Lovguiden Logo

Command Palette

Search for a command to run...

Alvorlig kritik til Københavns Universitet for manglende overholdelse af databeskyttelsesregler i forbindelse med medicinstuderendes praktik

Dato

12. august 2019

Eksterne links

Læs hele sagen

Kategorier

AfgørelseOffentlige myndighederAlvorlig kritikAnmeldt brud på persondatasikkerhedenBehandlingssikkerhedAnmeldelse af brud på persondatasikkerhedenUnderretning af registrerede ved brud på persondatasikkerhedenAfklaring af dataansvar

Lovreferencer

Sundhedsloven § 41, stk. 2

Sagen omhandler en medicinstuderendes praktikforløb hos Lægerne Gammel Strandvej, hvor et videokamera ejet af Københavns Universitet (KU) med optagelser af patienter blev stjålet. Datatilsynet skulle afklare, hvem der var dataansvarlig for behandlingen af personoplysninger i denne situation.

Parternes argumenter

  • Lægerne Gammel Strandvej anførte, at de ikke var dataansvarlige og pegede på KU som en mulig dataansvarlig.
  • KU argumenterede for, at den studerende selv var dataansvarlig, da de studerende selv afgør formålet med behandlingen af personoplysninger. KU henviste til, at de studerende er omfattet af undtagelsesbekendtgørelsen, hvilket indikerer, at de betragtes som private dataansvarlige.
  • KU anførte, at de vejleder den studerende, men ikke har instruktionsbeføjelser over for dem som over for ansatte. Universitetets udlån af kameraet skulle understøtte sikker dataopbevaring.

Datatilsynets undersøgelse

  • Datatilsynet vurderede, at KU fastsætter ordningen og reglerne for praktikforløbet, og at kurset er en del af den medicinstuderendes uddannelse på KU. Dermed afgør KU formålet og hjælpemidlerne for behandlingen af personoplysninger.
  • Datatilsynet lagde vægt på, at der ikke foreligger en videregivelse af oplysninger, hvor Sundhedsloven § 41, stk. 2 finder anvendelse, og at den aktuelle behandling kan isoleres til optagelse og lagring af personoplysninger på et videokamera ejet af KU til brug for den studerendes forpligtelser for undervisning og eksamen på KU.

Datatilsynet har truffet afgørelse i sagen vedrørende brud på persondatasikkerheden hos Københavns Universitet (KU) i forbindelse med en medicinstuderendes praktikforløb.

Afgørelse

Datatilsynet udtaler alvorlig kritik af, at Københavns Universitets behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningen.

Begrundelse

  • Datatilsynet fastslår, at KU er dataansvarlig for den behandling af personoplysninger, der er udført af den medicinstuderende under praktikforløbet.
  • KU har ikke gennemført passende sikkerhedsforanstaltninger, jf. Databeskyttelsesforordningen artikel 32, stk. 1, da de mistede et videokamera med patientoptagelser.
  • KU har ikke anmeldt bruddet på persondatasikkerheden til Datatilsynet uden unødig forsinkelse, jf. Databeskyttelsesforordningen artikel 33, stk. 1.
  • KU har ikke underrettet de registrerede personer om bruddet på persondatasikkerheden, jf. Databeskyttelsesforordningen artikel 34, stk. 1.

Datatilsynet henstiller, at KU vurderer de risici, som behandlingen indebærer for de registrerede, for at kunne gennemføre passende tekniske og organisatoriske foranstaltninger i medfør af Databeskyttelsesforordningen artikel 32, stk. 1.

Lignende afgørelser