Norska Datatilsynet utfärdar ett vite om 750 000NOK mot St Olavs Sjukhus. Vitet utfärdas bland annat då ett antal PDFer, innehållandes personuppgifter, funnits lagrade i en mapp utan att vara upptagna i behandlingsregistret. Datatilsynet pekar dessutom ut sjukhusdirektören som ansvarig för överträdelsen.

St Olavs sjukhus har haft ett stort antal PDF-rapporter från den Hjärtmedicinska avdelningen lagrade på en fillagringsyta. Dessa PDFer innehöll personuppgifter och de borde därför inte finnas alls, eller vara upptagna i registret över behandling, då även lagring anses vara behandling.

Rapporterna skapades i samband med ett byte till ett nytt system för Hjärtmedicinskt laboratorium och skulle egentligen bara sparas temporärt. På grund av den mänskliga faktorn raderades dock inte rapporterna och mappen som filerna lagrats i har dessutom varit teoretiskt åtkomlig för samtliga anställda Helse Midt-Norge RHF.

Rapporterna skapades redan 2011-01-13 men upptäcktes först 2019-11-21.

GDPR har ett maxvite om 106 000 000NOK men Datatilsynet konstaterar att annan lagstiftning än GDPR varit gällande under perioden. Man beaktar detta, tillsammans med de åtgärder sjukhuset vidtagit, då man sätter ner vitet till enbart 750 000NOK.

Datatilsynet väljer återigen att peka ut ansvarig individ. Även om vitet riktas mot St Olavs Sjukhus har sjukhuset nu starka argument för att kräva skadestånd av sjukhusdirektören.

«Administrerende direktør vil, som sykehusets øverste leder, være ansvarlig for det uaktsomme lovbruddet»

GDPR reglerar personuppgifter i alla datakällor, inklusive ostrukturerad data som filer, e-post och fritextfält. Då lagring räknas som behandling måste även dessa tas med i registret över behandling. Detta är också en förutsättning för att kunna hantera registrerades rättigheter, som registerutdrag, och också för att kunna sätta rätt behörigheter till informationen. Eller, givetvis, ta bort den när den inte ska sparas.

Ostrukturerad data utgör minst 80% av alla data och växer exponentiellt, med så mycket som 65% per år. En stor del av dessa dokument innehåller personuppgifter samtidigt som mer än hälften aldrig används.

I en verklighet där organisationer sitter med miljoner till miljarder dokument blir det en omöjlig uppgift att manuellt rensa bort sånt som inte ska sparas och samtidigt dokumentera det man behöver behålla.

I Aigine använder vi världsledande data-mining som läser all information och applicerar AI för att identifiera, bedöma och dokumentera personuppgifter i ostrukturerad data. Vi skapar automatiskt det obligatoriska behandlingsregistret och PDFerna som låg hos St Olavs Sjukhus hade därför hittats, flaggats och tagits bort.

Kravet på uppgifts- och lagringsminimering i GDPR blir därför inte bara en fråga om följsamhet mot lagen. Genom att rensa i sin data kan både kostnader och miljöpåverkan minskas, samtidigt som personalen lättare hittar den information de faktiskt behöver.

Vill du veta mer?

Hör av dig till oss på:
info@aigine.se
eller
08-121 080 00

https://www.datatilsynet.no/contentassets/447e5ad0c7f346fc9cc1c0d62d023bba/vedtak-om-overtredelsesgebyr–st.-olavs-hospital-hf.pdf