Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 32 ust. 1, art. 32 ust. 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

Przyczyna naruszenia

Szwedzki organ nadzorczy (Datainspektionen) stwierdził, że Aleris Sjukvård AB naruszyła przepisy dotyczące ochrony danych osobowych ze względu na:

1. brak przeprowadzenia analizy potrzeb i ryzyka przed przyznaniem uprawnień w systemie TakeCare,
2. brak ograniczenia uprawnień użytkowników do niezbędnego minimum, co skutkowało nadmiernym dostępem do danych pacjentów.

Opis wydarzeń

1. Tło sprawy: Szwedzki organ nadzorczy dokonał czynności kontrolnych 8 kwietnia 2019 roku. Kontrola dotyczyła przyznawania uprawnień w systemie TakeCare oraz dokumentacji dostępu do danych pacjentów.
2. Stwierdzone braki: Aleris nie przeprowadziła odpowiedniej analizy potrzeb i ryzyka, co skutkowało nadmiernym dostępem użytkowników do danych pacjentów.
3. Działania Aleris: Firma argumentowała, że nie ma technicznych możliwości wprowadzenia zmian w systemie TakeCare, ponieważ jest jedynie jego użytkownikiem, a nie właścicielem. Aleris podkreślała również, że podejmowała działania mające na celu poprawę bezpieczeństwa danych.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Przeprowadzenie analizy potrzeb i ryzyka: Przeprowadzenie i udokumentowanie szczegółowej analizy potrzeb i ryzyka dla systemu informatycznego, aby określić, jakie uprawnienia są niezbędne dla poszczególnych użytkowników.
2. Ograniczenie uprawnień: Na podstawie przeprowadzonej analizy, przyznanie użytkownikom indywidualnych uprawnień, ograniczonych do minimum niezbędnego do wykonywania ich obowiązków.
3. Dokumentacja i kontrola dostępu: Systematyczne dokumentowanie i kontrolowanie dostępu do danych osobowych, aby zapewnić zgodność z przepisami RODO.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu