Tilsyn med Region Nordjyllands udstedelse af adgangskort

Dato: 18-01-2022

Datatilsynet har ført tilsyn med Region Nordjyllands procedurer for udstedelse af adgangskort for de af regionens hospitaler og lokaler, hvor der behandles personoplysninger.

Journalnummer: 2021-422-0033

Resumé

Region Nordjylland var blandt de myndigheder, som Datatilsynet i første halvår af 2021 førte tilsyn med.

Tilsynet var et skriftligt tilsyn, som fokuserede på Region Nordjyllands procedurer for udstedelse af adgangskort til de af regionens hospitaler og lokaler, hvor der behandles personoplysninger.

I forbindelse med behandlingen af sagen modtog Datatilsynet bl.a. Region Nordjyllands retningslinjer om tildeling og udstedelse af adgangskort.

Datatilsynet fandt, at der ikke var grundlag for at tilsidesætte regionens vurdering af, at de iværksatte procedurer for udstedelse af adgangskort udgør passende sikkerhedsforanstaltninger.

Datatilsynet lagde i den forbindelse vægt på, at Region Nordjylland benytter adgangskontrol til aflåste rum, at regionen har procedurer for udstedelse af adgangskort, og at regionen også har andre sikkerhedsforanstaltninger for at undgå, at uvedkommende får adgang til personoplysninger på regionens lokationer.

Afgørelse

1. Skriftligt tilsyn med Region Nordjyllands behandling er personoplysninger

Region Nordjylland var blandt de myndigheder, som Datatilsynet i første halvår af 2021 havde udvalgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].

Datatilsynets tilsyn var et skriftligt tilsyn, som fokuserede på Region Nordjyllands procedurer for udstedelse af adgangskort til regionens hospitaler og lokaler, hvori der behandles personoplysninger.

Ved brev af 11. juni 2021 varslede Datatilsynet tilsynet med Region Nordjylland og anmodede i den forbindelse om en udtalelse. Region Nordjylland fremkom den 2. juli 2021 med en udtalelse i sagen.

Datatilsynet anmodede den 14. september 2021 om en supplerende udtalelse, som Region Nordjylland den 29. september 2021 fremkom med.

2. Datatilsynets afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der ikke grundlag for at tilsidesætte Region Nordjyllands vurdering af, at de iværksatte procedurer for udstedelse af adgangskort til regionens hospitaler og lokaler, hvori der behandles personoplysninger, udgør passende sikkerhedsforanstaltninger jf. databeskyttelsesforordningens artikel 32.

Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med det skriftlige tilsyn og en begrundelse for Datatilsynets afgørelse.

3. Sagens oplysning

Region Nordjylland har oplyst, at regionens hospitaler af natur er åbne bygninger, hvor patienter og pårørende færdes i langt størstedelen af bygningerne. Adgangskort bruges bl.a. til ID-kort, så patienter og pårørende kan identificere de ansatte. Derudover giver kortene de ansatte adgang til f.eks. follow me print og aflåste rum, f.eks. medicinrum og operationsrum.

Det fremgår af Region Nordjyllands generelle side på regionens intranet om ID-kort/adgangskort, at medarbejdere, der arbejder på flere matrikler, kun har brug for ét kort, da det er muligt at kode kortet til de forskellige adgangssystemer.

På Region Nordjyllands intranet findes endvidere oplysninger om, hvordan man får adgangskort til regionens tre hospitaler, Aalborg Universitetshospital, Regionshospital Nordjylland og Psykiatrien.

Det fremgår af proceduren for Aalborg Universitetshospital, at hver afdeling skal udpege en eller flere autoriserede godkendere, som kan bestille ID-kort. Dette er en sikkerhedsforanstaltning, så ikke alle kan bestille ID-kort.

Af proceduren for Regionshospital Nordjylland fremgår det, at formularen til ID-kort skal udfyldes af nærmeste leder.

For så vidt angår Psykiatrien vælger klinikkerne og afdelingerne selv, hvordan man vil organisere bestilling af ID-kort, herunder om det er den enkelte leder eller en central person i Klinikledelsen, Sekretariatet eller Afdelingsledelsen, der foretager bestillingen af ID-kort. En bestillingsblanket skal endvidere udfyldes ved bestilling af ID-kort.

Det fremgår endvidere af proceduren for udstedelse af ID-kort i Digitalisering og IT, at ID-kort skal bestilles gennem IT-Sekretariatet, og at det kun er ved udstedelse af ID-kort til eksterne medarbejdere, at det er nødvendigt at udfylde en blanket til ID-kort.

Det fremgår af Region Nordjyllands procedurer for adgang til datacentre, at det kun er personer med gyldig personlig ID-kort, der må færdes i datacentrene alene. Datacentrene er installeret med scannere ved indgangen, der sikrer, at kun én person ad gangen kan få adgang til rummene. Personen logger sig ind med sit adgangskort og personlig kode.

Region Nordjylland har oplyst, at i forhold til områder med computere med elektroniske patientjournaler, er adgangsbegrænsningen ikke relateret til adgangskort. Adgang til de kliniske systemer kræver, at man har en personlig bruger til regionens IT-systemer. Det er medarbejderens nærmeste leder samt udpegede supervisorer, der tildeler adgang til og underliggende adgangsrettigheder i de enkelte systemer. Dette ud fra, hvad der er nødvendigt for at udføre medarbejderens arbejdsopgaver.

Brugeren kan anvendes til at logge ind på ”terminaler”, stationære computere og bærbare computere. Sidstnævnte kan anvendes fra en hvilken som helst lokation via VPN for sikker forbindelse, hvis det sker fra eksternt net. Tilsvarende kan man logge på via ”ESA”, Citrix skrivebord/session, hvilket også er en sikker forbindelse. Dette sker med to-faktor i form af unik sms-kode, hvis man logger på fra et eksternt net.

Region Nordjylland har endvidere oplyst, at lederne har en opgave hvert halve år i at sikre sig, at deres ansatte fortsat har de nødvendige adgange – og opgaven foretages løbende, når der er udskiftning.

I forhold til udstedelsen af adgangskort har Region Nordjylland oplyst, at det er baseret på, at ”autoriserede godkendere”, det vil sige enten nærmeste ledere, eller af disse betroede medarbejdere, godkender, at de enkelte medarbejdere får adgang til de enkelte rum. Det gælder alle rum, hvor der er krav om adgangskort for at få adgang. Dette ud fra en overordnet vurdering af, at man som medarbejder kun skal have adgang til de rum, som er nødvendige for løsningen af ens arbejdsopgaver.

Region Nordjylland har i den forbindelse oplyst, at et adgangskort dermed ikke automatisk giver adgang til alle rum på den matrikel, som man er ansat på, herunder f.eks. alle operationsstuer og lignende, som indeholder eksternt medicinsk udstyr som f.eks. MR-scannere eller røntgenudstyr. For at få adgang til disse rum, skal det være tilvalgt til den enkelte medarbejders adgangskort.

Afslutningsvist har Region Nordjylland oplyst, at dette er en praksis som har været gældende i en årrække, hvorfor der ikke er foretaget en fornyet og dokumenteret risikoovervejelse i forbindelse med GDPR.

4. Datatilsynets vurdering

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Det er Datatilsynets opfattelse, at kravet om passende sikkerhed, jf. databeskyttelsesforordningens artikel 32, stk. 1, normalt vil indebære, at det i lokaler, hvor der behandles følsomme oplysninger, herunder helbredsoplysninger, skal sikres, at uvedkommende ikke får adgang.

Efter en gennemgang af sagen finder Datatilsynet, at der ikke grundlag for at tilsidesætte Region Nordjyllands vurdering af, at de iværksatte procedurer for udstedelse af adgangskort til regionens hospitaler og lokaler, hvori der behandles personoplysninger, udgør passende sikkerhedsforanstaltninger jf. databeskyttelsesforordningens artikel 32.

Datatilsynet har herved lagt vægt på, at Region Nordjylland benytter adgangskontrol til aflåste rum, at regionen har procedurer for udstedelse af adgangskort, og at regionen også har andre sikkerhedsforanstaltninger for at undgå, at uvedkommende får adgang til personoplysninger på regionens lokationer, f.eks. krav om en personlig bruger til regionens IT-systemer og procedurer for tildeling af adgange til systemerne.

__

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).