Persondataretlige nyheder – februar 2021
Udvalgte afgørelser inden for persondata fra februar:
Regionale lægevagters optagelse af telefonsamtaler
En borger klagede over, at hendes telefonsamtaler med Lægevagten Region Syddanmark var blevet optaget, og at lægevagten efterfølgende afviste at slette optagelserne. Datatilsynet fandt, at det var i orden, at lægevagten optog telefonsamtalerne, men at lægevagten generelt gemte optagelserne for længe. Under sagen kom det frem, at den pågældende lægevagt havde optaget og gemt ca. 7,5 millioner samtaler siden januar 2013.
Lægevagten var af den opfattelse, at optagelse af telefonsamtaler med borgere var materiale, som skulle anses for at udgøre en del af en patientjournal og derfor skulle opbevares i overensstemmelse med de regler, der gælder for opbevaring af oplysninger indeholdt i patientjournaler (som udgangspunkt 10 år efter sidste patientkontakt).
Datatilsynet fandt, at optagelse af telefonsamtaler med lægevagten ikke kan anses for at være en del af en patientjournal. Spørgsmålet, om hvor længe lægevagten kunne opbevare optagelserne, skulle derfor i stedet afgøres efter de almindelige databeskyttelsesretlige regler.
Datatilsynet fandt, at en opbevaringsperiode på op til fem år ville være i overensstemmelse med databeskyttelsesreglerne. Datatilsynet lagde vægt på, at formålet med optagelse af telefonsamtaler hos lægevagten er at sikre dokumentation til brug for eventuelle klager over sundhedsfaglig behandling, og at der efter lov om klage- og erstatningsadgang inden for sundhedsvæsenet er mulighed for at klage i op til fem år efter den dag, hvor klageforholdet fandt sted.
Datatilsynet udtalte på den baggrund alvorlig kritik af, at lægevagten havde opbevaret optagelser af telefonsamtaler, som var mere end fem år gamle og meddelte lægevagten påbud om at slette alle optagelser af telefonsamtaler, som var mere end fem år gamle.
Cyberbook A/S får bøde for automatisk videresendelse af e-mails
Det norske datatilsyn (Datatilsynet) har udstedt en bøde på NOK 200.000 til Cyberbook for ulovlig automatisk videresendelse af en tidligere medarbejders e-mails.
Baggrunden for sagen var en klage fra den tidligere ansatte hos Cyberbook, som oplevede, at Cyberbook havde sat automatisk videresendelse på den tidligere ansattes personlige e-mail-konto i virksomheden. Videresendelsen fandt sted i flere måneder, uden at den tidligere medarbejder modtog oplysninger om dette.
Datatilsynet konkluderede, at virksomheden bl.a. havde overtrådt kravet om beskyttelse af privatlivet, information til den registrerede og reglerne om sletning af personoplysninger.
Udover bøden på NOK 200.000 besluttede Datatilsynet, at virksomheden skal etablere skriftlige rutiner for adgang til e-mails for medarbejdere.
Læs hele afgørelsen (på norsk) her.
Hollandsk hospital idømt en bøde for utilstrækkelig sikkerhed i sygejournaler
Det hollandske datatilsyn (AP) har udstedt en bøde til OLVG-hospitalet i Amsterdam på EUR 440.000, fordi hospitalet havde truffet for få foranstaltninger mellem 2018 og 2020 for at forhindre uautoriserede medarbejderes adgang til lægejournaler.
AP startede efterforskningen efter et tip fra en bekymret borger, signaler fra medierne og to dataovertrædelsesrapporter fra hospitalet om arbejdende studerende og andre medarbejdere, der havde adgang til medicinske filer, uden at dette var nødvendigt for deres arbejde. Ud over medicinske data indeholdt filerne oplysninger såsom personnumre, adresser og telefonnumre.
Efter undersøgelsen konkluderede AP, at hospitalet strukturelt ikke håndterede adgangen til medicinske filer korrekt.
AP udtalte, at hospitalet skal holde styr på og regelmæssigt kontrollere, hvem der bruger hvilken fil. Hospitalet kan f.eks. angive i god tid, når/hvis nogen bruger en fil, når dette ikke er tilladt og herefter træffe de nødvendige foranstaltninger. OLVG holdt automatisk styr på, hvilken medarbejder der så, hvilken medicinsk fil og hvornår (logning), men kontrollerede ikke denne logning ofte nok i forhold til uautoriseret adgang.
AP udtalte endvidere, at god sikkerhed kræver godkendelse med mindst to faktorer. Identiteten for en bruger til at få adgang til en patientfil oprettes derefter for eksempel med en kode eller en adgangskode i kombination med et personalekort. OLVG brugte ikke denne to-faktor-godkendelse på hospitalet. Log ind uden for hospitalet blev dog foretaget via to-faktor-godkendelse.
Den utilstrækkelige kontrol af, hvem der så hvilken fil og den utilstrækkelige sikkerhed i computersystemerne resulterede i en bøde, selvom hospitalet efter AP’s undersøgelse har implementeret de nødvendige forbedringer.
Læs hele afgørelsen (på hollandsk) her.
Datatilsynets indstilling om bøde på 1,5 mio. kr. til ILVA nedsat til 100.000 kr.
I ”månedens nyheder fra juni 2019” fortalte vi om, at Datatilsynet havde indstillet ID-design (ILVA) til en bøde på 1,5 mio. kr.
Sagen udsprang af et tilsynsbesøg i efteråret 2018, hvor Datatilsynet konstaterede, at ILVA opbevarede oplysninger om over 350.000 kunders navne, adresser, telefonnumre, e-mails og købshistorik. Oplysningerne havde ikke været brugt, hvorfor sagen alene drejede sig om persondataforordningens regler om dataminimering.
Sagen blev indbragt for Retten i Aarhus, der som den første danske domstol skulle tage stilling til beviskrav, skyldspørgsmål og bødestørrelse i henhold til persondataforordningens regler.
Retten konkluderede, at ILVA ikke havde et gyldigt behandlingsgrundlag for ca. 350.000 kunder, og at disse kunders personoplysninger derfor skulle have været slettet i henhold til reglerne om dataminimering, hvorfor der havde været en overtrædelse af persondataforordningen.
Datatilsynet havde under sagen oplyst, at man anså det for en formildende omstændighed, at der alene var tale om almindelige personoplysninger og ikke følsomme personoplysninger, som f.eks. helbredsoplysninger.
Retten fandt det imidlertid formildende, at ILVA ikke tidligere havde overtrådt databeskyttelsesforordningen, at der ikke var nogen, der havde lidt skade, at overtrædelsen var af mere formel karakter, at ILVA ikke bevidst havde brudt reglerne, og at ILVA havde gjort store bestræbelser på at overholde persondataforordningen i øvrigt.
Datatilsynet havde i opgørelsen af bødestørrelsen taget udgangspunkt i Jysk-koncernens omsætning, som ILVA er en del af. Retten fandt dog, at udover de formildende omstændigheder skulle bøden alene beregnes på baggrund af ILVAs egen omsætning, hvilket resulterede i, at bøden blev markant lavere end anbefalet af Datatilsynet.
Det var Datatilsynets opfattelse, at der ikke altid er sammenfald mellem den juridiske person, der er dataansvarlig og den virksomhed, hvis samlede globale årlige omsætning, skal lægges til grund for bødeberegningen.
Datatilsynet har fortolket begrebet ”virksomhed” i forhold til bødeudmålingen som en økonomisk enhed, der kan udgøres af moderselskabet og alle datterselskaber (koncernberegning) i henhold til EU-retten og retspraksis, hvilket Retten i Aarhus var uenig i.
Sagen er anket til landsretten.
Dommen kan rekvireres i anonymiseret form ved henvendelse til Pernille Kristensen på pkr@holst-law.com.