Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 32 ust. 1, art. 32 ust. 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

Przyczyna naruszenia

Aleris Närsjukvård AB naruszyło przepisy dotyczące ochrony danych osobowych, ze względu na:

1. brak przeprowadzenia analizy potrzeb i ryzyka przed przyznaniem uprawnień w systemach TakeCare i NPÖ,
2. brak ograniczenia uprawnień użytkowników do dostępu do systemów TakeCare i NPÖ wyłącznie do tego, co jest niezbędne do wykonywania ich obowiązków zawodowych.

Opis wydarzeń

• 22 marca 2019: Szwedzki organ nadzorczy (Datainspektionen) rozpoczął kontrolę poprzez wysłanie pisma do Aleris Närsjukvård AB.
• 24 kwietnia 2019: Przeprowadzono inspekcję na miejscu, podczas której stwierdzono brak analizy potrzeb i ryzyka oraz nieodpowiednie przyznawanie uprawnień.
• 1 kwietnia 2020: Aleris Närsjukvård AB zmieniło nazwę z Praktikertjänst N.Ä.R.A. AB po przejęciu przez Triton.
• 16 marca 2020: Aleris Närsjukvård AB przedstawiło swoje stanowisko, wskazując na podjęte działania naprawcze, w tym techniczne zmiany w systemie TakeCare.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Przeprowadzenie analizy potrzeb i ryzyka: Przeprowadzenie i udokumentowanie szczegółowej analizy potrzeb i ryzyka dla systemu informatycznego, aby określić, jakie uprawnienia są niezbędne dla poszczególnych użytkowników.
2. Ograniczenie uprawnień: Na podstawie przeprowadzonej analizy, przyznanie użytkownikom indywidualnych uprawnień, ograniczonych do minimum niezbędnego do wykonywania ich obowiązków.
3. Dokumentacja i kontrola dostępu: Systematyczne dokumentowanie i kontrolowanie dostępu do danych osobowych, aby zapewnić zgodność z przepisami RODO.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu