Öppettider: Mån - Sön, kl. 09:00 - 20:00

Behandling av känsliga personuppgifter i strid med GDPR

Hälso- och sjukvårdsnämnden i Örebro län har behandlat känsliga personuppgifter i strid med GDPR

Integritetsskyddsmyndigheten har konstaterat att Hälso- och sjukvårdsnämnden i Örebro län har utfört behandling av känsliga personuppgifter i strid med GDPR. Detta har inträffat genom att de har publicerat känsliga personuppgifter på sin allmänt tillgängliga webbplats utan laglig grund för behandlingen. De hade även behandlat uppgifterna i strid med dataskyddsprinciperna om ändamålsbegränsning och uppgiftsminimering.

De har utfört behandling av känsliga personuppgifter i strid med GDPR, bland annat eftersom de saknade rättslig grund till behandlingen. Behandling av känsliga personuppgifter som huvudregel är förbjuden. Exempelvis är uppgift om hälsa en känslig personuppgift.

Beskrivning av händelsen

På sin webbplats, som var öppen för allmänheten, hade Hälso- och sjukvårdsnämnden i Örebro län publicerat följande:

Namn, personnummer samt kontaktuppgifter till en enskild person,
Uppgift om att personen ifråga var inlagd på den rättspsykiatriska kliniken och att denne var föremål för urinprovtagning.

Integritetsskyddsmyndigheten konstaterar att Hälso- och sjukvårdsnämnden i Örebro län inte hade vidtagit tillräckliga organisatoriska säkerhetsåtgärder, för att se till att skydda personuppgifterna från otillåten publicering på webbplatsen.

Exempelvis hade de inte implementerat skriftliga instruktioner eller rutiner för att säkerställa att den person som publicerar personuppgifter på webbplatsen gör det i enlighet med GDPR och instruktionerna.

Brott mot GDPR

Med anledning av överträdelserna mot bland annat artiklarna 5, 9 och 32 i GDPR ska Hälso- och sjukvårdsnämnden i Örebro betala 120 000 SEK i administrativ sanktionsavgift.

Dessutom förlägger Integritetsskyddsmyndigheten dem att upprätta skriftliga instruktioner och införa interna rutiner. Detta för att säkerställa att den som publicerar innehåll på deras webbplats gör det i enlighet med instruktionerna och GDPR. Intern utbildning i Dataskyddsförordningen (GDPR) bör också ske, för att säkerställa att personuppgifter blir korrekt hanterade i enlighet med regelverket.

Integritetsskyddsmyndigheten konstaterade att de interna rutiner som var tillgängliga inte var tillräckliga. Exempelvis var de inte tillräckliga för att skydda personuppgifter från felaktig hantering i strid med GDPR. Dessutom hade inga tillräckliga åtgärder blivit utförda för att säkerställa korrekt publicering på webbplatsen.

Åtgärder som Hälso- och sjukvårdsnämnden har vidtagit

Hälso- och sjukvårdsnämnden i Örebro län har vidtagit följande åtgärder med anledning av det inträffade:

Publiceringen blev genast raderad från den allmänt tillgängliga webbplatsen.
Granskning av övrigt publicerat material för att kontrollera att inga ytterligare felaktiga och olagliga publiceringar skett.
Anmälan av incidenten till Integritetsskyddsmyndigheten.
Intern avvikelseanmälan och undersökning för att förhindra att liknande inträffar igen.
Information om det inträffade till den berörda personen.

Klicka här för att läsa hela beslutet

Kaka	Varaktighet	Beskrivning
cookielawinfo-checkbox-analytics	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Analytiska cookies".
cookielawinfo-checkbox-necessary	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Kakorna används för att lagra användarens samtycke till cookies i kategorin "Nödvändiga".
viewed_cookie_policy	11 månader	Cookien ställs in av GDPR Cookie Consent plugin och används för att lagra huruvida användaren har godkänt användningen av cookies eller inte. Det lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
_ga	2 år	Denna cookie installeras av Google Analytics. Cookien används för att beräkna besökar-, session-, kampanjdata och hålla reda på webbplatsanvändningen för webbplatsens analysrapport. Denna cookie lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att identifiera unika besökare.
_ga_2LHD5RXEW7	1 år
_gali	30 sekunder	Denna cookie används av Google Analytics för att avgöra vilka länkar på webbsidan som användaren klickar på.
_gat_gtag_UA_137823009_3	1 minut	Denna cookie ställs in av Google och används för att särskilja användare.
_gid	1 dygn	Denna cookie installeras av Google Analytics. Cookien används för att lagra information om hur besökare använder webbplatsen och hjälper till att skapa en analysrapport om hur det går för webbplatsen. De insamlade uppgifterna inklusive antalet besökare, källan där de kommer ifrån och de besökta sidorna framgår i anonym form.

Hälso- och sjukvårdsnämnden i Örebro län har behandlat känsliga personuppgifter i strid med GDPR

Beskrivning av händelsen

Brott mot GDPR

Åtgärder som Hälso- och sjukvårdsnämnden har vidtagit

Du kanske också gillar

Skolplattformen i Stockholm innehåller allvarliga brister i säkerheten

Sanktionsavgift för bristfälliga rutiner och tekniska spärrar

Vägledning för digitala plattformar med unga användare

Företaget har inte givit en person tillgång till personuppgifter i tid

Närvaroregistrering genom ansiktsigenkänning i strid med GDPR

2,7 miljoner oskyddade ljudfiler låg låg ute på nätet