne på sine vegne.
Datatilsynet har ved sin vurdering bl.a. lagt vægt på, at der ikke blev ført tilsyn med databehandlerne i adskillige år. Derudover behandlede databehandlerne oplysninger om et stort antal registrerede. Tilsynet fremhævede også, at databehandlerne behandlede særlige kategorier af personoplysninger (følsomme oplysninger) og andre beskyttelsesværdige personoplysninger.Privathospitalet indstilles til en bøde på ikke under 1.500.000 kr., oplyser Datatilsynet.