Alvorlig kritik, påbud og advarsel til Region Hovedstaden for sikkerhedsbrud i Sundhedsplatformen

Datatilsynet har behandlet to sager om sikkerhedsbrud anmeldt af Sundhedsdatastyrelsen, der involverede Region Hovedstadens sundhedsplatform og Fælles Medicin Kort (FMK). I august 2020 påvirkede et brud 4.223 medicinordinationer for 2.310 patienter, og i juli 2021 påvirkede et lignende brud 1.311 lægemiddelordinationer for 1.149 patienter. Begge brud skyldtes kodeændringer i Sundhedsplatformen, som Region Hovedstaden er dataansvarlig for, der utilsigtet påvirkede FMK, hvor Sundhedsdatastyrelsen er dataansvarlig.

Region Hovedstadens ansvar

Datatilsynet har kritiseret Region Hovedstaden for:

• Ikke at have kvalificeret relevante testscenarier.
• Ikke at have gennemført nødvendige test før ændringerne blev sat i produktion.
• Ikke at have informeret Sundhedsdatastyrelsen om sikkerhedsbruddene.

Det blev betragtet som en skærpende omstændighed, at Region Hovedstaden ikke forbedrede sikkerheden tilstrækkeligt efter det første brud, hvilket førte til et lignende brud efterfølgende.

Sundhedsdatastyrelsens ansvar

Datatilsynet har indskærpet, at Sundhedsdatastyrelsen skal foretage en detaljeret kortlægning af sin it-arkitektur og it-miljø i samarbejde med involverede parter for at tydeliggøre dataansvaret.

Datatilsynet har præciseret, at den dataansvarlige har pligt til at anmelde brud på persondatasikkerheden, også selvom bruddet skyldes fejl i systemer tilhørende en anden dataansvarlig.

Underretning af registrerede

Datatilsynet har bemærket, at Region Hovedstaden og Sundhedsdatastyrelsen har foretaget en sundhedsfaglig underretning af de berørte registrerede, men har understreget, at dette ikke nødvendigvis opfylder kravene til en databeskyttelsesretlig underretning ifølge databeskyttelsesforordningen.

Datatilsynet har truffet følgende afgørelse:

Alvorlig kritik af Region Hovedstaden

Datatilsynet udtaler alvorlig kritik af Region Hovedstaden for manglende overholdelse af Databeskyttelsesforordningens artikel 32, stk. 1, der omhandler passende tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau.

Påbud til Region Hovedstaden

Region Hovedstaden pålægges at udarbejde og implementere en proces, der sikrer, at ændringer i Sundhedsplatformens funktionalitet eller datagrundlag ikke implementeres, før det er sikret, at der ikke skabes urigtige informationer i andre systemer via kendte integrationer. Dette påbud er givet i medfør af Databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Advarsel til Region Hovedstaden

Region Hovedstaden modtager en advarsel om, at idriftsættelse af systemændringer uden test af dataintegritet sandsynligvis vil være i strid med Databeskyttelsesforordningens artikel 5, stk. 1, litra a og d, samt artikel 32, stk. 1. Advarslen er givet i henhold til Databeskyttelsesforordningens artikel 58, stk. 2, litra a.