Datatilsynet har udtalt alvorlig kritik af Region Sjælland for utilstrækkelige adgangskontroller til patientlister på tværs af hospitalsafdelinger. Tilsynet fandt mangelfuld logning og dokumentation, så opslag ikke kunne kobles til de konkrete personoplysninger, i strid med GDPR artikel 32, stk. 1.
Praktiske krav til adgangskontrol
Tilsynet understreger, at autoriserede brugeres misbrug er en væsentlig risiko, som ikke kan imødegås alene med tavshedspligt og straftrusler. Selv på sundhedsområdet, hvor bredere adgang kan være nødvendig, må adgang begrænses til medarbejdere med et dokumenteret arbejdsbetinget behov.
Dataansvarlige skal løbende verificere behovet, reducere risikoen ved adgang og implementere kontroller, herunder audit. Ved stikprøver skal omfang og frekvens afspejle antallet af potentielle hændelser og konsekvenserne for de registreredes rettigheder.
Som operationel ramme peger Datatilsynet på følgende minimumstiltag:
- Tildel adgang først efter en dokumenteret vurdering.
- Begræns adgang til det nødvendige for opgavevaretagelsen.
- Gennemfør risikoreducerende tiltag for adgang til personoplysninger.
- Etabler passende kontrol- og auditforanstaltninger.
Hele afgørelsen kan læses hos Datatilsynet. Se afgørelsen på datatilsynet.dk. Vejledning om behandlingsgrundlag findes her: datatilsynet.dk.
