Datatilsynet har i forbindelse med en sag, hvor en medicinstuderende fik stjålet et videokamera ejet af Københavns Universitet, taget stilling til dataansvaret når en medicinstuderende er i praktikforløb.
Den 1. juni 2018 modtog Datatilsynet en anmeldelse fra Lægerne Gammel Strandvej om et brud på persondatasikkerheden. Det fremgik af anmeldelsen, at en medicinstuderende fra Københavns Universitet – i forbindelse med et 4 ugers praktikforløb hos Lægerne Gammel Strandvej – den 25. maj 2018 fik stjålet et videokamera med optagelser af patienter til brug for eksamen på Københavns Universitet. Kameraet var ejet af Københavns Universitet.
Efterfølgende gjorde Bruun Hjejle, på vegne af Lægerne Gammel Strandvej, gældende, at Lægerne Gammel Strandvej alligevel ikke var dataansvarlig for den pågældende behandling af personoplysninger, og oplyste i stedet Københavns Universitet som en mulig dataansvarlig. Datatilsynet anmodede på den baggrund Københavns Universitet om en udtalelse til sagen.
Datatilsynet lagde ved sin afgørelse vægt på, at det er Københavns Universitet, der har fastsat ordningen og reglerne for praktikforløb for kurset i almen medicin. Kurset indgår som en del af den medicinstuderendes fag på Københavns Universitet, og det er dermed Københavns Universitet, der afgør til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger.
Da Datatilsynet fandt frem til, at Københavns Universitet er dataansvarlig for den pågældende behandling af personoplysninger, er det Datatilsynets opfattelse, at Københavns Universitet – ved 1) at have mistet et videokamera indeholdende oplysninger om et ukendt antal registrerede, herunder oplysninger om helbred, 2) ikke at have indberettet bruddet på persondatasikkerheden til Datatilsynet og 3) ikke at underrette de registrerede personer omfattet af bruddet på persondatasikkerheden ikke har levet op til kravene i databeskyttelsesforordningens artikel 32, stk. 1, artikel 33, stk. 1 og artikel 34, stk. 1.
Datatilsynet har på den baggrund udtalt alvorlig kritik af, at Københavns Universitet behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningen. Datatilsynet har noteret sig, at Københavns Universitet var af den opfattelse, at den studerende var dataansvarlig for den pågældende behandling af personoplysninger, hvilket er årsagen til, at Københavns Universitet ikke har handlet i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, artikel 33, stk. 1 og artikel 34, stk. 1.
Vil du læse mere?
Læs hele afgørelsen.
Læs Datatilsynets vejledning om brud på persondatasikkerheden.