Brister i Fynbus I/S informationsskyldighet

Det danska Datatilsynet uttrycker stark kritik mot hur bussbolaget Fynbus I/S hanterar sina resenärers information. Detta då de anser att bussbolaget inte uppfyller skyldigheten att tillhandahålla information om insamling av data gällande resenärerna.

Avsaknad information om datainsamling

Hösten 2019 inledde det danska Datatilsynet an granskning av bussbolaget Fynbus I/S. Granskningens handlade om att se över om bussbolagets uppfyller den informationsskyldighet som Fynbus I/S har i samband med insamling av data så som resenärernas resehistorik och personuppgifter

Det danska Datatilsynet anser att Fynbus I/S inte uppfyller informationsskyldigheten i tre av fem app- eller webbtjänster. Detta då information om datainsamlingen inte lämnas till resenären i appen- eller webbplatsen.

Stark kritik mot integritetspolicy

Kritik riktas främst mot hur datainsamlingen går till då bussbolaget inte informerar kunden att insamlingen sker i det skede av processen som insamlingen sker. Datatilsynet är även kritiska mot att bussbolagets integritetspolicy för en av tjänsterna är extremt bristfällig. 

Mot denna bakgrund har Datatilsynet funnit anledning att uttrycka allvarlig kritik mot att bussbolaget inte uppfyller den informationssäkerhet de är skyldiga till.

Läs mer här.

Överträdelseavgift om 500 000 NOK till Rælingen kommun

Det norska Datailsynet beslutar om överträdelseavgift om 500 000 NOK till Rælingen kommun. Överträdelseavgiften delas ut efter att hälsoinformation om barn har behandlats i den digitala inlärningsplattformen Showbie. 

Inte tillräcklig inloggningssäkerhet

Målet uppdagades i samband med att Datatilsynet fick in en avvikelserapport från kommunen. Överträdelsen involverar 15 studenter som med Showbie-applikationen kommunicerat hälsorelaterad och personlig information mellan skolan och hemmet. Innan applikationen sattes i bruk gjordes det inte några riskbedömningar såsom bedömning av integritetspåverkan. Det visar sig även att applikationen saknar tillräcklig stark säkerhet vid inloggning, vilket bland annat gjort det möjligt att få tillgång till andra registrerade studenter i applikationen. 

Säkerhetsbrott

Kommunen påpekar att det inte finns något som tyder på att någon utsatts för varken materiella eller icke-materiella skador av det inträffade. Detta tar dock inte Datatilsynet hänsyn till i sin bedömning då de menar att säkerhetsbrottet i sig utgör en risk oavsett om risken manifesterat sig i en mer specifik form av skada för de drabbade.

Läs mer här.

Brott mot sekretessförordningen

Den 18 maj 2020 inkom en avvikelserapport till det norska Datatilsynet från Oslo Universitetssjukhus HF (OUS) gällande personuppgiftssäkerhet. Därefter meddelades det att 275 fall upptäckts där konfidentiell information om patienter har publicerats via en offentlig postjournal under en period om tre år. 

Brott mot flera lagar

Förutom brott mot speciallagar kan brott mot sekretessförordningen ha begåtts. Att offentliggöra patientinformation är ett åsidosättande av vårdpersonalens sekretessplikt, och sjukhuset har en skyldighet att utesluta information om personliga frågor från offentliga register. Patientregisterlagen kräver också att sjukhuset ska säkerställa adekvat informationssäkerhet samt intern kontroll. Detta är för att säkerställa att de överensstämmer med kraven i sekretessförordningen om säkerhet vid behandling av patientdata.

Allvarlig avvikelse

Datatilsynet anser att det är mycket allvarligt att denna typ av avvikelse har pågått under en längre tid och har nu bett sjukhuset om en omfattande redogörelse gällande avvikelsen. Datatilsynet har fått en kopia av avvikelserapporten som gjorts men de menar att den innehåller för lite information när det gäller orsaken till händelsen, efterföljande konsekvenser samt angående de åtgärder som sjukhuset vidtagit.

Senast den 28 juli 2020 måste Oslo Universitetssjukhus redogöra för den saknade informationen.

Läs mer här.

Fortsatt stopp av appen Smittestopp

Det norska Datatilsynet fastslår ett fortsatt stopp av den norska smittspårningsappen Smittestopp då de anser att appen fortfarande inte lever upp till vad som anses vara i enlighet med användarnas integritetsrättigheter.

Bristfällig dokumentation

Det Norska Folkhälsoinstitutet (FHI) hade fram till den 23 juni att dokumentera och göra nödvändiga ändringar för att återuppta användandet av appen. Således skickade FHI ett svarsbrev med dokumentationen till det norska Datatilsynet den 24 juni.

Efter Datatilsynets granskning av dokumentationen fastslår de fortsatt stopp av appen Smittestopp. Detta då de anser att dokumentationen är bristfällig gällande bland annat appens användbarhet. De menar att FHI har valt lösningar som strider mot rekommendationerna från bland annat EDPB och WHO. Särskilt kritisk vad Datatilsynen till den bristfälliga dokumentationen kring nödvändigheten av att använda GPS i appen.

Läs mer här.

Ta del av beslutet här.

EDPS-rapport: EU-institutioners användning av konsekvensbedömningar

I februari 2020 genomförde EDPS en undersökning bland EU:s institutioner och organ för att se över på vilket sätt man har utfört konsekvensbedömningar sedan ikraftträdande av förordningen (EU) 2018/1725. I dag, 6 juli 2020, publiceras EDPS en rapport baserad på undersökningen, vilken visar att sätten för hur en konsekvensbedömning utförs kan variera.  

Värdefullt verktyg

Konsekvensbedömningar är ett värdefullt riskbedömningsverktyg som institutioner och organ inom EU använder vid hantering av känslig persondata. En konsekvensbedömning hjälper även till att bättre förstå hur databehandlingen förändras i praktiken. Vår rapport, tillsammans med de svar som mottagits från vår undersökning, gör det möjligt för EDPS att ge ytterligare vägledning gällande konsekvensbedömningar i enlighet med artikel 39 i förordningen, säger Wojciech Wiewiórowski, EDPS, i ett pressmeddelande. 

EDPS kommer i framtiden att utföra undersökningar liknande denna mer ofta i framtiden då det är ett bra sätt att övervaka efterlevnaden av förordningen.

Läs mer här.

EDPS rapport gällande användning av Microsoft-produkter

EDPS har i en egeninitierad granskning tittat på EU-institutionernas användning av Microsoftprodukter och -tjänster. De lämnar bland annat kritik på licensavtalen, personuppgiftsbiträdesavtalen, datadelning och tredjelandsöverföringar samt bristande tekniska skyddsåtgärder.

Rapporten har i alla delar tydliga rekommendationer som är allmängiltiga och kan tillämpas av samtliga användare av Microsofts produkter och tjänster.  

I sina slutsatser lyfter EDPS bland annat fram vikten av att inte anlita leverantörer som inte är beredda att lämna tillräckliga garantier att implementera tekniska och organisatoriska åtgärder så att GDPR följs och skydda de registrerades rätt till integritet.

Ta del av rapporten här.

Norskt sjukhus döms till 1 200 000 NOK

Det norska sjukhuset Østfold HF döms till 1 200 000 norska kronor i böter då sjukhuset under 2013-2019 lagrat patientdata där bland annat åtkomstkontroll saknas. Händelsen blev känd efter en avvikelserapport sjukhuset gjorde. 

Brist på informationssäkerhet

Det norska sjuhuset har lagrat personuppgifter på ett felaktigt sätt som inte går i linje med informationssäkerheten. Platsen där uppgifterna lagrats saknar dessutom åtkomstkontroll och de lagrade personuppgifterna har varit tillgängliga för alla anställda på sjukhuset. Den lagrade datan var listor över utskrivna patienter, så kallade USK-listor, vilka innehöll känslig patientinformation.  

Listorna innehöll; en uppdaterad USK-lista som inkluderade cirka 25-30 patienter. Denna lista uppdateras var 15:e minut. En historik-USK-lista från 2013 till 2019, med 13 800 patienter och 26 566 utskrivningar samt två förteckningar över födelsetal och inskrivningsorsak med en omfattning om cirka 30 patienter.

Demografisk karaktär

De personuppgifter listorna omfattade var av demografisk karaktär och innehöll bland annat namn, födelsedatum, kommun och avdelningstillhörighet. Två av listorna innehöll patientens födelsenummer och inskrivningsorsak.

Läs mer här.

Lejre kommun ålagd böter om 50 000 DKK

Det danska Datatilsynet anmäler Lejre kommun till polisen då kommunen inte uppfyller kraven för en lämplig säkerhetsnivå i dataskyddsförordningen. 

Brott mot personuppgiftssäkerheten

Lejre kommun i Danmark ha blivit ålagd böter om 50 000 danska kronor då de som registreringsansvariga inte uppfyller skyldigheten att upprätthålla lämpliga säkerhetsåtgärder. Detta blev det danska Datatilsynet varse om när kommunen rapporterade ett brott mot personuppgiftssäkerheten. Det visade sig att kommunens enhet, Center för barn och unga, har haft en praxis där protokoll från möten innehållandes personuppgifter av särskild karaktär laddats upp på kommunens personalportal. Denna portal har en stor del av kommunens anställda tillgång till, även de som inte arbetar specifikt med dessa ärenden. 

Lämpliga säkerhetskrav

Konfidentiell information som denna bör skyddas med åtkomstkontroll och det bör endast vara anställda med ett arbetsrelaterat behov som ska ha tillgång till informationen. Ytterligare en nödvändig säkerhetsåtgärd är att logga all personal som tar del av informationen, poängterar Frederik Viksøe Siegumfeldt, chef för Datatilsynets övervakningsenhet.

Läs mer här.

Tyskt försäkringsbolag ålagd sanktion om 1 240 000 euro

Det tyska försäkringsbolaget AOK Baden-Württemberg blir ålagd sanktion om 1 240 000 euro för otillräckligt samtycke vid marknadsföring. 

Datainsamling i samband med tävlingar

AOK Baden-Württemberg anordnade tävlingar vid olika tillfällen mellan 2015-2019 där de i samband med tävlingarna samlade in personuppgifter om deltagarna, inklusive anknytning till sjukförsäkringsbolag. Utöver detta ville AOK även använda deltagarnas data för reklamändamål, för att säkerställa att endast data från tävlande deltagare som redan samtyckt till användning av uppgifterna för marknadsföringsändamål användes.

Brister i förfarandet

Det framkom dock brister i förfarandet och över 500 deltagares personuppgifter hade nyttjats utan fullvärdigt samtycke. När bristerna uppdagades stoppade bolaget alla försäljningsåtgärder och en arbetsgrupp för dataskyddsfrågor sattes ihop. Dessutom reviderades bolagets interna processer och kontrollstrukturer. Utöver detta ska ytterligare åtgärder vidtas i nära samarbete med den tyska dataskyddsmyndigheten (LfDI). 

Läs mer här.

Hittills viktigaste påföljden i Europa

Efter de klagomål som lämnats in av La Quadrature du Net och None of your business (NOYB) i maj 2018 undersökte CNIL (den franska dataskyddsmyndigheten) behandlingen av personuppgifter hos Google LLC. Följaktligen analyserades processen kring hur det ser ut för en användare som skapar ett Google-konto via en mobiltelefon med ett operativsystem i Android form.  

Den 21 januari 2019 fattade CNIL ett beslut och ålade Google böter på 50 miljoner euro för brist på transparens, otillfredsställande information och brist på giltigt samtycke för anpassning av personliga annonser. Beslutet fokuserade främst på två specifika överträdelser av GDPR: bristen på tillräcklig information till användarna samt bristen på rättslig grund för behandling av personuppgifter för reklamändamål. 

Viktigaste påföljden hittills

Google överklagar beslutet vid den franska Conseil d’Etat (den högsta administrativa domstolen) men får avslag då Conseil d’Eta bekräftar CNILs bedömning att informationen i Googles sekretesspolicy inte var lättillgänglig för användaren. Den grundläggande informationen som ska tillhandahållas sprids över för många dokument och är endast tillgänglig efter flera steg. Google har därmed inte följt GDPR. Detta meddelar Conseil d’Etat i sitt beslut 19 juni 2020.

CNIL drog även slutsatsen att viss information inte alltid är tydlig samt att det saknades möjlighet för användaren att ge sitt samtycke till att få personliga annonser. 

Ärendets påföljd är hittills den viktigaste i Europa som har utfärdats av en datainspektion.

Läs mer här.

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

Forum för Dataskydd är ett kompetensnätverk som arbetar med att stärka fokuset på dataskydd. Stärk ditt dataskyddsarbete med kompetens från mer är 750 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.

Ordinarie medlemskap: 1645 kr per år.
Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
Go to cart