Region Hovedstaden lever ikke op til krav om beskyttelse af persondata

Datatilsynet har udtalt kritik mod Region Hovedstaden, efter de ikke har levet op til krav om tilsyn af behandling af data.

Region Hovedstaden, nærmere bestemt Gentofte Hospital, har ikke efterlevet persondatalovens og sikkerhedsbekendtgørelsens krav. Det fremgår af en afgørelse fra Datatilsynet, som Version2 er i besiddelse af.

Datatilsynet har fundet det kritisabelt, at:

  • Region Hovedstaden ikke har efterlevet kravene om en årlig gennemgang af sine sikkerhedsregler
  • Ej heller er der fastsat ordentlige retningslinjer for deres egne tilsyn
  • Oven i købet har de ikke formået at leve op til persondatalovens krav om, at sikkerheden hos anvendte databehandlere skal påses

I det hele taget finder Datatilsynet sagen kritisabel.

I afgørelsen fremhæves det, at de retningslinjer, som Region Hovedstaden skulle fastsætte, ikke er fastsat med henblik på at kontrollere, at retningslinjerne overholdes.

Regionen har fra den 8. marts fire uger til at få rettet op på kritikpunkterne, fremgår det af afgørelsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

..., da det også er Region Hovedstaden, der har ansvaret for datasikkerheden i Sundhedsplatformen, som giver vore data videre til Epic i USA.

Ud fra den foreløbige aktindsigt og besvarelse, som jeg har fået fra regionen vedr. dette, er jeg endnu mere bekymret. Det er en ualmindelig rodet omgang ikke-svar, som oven i købet virker selvmodsigende og undvigende. Jeg får (kan skyldes uklare formuleringer - men hvorfor er de uklare?) indtryk af, at der er meget lidt styr på hvem, hvorfor, hvor længe og hvad, der gives af indsigt til medarbejdere i USA. Men i følge aktindsigten er der tale om flere hundrede medarbejdere. Er det virkeligt betryggende? Og foreneligt med at kalde det for "sjældne tilfælde"?

Som sagt svares der uklart, men mit indtryk er, at der mere eller mindre er konstant adgang for disse medarbejdere, da regionen samtidig svarer, at der ikke foreligger skriftlige tilladelser i de situationer, hvor det er nødvendigt at give tilladelse til vore data i USA.

Jeg har heller ikke kunnet få svar på (endnu), på hvilken måde adgangen gives. Det er dog muligt, at det er et spørgsmål om at have IT-kundskab, som jeg ikke har. Men mit gæt er (altså et gæt), at der er konstant adgang til vore data fra USA, men at Sundhedsplatformen mener, at det er nok, at Epic har lovet ikke at misbruge dette.

Sundhedsplatformen fører, som jeg læser det, ikke selv kontrol med forholdene i USA, men lader sig nøje med årlige forsikringer og rapporter fra Epic.

Og man har efter en måned ikke besvaret min anmodning om aktindsigt i, hvor mange underleverandører, Epic har givet opgaver videre til. det er jo ellers ret interessant, taget den aktuelle og skræmmende historie i Norge i betragtning: https://www.nrk.no/ytring/gambling-med-helseopplysninger-1.13502960

  • 6
  • 0
Log ind eller Opret konto for at kommentere