Η αποστολή κρυπτογραφημένου email με δεδομένα υγείας δεν είναι επαρκές μέτρο, χωρίς την κρυπτογράφηση και των ίδιων των πληροφοριών
Σουηδία: Διοικητικό πρόστιμο κατά της Περιφέρειας Ουψάλα για παραβιάσεις στις απαιτήσεις μέτρων ασφαλείας δεδομένων
Η Σουηδική Αρχή Προστασίας Δεδομένων (ΙΜΥ) επέβαλε διοικητικό πρόστιμο συνολικού ύψους 1,9 εκατ. κορωνών Σουηδίας (176.00 ευρώ) στην Περιφέρεια της Ουψάλα, αφού διαπίστωσε ότι η Περιφέρεια δεν είχε λάβει τα κατάλληλα μέτρα ασφαλείας κατά την επεξεργασία ευαίσθητων προσωπικών δεδομένων.
Η IMY έλαβε δύο γνωστοποιήσεις παραβίασης προσωπικών δεδομένων από την Περιφέρεια Ουψάλα, σύμφωνα με την πρόβλεψη του άρθρου 33 ΓΚΠΔ.
Οι παραβιάσεις αφορούν ευαίσθητα προσωπικά δεδομένα, τα οποία απεστάλησαν χωρίς κρυπτογράφηση σε παραλήπτες εντός και εκτός Σουηδίας, οι οποίες, όταν έγιναν αντιληπτές θεωρήθηκαν ως παραβίαση δεδομένων και γνωστοποιήθηκαν στην αρμόδια Αρχή.
Μετά τις γνωστοποιήσεις, η IMY διεξήγαγε έρευνες τόσο στην Περιφέρεια, όσο και σε Νοσοκομείο αυτής και εξέδωσε δύο αποφάσεις, στις οποίες διαπιστώθηκε πως δεν είχαν ληφθεί επαρκή τεχνικά και οργανωτικά μέτρα για τη διασφάλιση επιπέδου ασφαλείας κατάλληλου σε σχέση με τους κινδύνους από την εν λόγω επεξεργασία δεδομένων.
"Πρόκειται για πληροφορίες σχετικά με την υγεία και συνεπώς για ευαίσθητες προσωπικές πληροφορίες. Ο έλεγχός μας κατέδειξε πως δεν έχουν ληφθεί επαρκή τεχνικά μέτρα ασφαλείας για την προστασία των δεδομένων από, για παράδειγμα, τη μη εξουσιοδοτημένη πρόσβαση. Προέκυψε επίσης ότι η επεξεργασία των προσωπικών δεδομένων και στις δύο περιπτώσεις πραγματοποιήθηκε κατά παράβαση των Οδηγιών της ίδιας της Περιφέρειας, γεγονός που δείχνει επίσης ελλείψεις στα οργανωτικά μέτρα", αναφέρει η Linda Hamidi, η οποία ηγήθηκε των ερευνών.
Μία από τις έρευνες αφορά σε ευαίσθητα προσωπικά δεδομένα και αριθμούς κοινωνικής ασφάλισης που απεστάλησαν μέσω ηλεκτρονικού ταχυδρομείου. Η ίδια η διαβίβαση του e-mail ήταν κρυπτογραφημένη, όχι όμως και οι πληροφορίες που περιλαμβάνονταν σε αυτά. Αυτό αφορά σε e-mails με δεδομένα ασθενών που στάλθηκαν αυτοματοποιημένα στις αρμόδιες διευθύνσεις υγειονομικής περίθαλψης της Περιφέρειας και εν μέρει σε e-mails με δεδομένα ασθενών που εστάλησαν από υπαλλήλους σε ερευνητές και γιατρούς της Περιφέρειας. Για τις ελλείψεις που εντοπίστηκαν κατά την έρευνα αυτή, η IMY επέβαλε διοικητικό πρόστιμο 300.000 κορώνες (27.811 ευρώ) σε βάρος του περιφερειακού συμβουλίου της Περιφέρειας της Ουψάλα.
Στη δεύτερη έρευνα εξετάστηκε ο τρόπος με τον οποίο το Πανεπιστημιακό Νοσοκομείο της Ουψάλα αποστέλλει ηλεκτρονικά μηνύματα με δεδομένα ασθενών σε ασθενείς και παραπέμποντες ιατρούς σε τρίτες χώρες, ήτοι σε χώρες εκτός Ευρωπαϊκής Ένωσης. Στο έλεγχο που διεξήχθη διερευνήθηκε και η αποθήκευση δεδομένων ασθενών στον e-mail server του νοσοκομείου. Η ΙΜΥ εξέτασε την ασφάλεια των προσωπικών δεδομένων που υποβάλλονταν σε επεξεργασία, αλλά δεν εξέτασε τη νομιμότητα της ίδιας της διαβίβασης σε τρίτες χώρες. Για τις ελλείψεις που διαπιστώθηκαν κατά την έρευνα αυτή, η IMY επέβαλε διοικητικό πρόστιμο 1,6 εκατ. κορώνες (148.340 ευρώ) κατά του διοικητικού συμβουλίου των Περιφερειακών Νοσοκομείων της Ουψάλα.
Συνολικά, οι δύο έρευνες κατέδειξαν πως η Περιφέρεια δεν είχε λάβει τα απαραίτητα μέτρα για την προστασία ευαίσθητων προσωπικών δεδομένων στα ηλεκτρονικά μηνύματα που αποστέλλονταν και στην αποθήκευση των δεδομένων στον e-mail server του Νοσοκομείου.