Datatilsynet krytykuje Urząd ds. Zdrowia i Leków za nieodpowiednie środki bezpieczeństwa

Duński organ nadzorczy stwierdził, że do naruszenia danych zgłoszonego przez Urząd 13 sierpnia 2021 r. doszło po wdrożeniu aktualizacji platformy zdrowotnej, za której dane odpowiada Region Stołeczny (Hovedstaden). W tym zakresie Datatilsynet określił, że naruszenie danych spowodowało usunięcie informacji dotyczących dat zakończenia leczenia i dawkowania pacjentów na Wspólnej Karcie Leków, za której dane odpowiada Urząd.
Jako administrator danych Urząd powinien podjąć odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiadającego ryzyku związanemu z przetwarzaniem danych wrażliwych. W tym zakresie Datatilsynet określił, że Urząd powinien był przetestować prawdopodobne scenariusze błędów w związku z aktualizacjami platformy, nawet w przypadku, gdy to strona trzecia odpowiadała bezpośrednio za realizację tego procesu. W związku z tym organ nadzorczy stwierdził, że Urząd nie spełnił wymogów wynikających z art. 32 ust. 1 RODO. W przypadkach, w których kilka podmiotów uczestnicy w procesie przetwarzania każdy administrator musi dla swoich własnych systemów określić wytyczne i procedury dotyczące tego, jak zmiany w systemach źródłowych mogą wpłynąć na jego organizację.
Ponadto Datatilsynet stwierdził, że Urząd nie zgłosił naruszenia danych w terminie 72 godzin i wcześniej popełniał podobne błędy w zakresie bezpieczeństwa danych. Datatilsynet uznał to za okoliczności obciążające.

NAJNOWSZE WPISY

ZNAJDŹ NAS

Menu