Låge nr. 1

World Aids Day: Sikkerhedsbrud med helbredsoplysninger

Sikkerhedsbrud med helbredsoplysninger (første halvår af 2021)

Siden 1988 har den 1. december været en international mærkedag for kampen mod sygdommen AIDS. Dagens låge stiller derfor skarpt på sikkerhedsbrud med helbredsoplysninger.

I første halvår af 2021 modtog Datatilsynet 117 anmeldelser om sikkerhedsbrud, hvor resuméfeltet indeholdte ordet "helbred". Størstedelen af bruddene er sket ved, at helbredsoplysninger er blevet sendt til en forkert modtager. Oplysninger er også i flere tilfælde blevet offentliggjort som baggrundsdata i en PowerPoint-præsentation eller afsendt som ikke-krypterede data.

Helbredsoplysninger er i en særlig kategori af personoplysninger og kategoriseres som "følsomme personoplysninger". Følsomme personoplysninger er udtrykkeligt afgrænset i databeskyttelsesforordningen, og adgangen til at behandle den type oplysninger er snævrere end ved "ikke-følsomme personoplysninger". 

Du kan læse mere om helbredsoplysninger her


Hvilke typer personoplysninger betragtes som følsomme?
  • Helbredsoplysninger
  • Race og etnisk oprindelse
  • Politisk overbevisning
  • Religiøs eller filosofisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Genetiske data
  • Biometriske data med henblik på entydig identifikation
  • Seksuelle forhold eller seksuel orientering
Helbredsoplysninger

GDPR og COVID-19

Helbredsoplysninger i relation til COVID-19 er et højaktuelt emne. Datatilsynet har bl.a. modtaget en række henvendelser fra arbejdsgivere, som ønsker oplyst, i hvilket omfang de kan registrere og videregive oplysninger om deres ansatte i anledning af coronavirus. På den baggrund har Datatilsynet tidligere udarbejdet en kort vejledende tekst, som du kan læse her.

I 2021 afgjorde Datatilsynet flere sager, hvor helbredsoplysninger var berørt af sikkerhedsbrud. I en af afgørelserne spillede COVID-19 også en rolle. Den og andre afgørelser kan du læse her: 

Kritisable forhold ved Statens Serum Instituts COVID-19-modelleringsprojekt

På baggrund af en sag taget op af egen drift udtalte Datatilsynet alvorlig kritik af Statens Serum Institut for at påbegynde behandling af personoplysninger uden tilstrækkelig risikovurdering, konsekvensanalyse, høring af Datatilsynet, databehandleraftaler og passende sikkerhedsforanstaltninger. 

Brud på persondatasikkerheden hos Dantherm 

Dantherm havde været udsat for et ransomware-angreb, hvor det var lykkedes hackere at få adgang til Dantherms IT-miljø, hvorfra de lækkede oplysninger om både nuværende og tidligere ansatte til The dark web. Datatilsynet udtalte kritik af, at Dantherm ikke havde en passende sikkerhed. Virksomheden kunne heller ikke påvise, at behandlingen havde været i overensstemmelse med reglerne.

Regionale lægevagters optagelse af telefonsamtaler

Datatilsynet traf afgørelse i en sag, hvor en borger bl.a. klagede over, at Lægevagten Region Syddanmark havde optaget telefonsamtaler mellem hende og lægevagten, og at lægevagten efterfølgende afviste at slette telefonoptagelserne. Under sagen kom det frem, at den pågældende lægevagt havde optaget og gemt ca. 7,5 millioner samtaler siden januar 2013. Datatilsynet udtalte alvorlig kritik af, at lægevagten havde opbevaret optagelser af telefonsamtaler, som var mere end fem år gamle og meddelte lægevagten påbud om at slette alle optagelser af telefonsamtaler, som var mere end fem år gamle.

Region Nordjylland får kritik for manglende sikkerhed omkring selvbetjeningsløsning

Fra maj 2018 til april 2021 havde det været muligt - via en IT-løsning - at tilgå andres personoplysninger og aflyse bookinger, f.eks. aftaler på et sygehus. Der var tale om en velkendt type sårbarhed, som angår manglende styring af brugerens adgang. Datatilsynet udtalte kritik af, at Region Nordjyllands behandling af personoplysninger ikke var sket i overensstemmelse med reglerne i databeskyttelsesforordningen. 

Dato: 01-12-2021