Uppgifterna i en enhet som hamnat hos en utomstående hade inte skyddats – biträdande dataombudsmannen ger anmärkning till en hälsovårdsaktör
Dataombudsmannens byrå tog emot en anmälan om en personuppgiftsincident av en hälsovårdsaktör. Enligt anmälan hade en bärbar dator, pappershandlingar och två externa hårddiskar hamnat hos en utomstående när en datorväska hade stulits. Enligt biträdande dataombudsmannen hade företaget inte skyddat de personuppgifter som funnits på enheterna adekvat.
Enligt den redogörelse som företaget lämnat hade en datorväska med en bärbar dator, pappershandlingar och två externa hårddiskar blivit stulen. Datorn, hårddiskarna och pappershandlingarna innehåll bland annat klienters hälsouppgifter, kontaktuppgifter och uppgifter om försäkringar. Datorn hade varit avstängd och inloggningen hade skyddats med ett lösenord, men datorns massminne eller personuppgifterna i minnet hade inte skyddats.
Biträdande dataombudsmannen konstaterar att det inte har varit ett tillräckligt bra skyddsmetod att skydda personuppgifter som sparats på den bärbara datorn enbart med ett lösenord. Om en utomstående kommer in på enheten, förhindrar inte ens ett starkt lösenord som används för inloggning tillgången till uppgifterna på datorn om uppgifterna inte är adekvat och effektivt krypterade. Det kan vara ännu lättare att få tillgång till uppgifterna på externa hårddiskar. Därför ska i synnerhet personuppgifter med hög risk skyddas tillräckligt starkt och enheter där sådana uppgifter sparats ska förvaras omsorgsfullt.
Personuppgifterna kunde ha skyddats till exempel med ett krypteringsprogram. Användningen av ett sådant program skulle inte ha krävt orimlig möda eller orimliga resurser av den personuppgiftsansvariga.
Hälsovårdsaktören gick en anmärkning för bristerna i säker behandling av personuppgifter. Biträdande dataombudsmannen anser att företaget inte hade uppfyllt sin skyldighet i enlighet med dataskyddsförordningen att adekvat skydda personuppgifterna.
Företaget har meddelat de kunder som drabbats av personuppgiftsincidenten. Företaget uppskattar att cirka 3 000 kunder har drabbats av incidenten.
Biträdande dataombudsmannens beslut i Finlex (på finska)
Mer information:
Biträdande dataombudsmannen Annina Hautala, annina.hautala(at)om.fi, tfn 029 566 6776