E-post fra Psykiatrisk Hospital i Århus i strid med persondataloven
15.10.03
Datatilsynet har nu truffet afgørelse i en sag vedrørende Århus Amts behandling af følsomme personoplysninger.
Fra Psykiatrisk Hospital i Århus er der sendt en almindelig e-post indeholdende følsomme oplysninger om en patient. Der er hverken anvendt kryptering eller digital signatur. E-posten er sendt til en privat pc tilhørende en speciallæge i psykiatri ansat ved hospitalet. En virus på speciallægens computer har bevirket, at e-posten fra hospitalet er blevet videresendt til en række e-postadresser.
Århus Amt er dataansvarlig for oplysningerne om patienten. En dataansvarlig myndighed eller virksomhed skal sørge for, at medarbejdere, der behandler personoplysninger, modtager den fornødne instruktion. Den dataansvarlige er også ansvarlig for at sikre, at personoplysningerne ikke kommer til uvedkommendes kendskab.
Datatilsynet anser det skete som en alvorlig tilsidesættelse af såvel kravene til datasikkerhed som kravet om god databehandlingsskik, og Datatilsynet finder den skete overtrædelse af persondataloven kritisabel.
Sagen har endvidere givet Datatilsynet anledning til generelt at anbefale, at fortrolige og følsomme personoplysninger ikke behandles på medarbejderes private pc’er. Hvis en sådan behandling undtagelsesvist skal ske, bør der foreligge en aftale mellem den dataansvarlige og den ansatte herom, og den dataansvarlige skal konkret have sikret sig, at beskyttelsen af personoplysninger er tilstrækkelig.