Region Sjælland får kritik for bred adgang til persondata

Artiklen er opdateret for 5 måneder siden.

Zand.News – Datatilsynet kritiserer Region Sjælland for at give alle autoriserede brugere adgang til patientlister med personoplysninger uden tilstrækkelige sikkerhedsforanstaltninger. Dertil kommer en utilstrækkelig logningspraksis.

Datatilsynet har udtalt alvorlig kritik af Region Sjællands manglende sikkerhed omkring brede adgange til persondata og for at have en logning, der ikke gav mulighed for at kunne se, hvilke personoplysninger en given bruger tilgik. Det skriver tilsynet i en pressemeddelelse.

Kort maskingenereret resume skrevet af kunstig intelligens (AI): Region Sjælland er blevet kritiseret af Datatilsynet for at give alle autoriserede brugere uhindret adgang til patientlister med personoplysninger uden tilstrækkelige sikkerhedsforanstaltninger. Datatilsynet har også påpeget en manglende logningspraksis, der gjorde det umuligt at identificere, hvilke personoplysninger brugerne tilgik. Autoriserede brugeres urimelige adgang til persondata udgør en betydelig risiko ifølge Datatilsynet, som tidligere har set, at informationssikkerhedsforanstaltninger ikke er tilstrækkelige. Datatilsynet anbefaler skrappere sikkerhedsforanstaltninger, herunder en dokumenteret vurdering af adgangen, begrænset adgang kun til arbejdsrelaterede behov og kontrollerede adgangsrettigheder.

Ikke tilstrækkeligt til at beskytte de registreredes rettigheder

Autoriserede brugeres uretmæssige adgang til personoplysninger udgør en betydelig risiko, som alle dataansvarlige skal forholde sig til.

Datatilsynet har i flere sager konstateret, at dataansvarlige ikke har gennemført tilstrækkelige sikkerhedsforanstaltninger for at imødegå den risiko. I disse sager har dataansvarlige anført, at de – som den eneste sikkerhedsforanstaltning – har oplyst brugerne om deres tavshedspligt og de mulige strafferetlige konsekvenser, hvis tavshedspligten overtrædes.

Det er dog i de fleste tilfælde ikke tilstrækkeligt til at beskytte de registreredes rettigheder. Selv i tilfælde, hvor brugerne bliver godt informeret, modtager Datatilsynet anmeldelser om brud på persondatasikkerheden, hvor netop uretmæssig brug af adgangsrettigheder er årsagen til bruddet.

Skærpede sikkerhedsforanstaltninger for adgangsrettigheder

Selvom afgørelsen vedrører en konkret sag, skal Datatilsynet indskærpe følgende sikkerhedsforanstaltninger overfor alle dataansvarlige:

  • Adgang til personoplysninger bør kun gives til en bruger efter en dokumenteret vurdering af den dataansvarlige.
  • Ansatte bør kun have adgang til personoplysninger, som vedkommende har et arbejdsbetinget behov for at tilgå.
  • Den dataansvarlige skal reducere risikoen ved adgang til personoplysninger.
  • Den dataansvarlige skal implementere passende kontrolforanstaltninger.

Det er Datatilsynets opfattelse, at kontrollen af adgangsrettigheder som minimum bør bestå af en verifikation af det arbejdsbetingede behov ved tildelingen, en løbende kontrol baseret på verifikation af, at behovet stadig er relevant og en form for auditering heraf. Hvis auditeringen udføres som stikprøvekontroller, skal antallet og frekvensen af udtagne stikprøver stå repræsentativt i forhold til antallet af mulige hændelser og risikoen for de registreredes rettigheder.

Alvorlig kritik for den brede adgang og utilstrækkelig logning

I den konkrete sag fandt Datatilsynet, at der på sundhedsområdet – i visse tilfælde – kan være behov for en bredere adgang til personoplysninger. Denne adgang skal dog begrænses til de medarbejdere, hvor der er et konkret arbejdsbetinget behov og kun i de arbejdssituationer, hvor det er relevant. Behovet for denne bredere adgang skal altid afvejes mod de kendte risikoscenarier.

Datatilsynet udtalte alvorlig kritik af Region Sjælland for at give alle autoriserede brugere adgang til patientlister med personoplysninger på samtlige af Regionens hospitalsafdelinger – uden tilstrækkelige sikkerhedsforanstaltninger.

Datatilsynet fandt endvidere, at Regionens logningspraksis ikke kunne skabe en sammenhæng mellem et opslag og de konkrete personoplysninger, som blev tilgået gennem patientlisten. Regionen kunne derfor ikke dokumentere og følge op på et eventuelt misbrug af den omfattende brugeradgang til persondata. Region Sjælland havde på den baggrund ikke overholdt databeskyttelsesforordningens artikel 32, stk. 1.

Læs hele afgørelsen på: datatilsynet.dk.

Øverst: Genrefoto. (Foto: Inimma-IS / iStock). PM/roke.

This article is published by Slagelse.News. Copyright © Slagelse Media, Denmark (EU), tel. +45 7174 1448.

Kortlink til artiklen er: https://www.slagelse.info/zsn/9bz