Sjusk med patientjournaler: Datatilsynet kræver GDPR-bøde på 400.000 kroner til Region Midt
Datatilsynet har politianmeldt Region Midtjylland og indstillet til en bøde på 400.000 kroner for brud på GDPR, efter man har sjusket med sikkerheden omkring patientjournaler.
Det skriver tilsynet på sin hjemmeside.
Regionen meldte den 12. juni sidste år til Datatilsynet, at alle medarbejdere og patienter i Livsstilcenter Brædstup har haft adgang til en bygning, hvor der blev opbevaret op mod 100.000 fysiske patientjournaler med helbredsoplysninger og personnumre.
Medarbejderne og patienterne fik nemlig udleveret et nøglekort, der gav adgang til alle tre af livsstilscenterets bygninger – uanset om brugeren havde behov for at komme ind alle steder eller ej.
Gladsaxe Kommune: 100.000 kronerDatatilsynets bødeindstillinger til offentlige myndigheder
Hørsholm Kommune: 50.000 kroner
Lejre Kommune: 50.000 kroner
Guldborgsund Kommune: 50.000 kroner
Vejle Kommune: 200.000 kroner
Region Syddanmark: 500.000 kroner
Udlændingestyrelsen: 150.000 kroner
Region Midtjylland: 400.000 kroner
Folk, der gik forbi bygningen med journalerne, kunne endda se omslaget, hvor personnummer, navn og speciale stod, fordi vinduerne ikke var matterede.
»Regioner skal passe godt på de store mængder af helbredsoplysninger, som de behandler, hvilket de ikke gjorde i denne situation. At alle medarbejdere og patienter, der befandt sig på et livstilscenter, har haft adgang til et arkiv med ca. 100.000 patientjournaler, er en alvorlig fejl, man burde have opdaget tidligere. Regionen skulle have haft helt klare retningslinjer for kodning og brug af nøglekort, og regelmæssigt have efterprøvet, om adgangsstyringen virkede, som den skulle,« forklarer Frederik Viksøe Siegumfeldt, kontorchef i Datatilsynet, i pressemeddelelsen.
Problemet er stået på siden 2016, hvor man flyttede arkivet til livsstilscentret, fordi regionen har ikke udført regelmæssige tjek på sikkerheden.
Bøden på 400.000 kroner er den næststørste, Datatilsynet hidtil har indstillet en offentlig myndighed til kun overgået af en bøde på 500.000 kroner, tilsynet indstillede Region Syddanmark til i midten af juli i år.
Der er indtil videre kun rent faktisk uddelt en enkelt GDPR-bøde til møbelkæden ILVA. Den dom er i øvrigt anket.
