ITWatch

Region Hovedstaden får kritik for brug af Google-kalender

Datatilsynet udtaler kritik af Region Hovedstaden, efter at regionen i et forskningsprojekt havde brugt en Google-kalender til at holde styr på blandt andet patientnavne.

Foto: /ritzau/Miriam Dalsgaard/

Region Hovedstaden har brugt en Google-kalender i forbindelse med forskningsprojekter i en enhed på det tidligere Glostrup Hospital, skriver Dknyt.

Det finder Datatilsynet kritisabelt, blandt andet fordi kalenderen indeholdt patientnavne, og fordi kalenderen ikke blev logget, sådan som loven ellers foreskriver.

Samtidigt havde regionen ikke indgået en databehandleraftale med Google, hvilket altså betød at personoplysningerne var for let tilgængelige for udefrakommende.

Dermed har Region Hovedstaden ikke levet op til kravet om indgåelse af skriftlig databehandleraftale i persondataloven, ligesom regionen heller ikke har levet op til logningskravet i sikkerhedsbekendtgørelsen.

I strid med retningslinjer

Over for Datatilsynet har regionen oplyst, at det ikke kan udelukkes, at personnumre ikke også har optrådt i kalenderen, der er blevet brugt til at booke en scanner på det tidligere Glostrup Hospital.

Endvidere har regionen oplyst, at man ikke ved, hvornår kalenderen blev oprettet, men at man blev opmærksom på, at kalenderen fandtes i september 2016, og at den blev lukket i oktober 2016.

Til gengæld blev kalenderen først slettet i maj 2017. Brugen af kalenderen strider imod Region Hovedstadens retningslinjer for behandling af personoplysninger.

Problemer med datasikkerhed

Datatilsynet havde før afgørelsen modtaget en række henvendelser fra en tidligere ansat forsker og læge, som gjorde opmærksom på, at der var problemer med datasikkerheden i regionen.

Han pegede blandt andet på, at at regionens ansatte skulle anvende Google-kalender til behandling af oplysninger om bl.a. kræftpatienter. Derudover gjorde han opmærksom på, at regionen ikke i fornødent omfang havde etableret en logning efter sikkerhedsbekendtgørelsen.

Efter henvendelserne kunne Datatilsynet selv konstatere, at den tidligere ansatte selv tilsyneladende havde haft adgang til en stor mængde personoplysninger, da han var ansat i Region Hovedstaden, skriver Dknyt.

Dette er en citathistorie fra Dknyt distribueret af Ritzau.

Datatilsynet vil bruge bødeblokken med måde under GDPR

Stadig ingen garanti for sikker databehandling fra Epic

Relaterede

ITWatch trial banner 14 dage.jpg

Seneste nyt

Se alle ledige stillinger