La ut känsliga personuppgifter får böta stora summor

Hälso och sjukvårdsnämden i Örebro publicerade känsliga personuppgifter på webben. Något som Datainspektionen nu konstaterarär fel och Hälso- och sjukvårdsnämnden i Region Örebro län ska nu betala 120 000 kronor och åläggs att uppdatera sina rutiner.

Hälso- och sjukvårdsnämnden i Region Örebro län har gjort fel vid publicering av känsliga personuppgifter på regionens webbplats, det gäller patienter som är intagna på rättspsykiatrisk klinik. Det visar Datainspektionen inledde en granskning efter att ha fått in ett klagomål.

– Vår granskning av det inträffade visar att känsliga personuppgifter felaktigt publicerats och har legat öppna på kommunens webbplats

säger Elin Hallström, jurist på Datainspektionen.

Av den granskning som Datainspektionen gjort framgår det också att det inte finns några skriftliga rutiner som avhandlar hur man får publicera handlingar och personuppgifter på webbplatsen, utan att rutiner kring publiceringen delges muntligt.
I just det här fallet har inte dom muntliga rutinerna följts utan handlingen ska ha publicerats av misstag, det visar enligt Datainspektionen på att nämnden inte har vidtagit tillräckliga organisatoriska åtgärder för att säkerställa att personuppgifter skyddas från att felaktigt publiceras på regionens webbplats.

– Därför förelägger vi nu nämnden att ta fram skriftliga instruktioner och införa rutiner som säkerställer att den som publicerar personuppgifter på webben gör det enligt de instruktionerna.

Datainspektionen konstaterar också i sin dom att nämden inte haft något berättigat ändamål, undantag från Datainspektionen, eller laglig grund för publicering på sidan.

Datainspektionens föreläggande är därför att nämnden ska åtgärda dom brister och problem som upptäckts samt även utfärdat en administrativ sanktionsavgift på 120 000 kronor mot nämden.

Datainspektionen förelägger därför nämnden att åtgärda de brister som upptäckts och utfärdar även en administrativ sanktionsavgift på 120 000 kronor mot nämnden.

Hälso och sjuvårdsnämden i Örebro har avlägsnat den publicerade handlingen från sin webbplats.

Tyskland får GDPR fall med miljarböter

Det är den Tyska internet och mobiloperatören 1&1 som ska betala runt en miljard för att ha brutit mot GDPR, enligt den tyska motsvarigheten till dataskydsmyndigheten ska skyddet för persondata på 1&1 callcenter varit otillräckligt.

1&1 är en av Tysklands största internet och mobiloperatörer och har inte vidtagit ”tillräckliga tekniska och organisatoriska åtgärder” för att skydda personuppgifter på sina callcenter vilket då innebär brott mot artikel 32 i GDP, det skriver BFDI, den tyska dataskyddsmyndigheten, i ett pressmedelande.

Bara genom att ange namn och födelsedatum när man ringt callcentret så har man kunnat få ut kundernas information vilket innebär att den inte skyddats tillräckligt. Nu åläggs 1&1 att betala 9,55 miljoner euro, vilket motsvarar runt en knapp miljard kronor.

Efter att BfDI tidigare kritiserat dataskyddet så har 1&1 lagt till ett extra steg innan kunderna kan få ut sin kunddata och kunderna ska även förses med en personlig pinkod för att kunna få tillgång till sitt konto.

1&1 själva anser att boten är helt fle och oproportionerlig och kommer att överklaga beslutet.