Datatilsynet har udtalt alvorlig kritik af Region Sjællands manglende sikkerhed omkring brede adgange til persondata og for at have en logning, der ikke gav mulighed for at kunne se, hvilke personoplysninger en given bruger tilgik.
Autoriserede brugeres uretmæssige adgang til personoplysninger udgør en betydelig risiko, som alle dataansvarlige skal forholde sig til.
Datatilsynet har i flere sager konstateret, at dataansvarlige ikke har gennemført tilstrækkelige sikkerhedsforanstaltninger for at imødegå den risiko. I disse sager har dataansvarlige anført, at de – som den eneste sikkerhedsforanstaltning – har oplyst brugerne om deres tavshedspligt og de mulige strafferetlige konsekvenser, hvis tavshedspligten overtrædes.
Det er dog i de fleste tilfælde ikke tilstrækkeligt til at beskytte de registreredes rettigheder. Selv i tilfælde, hvor brugerne bliver godt informeret, modtager Datatilsynet anmeldelser om brud på persondatasikkerheden, hvor netop uretmæssig brug af adgangsrettigheder er årsagen til bruddet.
Skærpede sikkerhedsforanstaltninger
Selvom afgørelsen vedrører en konkret sag, skal Datatilsynet indskærpe følgende sikkerhedsforanstaltninger overfor alle dataansvarlige:
Adgang til personoplysninger bør kun gives til en bruger efter en dokumenteret vurdering af den dataansvarlige.
Ansatte bør kun have adgang til personoplysninger, som vedkommende har et arbejdsbetinget behov for at tilgå.
Den dataansvarlige skal reducere risikoen ved adgang til personoplysninger.
Den dataansvarlige skal implementere passende kontrolforanstaltninger.
Det er Datatilsynets opfattelse, at kontrollen af adgangsrettigheder som minimum bør bestå af en verifikation af det arbejdsbetingede behov ved tildelingen, en løbende kontrol baseret på verifikation af, at behovet stadig er relevant og en form for auditering heraf. Hvis auditeringen udføres som stikprøvekontroller, skal antallet og frekvensen af udtagne stikprøver stå repræsentativt i forhold til antallet af mulige hændelser og risikoen for de registreredes rettigheder. Region Sjælland får alvorlig kritik I den konkrete sag fandt Datatilsynet, at der på sundhedsområdet – i visse tilfælde – kan være behov for en bredere adgang til personoplysninger. Denne adgang skal dog begrænses til de medarbejdere, hvor der er et konkret arbejdsbetinget behov og kun i de arbejdssituationer, hvor det er relevant. Behovet for denne bredere adgang skal altid afvejes mod de kendte risikoscenarier. Datatilsynet udtalte alvorlig kritik af Region Sjælland for at give alle autoriserede brugere adgang til patientlister med personoplysninger på samtlige af Regionens hospitalsafdelinger - uden tilstrækkelige sikkerhedsforanstaltninger. Datatilsynet fandt endvidere, at Regionens logningspraksis ikke kunne skabe en sammenhæng mellem et opslag og de konkrete personoplysninger, som blev tilgået gennem patientlisten. Regionen kunne derfor ikke dokumentere og følge op på et eventuelt misbrug af den omfattende brugeradgang til persondata. Region Sjælland havde på den baggrund ikke overholdt databeskyttelsesforordningens artikel 32, stk. 1. Vil du vide mere? Læs hele afgørelsen her. Du kan også læse mere om, hvornår du må behandle personoplysninger her.
Kilde: datatilsynet.dk
Comments