Datatilsynet har truffet afgørelse i en sag, hvor Region Syddanmark har anmeldt et brud på persondatasikkerheden. Datatilsynet har i afgørelsen fundet grundlag for at udtale alvorlig kritik af, at Region Syddanmarks behandling af personoplysninger ikke er sket i overensstemmelse med de databeskyttelsesretlige regler.
Afgørelsen er truffet på baggrund af manglende risikovurdering af en behandling, manglende foranstaltninger omkring udvikling og test, manglende rettidig dokumentering af omstændighederne ved bruddet, og mangler ved den gennemførte underretning af de registrerede. Bruddet angik uautoriseret adgang til 365 personers navn, personnummer og oplysning om graviditet.
Afgørelsen belyser, hvordan en manglende risikovurdering og manglende fokus på kendte it-sikkerhedsmæssige problematikker ved udvikling og test af it-løsninger kan lede til brud på persondatasikkerheden, som kunne være undgået.
Afgørelsen belyser også, hvordan manglende afdækning og dokumentering af et sikkerhedsbrud kan påvirke den dataansvarliges mulighed for at efterleve reglerne i databeskyttelsesforordningen, i dette tilfælde blandt andet indholdet i underretningen af de berørte borgere.
Når en dataansvarlig benytter en databehandler som system- og driftsleverandør, vil omstændighederne ved et brud ofte være bedre kendt af it-leverandøren end af den dataansvarlige. Men fordi den dataansvarlige skal dokumentere bruddet, undgå lignende brud i fremtiden og evt. underrette de berørte borgere, er det væsentligt for overholdelsen af databeskyttelsesforordningen at den dataansvarlige har mekanismer, der sikrer, at en tilsvarende viden om hændelsen og forståelse for omstændighederne ved bruddet, er erkendt og dokumenteret hos den dataansvarlige.
Læs mere
Læs selve afgørelsen her.
Læs Datatilsynets vejledning om håndtering af brud på persondatasikkerheden.