Datatilsynet har politianmeldt Privathospitalet Capio og indstillet virksomheden til en bøde på mindst 1,5 mio. kr. for manglende tilsyn med flere databehandlere. Afgørelsen understreger dataansvarliges pligt til løbende kontrol, passende sikkerhedsforanstaltninger og dokumentation efter GDPR.
Bødeindstilling og retligt grundlag
Myndigheden fandt, at Capio ikke havde gennemført tilsyn med de undersøgte databehandlere gennem en længere periode. Det blev anset for uforeneligt med ansvarlighedsprincippet og kravene i GDPR om at sikre tilstrækkelig behandlingssikkerhed, herunder gennem aftaler og kontrol af databehandlere.
Ved sanktionsvurderingen lagde Datatilsynet vægt på omfanget af de registrerede, karakteren af de oplysninger og den langvarige forsømmelse. Se Datatilsynets afgørelse for detaljer.
De væsentligste faktorer var:
- Manglende tilsyn i flere år.
- Behandling af et stort antal registrerede.
- Behandling af særlige kategorier, herunder sundhedsoplysninger.
Læs Datatilsynets afgørelse her: datatilsynet.dk.
Praktiske anbefalinger
Dataansvarlige bør etablere et risikobaseret tilsynsprogram, der kombinerer årlige egenkontroller, gennemgang af ISAE- eller ISO-erklæringer, stikprøver, tekniske tests og kontraktlig opfølgning på afvigelser. Tilsynet skal dokumenteres og kunne fremvises.
Databehandleraftaler bør sikre passende tekniske og organisatoriske foranstaltninger, klare instrukser, underdatabehandlergodkendelser og rapporteringspligt ved brud. Kontrollen bør intensiveres ved behandling af følsomme data eller høj risikoprofil. Datatilsynets vejledning tilbyder en operationel ramme: datatilsynet.dk.
