Hälso- och sjukvårdsnämnden i Örebro län har behandlat känsliga personuppgifter i strid med GDPR
Integritetsskyddsmyndigheten har konstaterat att Hälso- och sjukvårdsnämnden i Örebro län har utfört behandling av känsliga personuppgifter i strid med GDPR. Detta har inträffat genom att de har publicerat känsliga personuppgifter på sin allmänt tillgängliga webbplats utan laglig grund för behandlingen. De hade även behandlat uppgifterna i strid med dataskyddsprinciperna om ändamålsbegränsning och uppgiftsminimering.
De har utfört behandling av känsliga personuppgifter i strid med GDPR, bland annat eftersom de saknade rättslig grund till behandlingen. Behandling av känsliga personuppgifter som huvudregel är förbjuden. Exempelvis är uppgift om hälsa en känslig personuppgift.
Beskrivning av händelsen
På sin webbplats, som var öppen för allmänheten, hade Hälso- och sjukvårdsnämnden i Örebro län publicerat följande:
- Namn, personnummer samt kontaktuppgifter till en enskild person,
- Uppgift om att personen ifråga var inlagd på den rättspsykiatriska kliniken och att denne var föremål för urinprovtagning.
Integritetsskyddsmyndigheten konstaterar att Hälso- och sjukvårdsnämnden i Örebro län inte hade vidtagit tillräckliga organisatoriska säkerhetsåtgärder, för att se till att skydda personuppgifterna från otillåten publicering på webbplatsen.
Exempelvis hade de inte implementerat skriftliga instruktioner eller rutiner för att säkerställa att den person som publicerar personuppgifter på webbplatsen gör det i enlighet med GDPR och instruktionerna.
Brott mot GDPR
Dessutom förlägger Integritetsskyddsmyndigheten dem att upprätta skriftliga instruktioner och införa interna rutiner. Detta för att säkerställa att den som publicerar innehåll på deras webbplats gör det i enlighet med instruktionerna och GDPR. Intern utbildning i Dataskyddsförordningen (GDPR) bör också ske, för att säkerställa att personuppgifter blir korrekt hanterade i enlighet med regelverket.
Integritetsskyddsmyndigheten konstaterade att de interna rutiner som var tillgängliga inte var tillräckliga. Exempelvis var de inte tillräckliga för att skydda personuppgifter från felaktig hantering i strid med GDPR. Dessutom hade inga tillräckliga åtgärder blivit utförda för att säkerställa korrekt publicering på webbplatsen.
Åtgärder som Hälso- och sjukvårdsnämnden har vidtagit
Hälso- och sjukvårdsnämnden i Örebro län har vidtagit följande åtgärder med anledning av det inträffade:
- Publiceringen blev genast raderad från den allmänt tillgängliga webbplatsen.
- Granskning av övrigt publicerat material för att kontrollera att inga ytterligare felaktiga och olagliga publiceringar skett.
- Anmälan av incidenten till Integritetsskyddsmyndigheten.
- Intern avvikelseanmälan och undersökning för att förhindra att liknande inträffar igen.
- Information om det inträffade till den berörda personen.