England Myndighedsafgørelser

Første bøde fra det britiske datatilsyn ICO – opbevaring af personoplysninger i fysiske arkiver

Den britiske datatilsynsmyndighed (ICO) har den 20. december 2020 idømt en bøde på £275.000 (knap 2,5 mill.kr.) til en apotekervirksomhed i London for ikke at passe godt nok på de følsomme personoplysninger, som virksomheden opbevarer. Virksomheden, der leverer medicin til privatkunder og plejehjem, har opbevaret ca. 500.000 dokumenter i ulåste containere bagved sine lokaler i London-forstaden Edgware.

Dokumenterne indeholdt navne, adresser, fødselsdatoer, NHS-numre, medicinske oplysninger og recepter på et ukendt antal mennesker. Dokumenterne var ikke beskyttet tilstrækkeligt mod vejr og vind, og nogle af dem var beskadiget. Adgangsforholdene til materialet var heller ikke betryggende, hvilket tilsynsmyndigheden vurderede indebar en stor risiko for, at uvedkommende kunne få adgang til oplysningerne.

Eksemplet viser, at dokumentationen af en virksomheds behandlingsaktiviteter også bør omfatte de fysiske rammer for opbevaringen af personoplysninger, fx arkivskabe, eller som i eksemplet fra England, containere.

Hos Pdhub bruger vi modelleringssproget Archimate til at dokumentere alle aspekter ved virksomheders behandling af personoplysninger.

Archimate-modellen nedenfor viser, hvordan man kan dokumentere apotekets behandling af personoplysninger. Udgangspunktet for dokumentationen er en stiliseret beskrivelse af de forretningsaktiviteter som behandlingen af personoplysninger sker i.

Forretningsprocessen bruger et logisk forretningsobjekt – ”recept”, der er realiseret i et fysisk objekt, som udgøres af selve papir-recepten. Den fysiske recept er tilknyttet en fysisk facilitet – den container, der er er omtalt i ICO-casen ovenfor. 

I modellen er recepten beskrevet som 2 ”delobjekter” for at fange, at recepten indeholder flere forskellige kategorier af personoplysninger med hver sit behandlingsgrundlag. Behandlingen af receptens følsomme oplysninger (fx navnet på den receptpligtige medicin) kræver først en dispensation fra det generelle forbud mod behandling af følsomme oplysninger. I eksemplet er det valgt at sige, at behandlingen er nødvendig for at understøtte apotekets mulighed for levere ydelser på sundhedsområdet, jf. Artikel 9 stk. 2, litra (h). Dernæst skal der identificeres et lovligt behandlingsgrundlag, jf. Artikel 6. I eksemplet er det valgte behandlingsgrundlag ”vital interesse”, idet behandlingen vurderes at være nødvendig for at beskytte den registreredes liv og helbred.

I casen gives bøden for manglende sikkerhedsforanstaltninger i forhold til den fysiske opbevaring af recepterne. Det grundlæggende problem er formentlig, at virksomheden ikke har udarbejdet en risikovurdering i forhold til containernes opbevaring af personoplysninger, og dermed ikke systematisk har forholdt sig til truslerne mod de opbevarede personoplysninger. I Archimate kan man referere til dokumentation uden for modellen ved hjælp af objekttypen ”Representation”. I modellen ovenfor er der knyttet en risikovurdering til containerobjektet. Denne risikovurdering, der fx. kunne fremgå af et excel-ark, indeholder relevante trusler – set fra borgernes synspunkt – mod tab af fortroligheden, tilgængeligheden og integriteten af de personoplysninger, der fremgår af recepterne. Pdhub arbejder med et standardformat til udarbejdelse af GDPR-risikovurderinger.

Læs mere om, hvordan Pdhub kan hjælpe dig videre på din GDPR-rejse på www.pdhub.dk, eller kontakt os på telefon +45 7233 2233

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *