Sjukhus tvingas böta över 4 miljoner kronor för brott mot GDPR

Sjukhus tvingas böta över 4 miljoner kronor för brott mot GDPR

Ärligt talat, jag tror ingen trodde det var i Portugal det skulle ske först. Och ingen trodde att det första vitet skulle utfärdas till ett offentligt sjukhus, som redan kämpar för att få ekonomin att gå ihop. Men så blev det.

Centro Hospitalar Barreiro Montijo i Portugal har blivit bötfällda 400,000 Euro, över 4 miljoner kronor, för brott mot GDPR.

En ansenlig summa, men ingenting i jämförelse med maxbeloppet på 20 miljoner euro eller 4% av den årliga omsättningen.

I korthet så utfärdas vitet för tre olika brott mot GDPR, alla kopplade till felaktig behörighet till känslig personlig information, och de brister i rutiner och processer som ledde upp till ett möjligt röjande av dessa uppgifter.

Detta ställer frågan om behörighet till personlig data i blickfånget, och det är viktigt att repetera att GDPR i sig inte begränsar hanteringen av personlig data.

Istället, om man följer de allmänna principerna, behöver man helt enkelt enbart veta var den personuppgifter finns, ha kontroll på att rätt personer har tillgång till dem, och dokumentera den lagliga grunden för att hantera dem.

Det är därför vi fokuserar på ostrukturerad data. 80-90% av all data en organisation har utgörs av ostrukturerad data; filer och e-post etc, som ackumulerats under många år.

För att kunna säkerställa tillgång till personuppgifter på ett “need to know basis”, en av de grundläggande principerna för GDPR, är det av absolut vikt att organisationen vet var personuppgifter finns lagrade. Detta kan bara ske genom att genomföra en dokumenterad inventering av existerande data, och använda den dokumentationen för framtida monitorering.

Norges Datatilsynet utfärdade dessutom en varning till Bergen Kommune i slutet av December och meddelade att man riskerar ett vite om 1,6miljoner norska kronor för brott mot GDPR. En grundskola i Bergen hade sparat användaruppgifter för anställda och studenter på ett ställe där de var synliga för alla. I Bergen handlar det om en fil som råkats spara på fel plats.

Kan det finnas någon annan som kan ha personuppgifter sparade på fel plats?