Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 32 ust. 1, art. 32 ust. 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

Przyczyna naruszenia

Karolinska Universitetssjukhuset naruszyło przepisy dotyczące ochrony danych osobowych, nie przeprowadzając wymaganej analizy potrzeb i ryzyka przed przyznaniem uprawnień dostępu do systemu TakeCare.

Opis wydarzeń

1. Tło sprawy: Szwedzki organ nadzorczy przeprowadził kontrolę 27 marca 2019 roku, aby sprawdzić, czy Karolinska Universitetssjukhuset przeprowadziło analizę potrzeb i ryzyka przed przyznaniem uprawnień dostępu do systemu TakeCare.
2. Brak analizy: Stwierdzono, że szpital nie przeprowadził wymaganej analizy, co oznaczało brak odpowiednich środków organizacyjnych zapewniających bezpieczeństwo danych osobowych.
3. Szeroki dostęp: Użytkownicy mieli dostęp do danych pacjentów, który nie był ograniczony do niezbędnych informacji potrzebnych do wykonywania ich obowiązków.
4. Dokumentacja: Brakowało dokumentacji dotyczącej przyznawania uprawnień oraz logów dostępu.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Przeprowadzenie analizy potrzeb i ryzyka: Zaleca się przeprowadzenie i udokumentowanie analizy potrzeb i ryzyka dla systemów informatycznych.
2. Ograniczenie uprawnień: Każdemu użytkownikowi należy przyznać indywidualne uprawnienia dostępu, ograniczone do niezbędnych informacji potrzebnych do wykonywania ich obowiązków.
3. Dokumentacja i kontrola: Należy prowadzić systematyczną dokumentację i kontrolę logów dostępu do danych pacjentów.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu