Datatilsynets tilsyn med Region Nordjyllands udstedelse af adgangskort gav ingen anledning til kritik

Region Nordjylland var en af de myndigheder, som Datatilsynet førte tilsyn med i første halvår af 2021. Tilsynet var skriftligt og fokuserede på regionens procedurer for udstedelse af adgangskort til hospitaler og lokaler, hvor der behandles personoplysninger.

Region Nordjyllands forklaring

• Adgangskortene bruges som ID-kort og giver adgang til aflåste rum.
• Medarbejdere, der arbejder på flere matrikler, kan bruge ét kort.
• Hver afdeling udpeger godkendere, der kan bestille ID-kort.
• Adgang til kliniske systemer kræver en personlig bruger til regionens IT-systemer.
• Ledere skal hvert halve år sikre, at deres ansatte har de nødvendige adgange.
• Adgangskort giver ikke automatisk adgang til alle rum.

Region Nordjylland har oplyst, at der ikke er foretaget en fornyet og dokumenteret risikoovervejelse i forbindelse med Persondataforordningen.

Datatilsynets afgørelse

Datatilsynet fandt ikke grundlag for at tilsidesætte Region Nordjyllands vurdering af, at de iværksatte procedurer for udstedelse af adgangskort udgør passende sikkerhedsforanstaltninger, jf. Databeskyttelsesforordningen § 32.

Datatilsynet lagde vægt på:

• Region Nordjylland benytter adgangskontrol til aflåste rum.
• Regionen har procedurer for udstedelse af adgangskort.
• Regionen har andre sikkerhedsforanstaltninger, som f.eks. krav om personlig bruger til regionens IT-systemer.