Region Midtjylland indstillet til bøde for brud på databeskyttelsesforordningen

Regionen meldte selv forholdet til Datatilsynet d. 12. juni sidste år. Det fremgik af anmeldelsen, at alle patienter og medarbejdere i livstilcenteret havde haft adgang til en bygning, hvor der blev opbevaret op mod 100.000 patientjournaler. Patientjournalerne indeholdt bl.a. helbredsoplysninger og personnumre. Derudover var det muligt for forbipasserende igennem et vindue at se omslaget på nogen af journalerne, hvoraf personnumre, navne og speciale fremgik. Patienterne og medarbejdernes adgang skyldes, at de fik udleveret et nøglekort, der gav adgang til bl.a. bygningen, hvor patientjournalerne blev opbevaret, uanset om de havde behov for at komme ind eller ej.

Datatilsynet fandt derfor, at Region Midtjylland ikke havde etableret passende sikkerhedsforanstaltninger i forhold til opbevaringen af personoplysningerne.

Begrundelsen for Datatilsynets afgørelse

Region Midtjylland har i forbindelse med anmeldelsen oplyst, at forholdet har stået på siden 2016. De har også indsendt deres retningslinjer vedrørende nøglekort. Disse retningslinjer har dog ikke vedrørt patienters adgang, men udelukkende personalets adgang. Der er heller ikke været taget stilling til det forhold, at forbipasserende kunne kigge ind.

Regionen har dermed ikke haft tilstrækkelige retningslinjer for adgangsbegrænsninger ved fremstilling af nøglekort og har heller ikke haft passende regelmæssige evaluering af sine sikkerhedsforanstaltninger, idet så alvorlig en fejl ikke er blevet opdaget før. På baggrund af disse informationer fandt Datatilsynet, at Region Midtjylland ikke havde etableret passende fysiske sikkerhedsforanstaltninger omkring opbevaringen, som kræves efter databeskyttelsesforordningen art. 32.

Datatilsynet har ved vurderingen af, om der bør idømmes bøde, lagt vægt på Region Midtjyllands behandling vedrører særlige kategorier af personoplysninger, herunder helbredsoplysninger, og at der dermed er en skærpet forpligtelse til at beskytte oplysningerne. Der er også lagt vægt på, at Region Midtjylland i tidligere sager for Datatilsynet har haft udfordringer med adgangsbegrænsning.

NJORDS bemærkninger

Denne afgørelse understreger, at det er vigtigt at have styr på sikkerheden omkring ens behandling af personoplysninger, herunder også den fysiske sikkerhed, som i dag på grund af den omfattende brug af IT har mindre opmærksomhed end tidligere. NJORD anbefaler derfor, at virksomheder og myndigheder foretager gennemgang af interne politikker og retningslinjer for at sikre, at uvedkommende personer ikke har adgang til personoplysninger, samt at personoplysninger er tilstrækkeligt sikret generelt.