I starten af december 2020 udstedte Datainspektionen – det svenske svar på Datatilsynet – bøder for mere end 50 millioner danske kroner.
GDPR og lovgivningens efterlevelse har været omfattende, omdiskuteret og omgået siden dens ikrafttrædelse 25. maj 2018. Senest har svenske Datainspektionen undersøgt otte udbydere af sundhedsydelser, herunder private hospitaler.
Datainspektionen fandt det nødvendigt at straffe syv af de otte udbydere ved bødeforlæg på mellem 1,75 millioner kroner og 21,6 millioner kroner. Årsagen til bødestraffen skal findes i, at de syv udbydere ikke havde passende foranstaltninger til at sikre, at personoplysninger var beskyttet godt nok.
”… og dermed kan patienternes personoplysninger ikke beskyttes korrekt.”
Sundhedsudbyderne burde have analyseret og dokumenteret, hvilken data medarbejderne har behov for at have adgang til – herunder journaler. Uden denne analyse kan konkrete medarbejdere ikke få de rigtige adgange, og dermed kan patienternes personoplysninger ikke beskyttes korrekt, lyder det fra Datainspektionen. Det tager næppe lang tid at forestille sig, hvilke slags oplysninger sundhedsudbydere som private hospitaler ligger inde med.
Personoplysninger omkring genetik og helbred karakteriseres under ”Særlige kategorier af personoplysninger (følsomme personoplysninger)”, og disse skal behandles endnu mere varsomt end almindelige personoplysninger.
Blandt de hårdest sanktionerede findes firmaet Aleris Sjukvård AB. Samtidig finder man også et andet privathospital, nemlig Capio St. Göran AB, en del af Capio AB, der er ejet af Ramsay Générale de Santé, som driver privathospitaler i flere lande.
Aleris skal betale 19,6 millioner kroner i bøde, mens Capio skal betale 21,6 millioner kroner i bøde.
Hvorfor er dette vigtigt?
Det er vigtigt, fordi der sættes fokus på kategorien af persondata i disse sager. Mange andre udbydere på sundhedsområdet kan også ligge inde med personoplysninger i kategorien ”følsomme personoplysninger”. Små, private tandklinikker, fysioterapeuter eller læger bør altså være opmærksomme på, hvilke oplysninger de behandler omkring deres patienter – og hvordan.
Samtidig er det også vigtigt fordi, selvom Aleris og Capio er store, multinationale selskaber, er det alligevel ikke længere kun Google og sammenlignelige størrelser af virksomheder, der undersøges og sanktioneres.