Sjusk med patientjournaler: Datatilsynet kræver GDPR-bøde på 400.000 kroner til Region Midt
Datatilsynet har politianmeldt Region Midtjylland og indstillet til en bøde på 400.000 kroner for brud på GDPR, efter man har sjusket med sikkerheden omkring patientjournaler.
Det skriver tilsynet på sin hjemmeside.
Regionen meldte den 12. juni sidste år til Datatilsynet, at alle medarbejdere og patienter i Livsstilcenter Brædstup har haft adgang til en bygning, hvor der blev opbevaret op mod 100.000 fysiske patientjournaler med helbredsoplysninger og personnumre.
Medarbejderne og patienterne fik nemlig udleveret et nøglekort, der gav adgang til alle tre af livsstilscenterets bygninger – uanset om brugeren havde behov for at komme ind alle steder eller ej.
Gladsaxe Kommune: 100.000 kronerDatatilsynets bødeindstillinger til offentlige myndigheder
Hørsholm Kommune: 50.000 kroner
Lejre Kommune: 50.000 kroner
Guldborgsund Kommune: 50.000 kroner
Vejle Kommune: 200.000 kroner
Region Syddanmark: 500.000 kroner
Udlændingestyrelsen: 150.000 kroner
Region Midtjylland: 400.000 kroner
Folk, der gik forbi bygningen med journalerne, kunne endda se omslaget, hvor personnummer, navn og speciale stod, fordi vinduerne ikke var matterede.
»Regioner skal passe godt på de store mængder af helbredsoplysninger, som de behandler, hvilket de ikke gjorde i denne situation. At alle medarbejdere og patienter, der befandt sig på et livstilscenter, har haft adgang til et arkiv med ca. 100.000 patientjournaler, er en alvorlig fejl, man burde have opdaget tidligere. Regionen skulle have haft helt klare retningslinjer for kodning og brug af nøglekort, og regelmæssigt have efterprøvet, om adgangsstyringen virkede, som den skulle,« forklarer Frederik Viksøe Siegumfeldt, kontorchef i Datatilsynet, i pressemeddelelsen.
Problemet er stået på siden 2016, hvor man flyttede arkivet til livsstilscentret, fordi regionen har ikke udført regelmæssige tjek på sikkerheden.
Bøden på 400.000 kroner er den næststørste, Datatilsynet hidtil har indstillet en offentlig myndighed til kun overgået af en bøde på 500.000 kroner, tilsynet indstillede Region Syddanmark til i midten af juli i år.
Der er indtil videre kun rent faktisk uddelt en enkelt GDPR-bøde til møbelkæden ILVA. Den dom er i øvrigt anket.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.