Helsestasjon slettet ikke bilder – kommunen fikk gebyr på 400 000 kroner

BRØT PERSONVERNFORORDNINGEN: I dag kalles det EUs regelverk for personvern og er en del av personopplysningsloven. På engelsk: the General Data Protection Regulation (GDPR). *Illustrasjon: Mostphotos/Sykepleien*

Datatilsynet har gitt Høylandet kommune 400 000 kroner i overtredelsesgebyr. Bildefiler med helseopplysninger om personer uten tilknytning til kommunen lå tilgjengelig for ansatte ved en helsestasjon.

En avviksmelding fra november i 2019 startet saken. Nå har Datatilsynet leverte vedtaket om gebyret til kommunen.

Feilen ble begått på en helsestasjon i helse- og omsorgstjenesten i Høylandet kommune i perioden fra januar i 2018 til slutten av 2019.

Avviket var at en ansatt fikk tilgang til flere bildefiler da vedkommende skulle opprette nye brevmaler og sette inn en bildelogo.

Sensitive opplysninger var tilgjengelig

Bildefilene inneholdt sensitive opplysninger om personer som ikke har tilknytning til Høylandet kommune.

Informasjonen omfattet opplysninger om reelle personers timeavtaler, svar på henvisning, epikrise og diverse undersøkelser.

Helsestasjonen (samt skolehelsetjenesten) benytter et system levert av CompuGroup Medical Norge AS (CGM).

Nylig skrev Sykepleien også om et annet gebyr, på 750 000 kroner, som ble gitt av Datatilsynet til St. Olavs hospital da sykehuset lot mapper med helseopplysninger ligge åpne for helsepersonell i hele Helse Midt-Norge.

I dag: Opp til 100 millioner i gebyr

I vurderingen av gebyrets størrelse har Datatilsynet sett at Høylandet kommune ikke sørget for sletting av de aktuelle bildefilene eller gjorde tiltak for å forhindre liknende avvik før etter cirka elleve måneder.

Gebyrets størrelse er avgrenset til maksimalt en million kroner etter tidligere lovverk. Datatilsynet mener dermed det er rimelig med et gebyr på 400 000 kroner.

Etter dagens regelverk, som ble endret i 2018, kan gebyret bli på opp mot 10 millioner euro, eller over 100 millioner norske kroner.

Kommunen brøt personvernforordningen artikkel 24 og 32 før de nye reglene trådde i kraft. Les hele avgjørelsen her.

Datatilsynet har lagt vekt på at kommunen ikke gjorde noen relevante tiltak etter at avviket ble oppdaget.

Grunnleggende mangler internt

– Vi har vedtatt å gi kommunen et overtredelsesgebyr for grunnleggende mangler ved tilgangsstyringen internt. Dette er et brudd på kravene til personopplysningssikkerhet i personvernforordningen, sier seniorrådgiver Susanne Lie i Datatilsynet.

Feilen er rettet opp med hjelp fra CGM, og kommunen har innført et nytt internkontrollsystem.

– Det var et veldig strengt gebyr, men vi tar det til etterretning, sier kommunedirektøren i Høylandet kommune Liv Elden Djokoto.

– Kommunen jobber med å få bedre rutiner på plass, sier hun.

Kommunen har tre ukers klagefrist fra de mottok vedtaket i slutten av september.

Helsestasjon slettet ikke bilder – kommunen fikk gebyr på 400 000 kroner

Sensitive opplysninger var tilgjengelig

I dag: Opp til 100 millioner i gebyr

Grunnleggende mangler internt

0 Kommentarer

Relatert

Mest lest

Ledige stillinger

Administrativ leder

Politisk rådgiver for forbundsledelsen i NSF

Administrativ leder

Vil du være med å bidra til å gi våre brukere trygghet og økt livsmestring?

Har du lyst til å jobbe med brukerstøtte?

Stipendiat i profesjonsvitenskap med fokus på involveringspraksiser

Spesialrådgiver helsefagutdanninger - vikariat

Sykepleierstillinger ved medisinsk sengepost

Forskningssykepleier

Sykepleier/tekniker

Sykepleier/vernepleier - Enhet for sikkerhetspsykiatri

Administrativ leder for radiologer ved SUS

Test deg selv

Har du et nyhetstips?