Norskt sjukhus döms till 1 200 000 NOK

Det norska sjukhuset Østfold HF döms till 1 200 000 norska kronor i böter då sjukhuset under 2013-2019 lagrat patientdata där bland annat åtkomstkontroll saknas. Händelsen blev känd efter en avvikelserapport sjukhuset gjorde. 

Brist på informationssäkerhet

Det norska sjuhuset har lagrat personuppgifter på ett felaktigt sätt som inte går i linje med informationssäkerheten. Platsen där uppgifterna lagrats saknar dessutom åtkomstkontroll och de lagrade personuppgifterna har varit tillgängliga för alla anställda på sjukhuset. Den lagrade datan var listor över utskrivna patienter, så kallade USK-listor, vilka innehöll känslig patientinformation.  

Listorna innehöll; en uppdaterad USK-lista som inkluderade cirka 25-30 patienter. Denna lista uppdateras var 15:e minut. En historik-USK-lista från 2013 till 2019, med 13 800 patienter och 26 566 utskrivningar samt två förteckningar över födelsetal och inskrivningsorsak med en omfattning om cirka 30 patienter.

Demografisk karaktär

De personuppgifter listorna omfattade var av demografisk karaktär och innehöll bland annat namn, födelsedatum, kommun och avdelningstillhörighet. Två av listorna innehöll patientens födelsenummer och inskrivningsorsak.

Läs mer här.

Lejre kommun ålagd böter om 50 000 DKK

Det danska Datatilsynet anmäler Lejre kommun till polisen då kommunen inte uppfyller kraven för en lämplig säkerhetsnivå i dataskyddsförordningen. 

Brott mot personuppgiftssäkerheten

Lejre kommun i Danmark ha blivit ålagd böter om 50 000 danska kronor då de som registreringsansvariga inte uppfyller skyldigheten att upprätthålla lämpliga säkerhetsåtgärder. Detta blev det danska Datatilsynet varse om när kommunen rapporterade ett brott mot personuppgiftssäkerheten. Det visade sig att kommunens enhet, Center för barn och unga, har haft en praxis där protokoll från möten innehållandes personuppgifter av särskild karaktär laddats upp på kommunens personalportal. Denna portal har en stor del av kommunens anställda tillgång till, även de som inte arbetar specifikt med dessa ärenden. 

Lämpliga säkerhetskrav

Konfidentiell information som denna bör skyddas med åtkomstkontroll och det bör endast vara anställda med ett arbetsrelaterat behov som ska ha tillgång till informationen. Ytterligare en nödvändig säkerhetsåtgärd är att logga all personal som tar del av informationen, poängterar Frederik Viksøe Siegumfeldt, chef för Datatilsynets övervakningsenhet.

Läs mer här.

Tyskt försäkringsbolag ålagd sanktion om 1 240 000 euro

Det tyska försäkringsbolaget AOK Baden-Württemberg blir ålagd sanktion om 1 240 000 euro för otillräckligt samtycke vid marknadsföring. 

Datainsamling i samband med tävlingar

AOK Baden-Württemberg anordnade tävlingar vid olika tillfällen mellan 2015-2019 där de i samband med tävlingarna samlade in personuppgifter om deltagarna, inklusive anknytning till sjukförsäkringsbolag. Utöver detta ville AOK även använda deltagarnas data för reklamändamål, för att säkerställa att endast data från tävlande deltagare som redan samtyckt till användning av uppgifterna för marknadsföringsändamål användes.

Brister i förfarandet

Det framkom dock brister i förfarandet och över 500 deltagares personuppgifter hade nyttjats utan fullvärdigt samtycke. När bristerna uppdagades stoppade bolaget alla försäljningsåtgärder och en arbetsgrupp för dataskyddsfrågor sattes ihop. Dessutom reviderades bolagets interna processer och kontrollstrukturer. Utöver detta ska ytterligare åtgärder vidtas i nära samarbete med den tyska dataskyddsmyndigheten (LfDI). 

Läs mer här.

Hittills viktigaste påföljden i Europa

Efter de klagomål som lämnats in av La Quadrature du Net och None of your business (NOYB) i maj 2018 undersökte CNIL (den franska dataskyddsmyndigheten) behandlingen av personuppgifter hos Google LLC. Följaktligen analyserades processen kring hur det ser ut för en användare som skapar ett Google-konto via en mobiltelefon med ett operativsystem i Android form.  

Den 21 januari 2019 fattade CNIL ett beslut och ålade Google böter på 50 miljoner euro för brist på transparens, otillfredsställande information och brist på giltigt samtycke för anpassning av personliga annonser. Beslutet fokuserade främst på två specifika överträdelser av GDPR: bristen på tillräcklig information till användarna samt bristen på rättslig grund för behandling av personuppgifter för reklamändamål. 

Viktigaste påföljden hittills

Google överklagar beslutet vid den franska Conseil d’Etat (den högsta administrativa domstolen) men får avslag då Conseil d’Eta bekräftar CNILs bedömning att informationen i Googles sekretesspolicy inte var lättillgänglig för användaren. Den grundläggande informationen som ska tillhandahållas sprids över för många dokument och är endast tillgänglig efter flera steg. Google har därmed inte följt GDPR. Detta meddelar Conseil d’Etat i sitt beslut 19 juni 2020.

CNIL drog även slutsatsen att viss information inte alltid är tydlig samt att det saknades möjlighet för användaren att ge sitt samtycke till att få personliga annonser. 

Ärendets påföljd är hittills den viktigaste i Europa som har utfärdats av en datainspektion.

Läs mer här.

Nytt register över One-Stop-Shop

EDPB (European Data Protection Board) har publicerat ett nytt register som innehåller beslut som fattats av nationella tillsynsmyndigheter efter One-Stop-Shop-samarbetsförfarandet (artikel 60 GDPR) på sin webbplats.

Enligt GDPR har tillsynsmyndigheter en skyldighet att samarbeta i ärenden med en gränsöverskridande komponent för att säkerställa en konsekvent tillämpning av förordningen – den så kallade one-stop-shop-mekanismen (OSS). Under OSS ansvarar ledningstillsynsmyndigheten (LSA) för att förbereda utkasten till beslut och arbetar tillsammans med berörda tillsynsmyndigheter för att nå enighet. 

Värdefullt register

Fram till början av juni har LSA antagit 110 slutliga OSS-beslut. I registret presenteras besluten samt sammanfattningar av besluten på engelska som utarbetats av EDPB-sekretariatet. Registret kommer att vara värdefullt för personer som arbetar med dataskydd då det innehåller information som visar hur tillsynsmyndigheter samarbetar för att verkställa GDPR i praktiken. 

Informationen i registret har validerats av de aktuella LSA:erna och i enlighet med villkoren i dess nationella lagstiftning.


Ta del av registret här.

Användning av värmekameror stoppas i Lisses, Frankrike

Som en del av att bekämpa spridningen av COVID-19-epidemin i Lisses, Frankrike, placerades bärbara värmekameror ut i bland annat kommunens skolor. Värmekamerorna samlar in hälsodata från de som vistas i skolorna och på så sätt ska spridningen av viruset bekämpas. 

Användningen av dessa värmekameror har dock begärts stoppas då insamlingen av data sker automatiskt och utan samtycke, vilket krävs av GDPR. Skolans elever, lärare och övrig personals hälsodata blir med andra ord registrerade genom att de vistas i lokalerna där kamerorna är uppsatta.

Åsidosätter rätten till integritet

Då bland annat avsaknaden till samtycke från de berörda uppfylls inte villkoren för att tillåta denna typ av datainsamling och därför beordras Lisses kommun att avsluta användningen av dessa värmekameror. Man menar att kommunen åsidosätter rätten till respekt och integritet för de berörda, vilket även inkluderar rätten till skydd av personuppgifter. 


Läs mer här.

Diskussionspanel kring e-hälsotjänster

Tidigare under dagen sände SVT2 Forum ett webbinarium kring de legala utmaningar e-hälsan medför med anledning av den ökade tillväxten av e-hälsotjänster. Medverkade i webbinariet gjorde bland annat Datainspektionens generaldirektör Lena Lindgren Schelin, Erik Janzon, E-hälsomyndigheten, Daniel Forslund, biträdande regionråd i Region Stockholm. 

E-hälsa som app – dataskydd och datadelning

Då marknaden för e-hälsotjänster växer sig större väcks frågor kring dataskydd och integritet. Utgångspunkten för webbinariets diskussion var SNS-rapporten “E-hälsa som app – dataskydd och datadelning”, skriven av Cecilia Magnusson Sjöberg, professor i rättsinformatik och ämnesföreståndare vid Juridiska institutionen, Stockholms Universitet. Rapporten ingår i SNS:s forskningsprojekt “Vård och omsorg i det 21:a århundradet” där fokus är att ta fram ny kunskap om hur kompetensförsörjningen kan säkras i sektorn och hur ny teknik kan tas tillvara. 

Något som rapporten visar är att den stora efterfrågan på e-hälsotjänster medför, förutom många fördelar, även flertalet utmaningar där bland annat hälsoapparna och juridiken inte alltid går hand i hand. Ytterligare en utmaning som är att förutsättningarna för häsloappar i den privata respektive offentliga sektor kan se olika ut när det exempelvis gäller administrativa sanktionsavgifter enligt dataskyddsförordningen (GDPR). 

Viktigt att det finns ett regelverk

Webbinariet avslutas med en diskussion kring ämnet där Lena Lindgren Schelin, generaldirektör på Datainspektionen berättar att de största problemen och utmaningarna inom området är hon poängterar att hälsa, e-hälsa, appar och framförallt dessa i kombination är ett svårt med mycket viktigt område. Vidare förklarar hon att SNS:s rapport pekar på många intressanta områden samt att det är viktigt att bejaka att digitaliseringen är här för att stanna. Hon förklarar även att det handlar om att få med dataskyddsperspektivet tidigt i all utveckling då det sällan går att reparera i efterhand. Vidare poängterar hon att det är viktigt att det finns ett regelverk att förhålla sig till.

Webbinariet kan du se här.

Datainspektionen granskar ABB

Datainspektionen har fått in klagomål gällande ABB men behöver i första steget ta reda på om de är behöriga att granska den internationella koncernen. 

Det klagomål som inkommit till Datainspektionen handlar om hur ABB hanterar personuppgifter om arbetssökande i samband med rekryteringar. En granskning har nu inletts men Datainspektionen behöver i ett första steg utreda om de är behöriga att granska ABB som är en internationell koncern. 

I nuläget ställer Datainspektionen ett antal frågor till ABB för att bland annat ta reda på mer specifikt i vilka länder hanteringen av personuppgifter gäller, samt i vilket land beslutet för hur sättet hanteringen av personuppgifterna fattats. 

Läs mer här.

EU-kommissionens rapport gällande dataskyddsregler nu publicerad

Den 24 juni i år offentliggjorde EU-kommissionen en rapport gällande tillämpningen av den allmänna dataskyddsförordningen (GDPR) som trädde i kraft för drygt två år sedan.

Den offentliggjorda rapporten visar att GDPR har uppfyllt de flesta av sina mål, särskilt genom att erbjuda medborgarna en stark uppsättning verkställbara rättigheter och genom att skapa ett nytt europeiskt system för styrning och verkställighet.

Modernisera mekanismer för dataöverföring

EU-kommissionen skall, enligt den allmänna dataskyddsförordningen (GDPR), rapportera om tillämpningen och översynen av förordningen med en första rapport efter två år och därefter vart fjärde år. I rapporten presenteras en förteckning över åtgärder som ytterligare ska underlätta tillämpningen av den allmänna dataskyddsförordningen för alla berörda parter med särskilt fokus på små och medelstora företag. Detta för att främja samt vidareutveckla en verkligt europeisk dataskyddskultur samt ett kraftfullt verkställande. 

För att nå den fulla potentialen i internationella uppgiftsöverföringar ska kommissionen fortsätta sitt arbete mot en adekvat skyddsnivå med sina partner runt om i världen. Utöver detta håller kommissionen, i samarbete med Europeiska dataskyddsstyrelsen, på att modernisera andra mekanismer för dataöverföring, inbegripet standardavtalsklausuler, det mest använda verktyget för dataöverföring.

Läs hela rapporten här.

Norska Folkhälsoinstitutets svarsbrev angående stoppet av appen Smittestopp

Den 15 juni i år meddelade Norska Datatilsynet att de väljer att införa ett tillfälligt förbud mot behandling av personuppgifter som är kopplade till appen Smittestopp. Anledningen till anmälan är att Datatilsynet ifrågasätter bristen på valfrihet för användaren. Det Norska Folkhälsoinstitutet hade fram till den 23 juni att dokumentera och göra nödvändiga ändringar för att återuppta användandet av appen.

Igår, 24 juni, skickade det Norska Folkhälsoinstitutets svar till Norska Datatilsynet gällande beslutet om tillfälligt stopp av användandet av appen Smittestopp. I svarsbrevet går att läsa att det Norska Folkhälsoinstitutet bland annat kommer fortsätta samt förbättra arbetet kring tekniska lösningar. De understryker även att digital smittspårning är viktig för att förhindra och förebygga spridning av smitta samt att det är mycket angeläget att sätta appen i bruk igen. 

För att ta del av svarsbrev och tillhörande bilagor klicka dig vidare här.

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från mer än 700 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.

Ordinarie medlemskap: 1645 kr per år.
Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
Go to cart