L’Agenzia danese per la protezione dei dati valuta che un fornitore di test rapidi non abbia implementato misure di sicurezza adeguate durante l’elaborazione di informazioni riservate e informazioni sanitarie in relazione ai test COVID-19.
L’Agenzia danese per la protezione dei dati ha segnalato alla polizia Charlottenlund Lægehus Medicals Nordic I/S (“Medicals Nordic”) per aver elaborato informazioni riservate e informazioni sanitarie sui cittadini in relazione ai test COVID-19, senza che la società abbia stabilito la necessaria sicurezza il trattamento delle informazioni. L’Agenzia danese per la protezione dei dati ha stabilito una multa di 600.000 corone danesi.
L’Autorità prende la questione molto sul serio perché riguarda informazioni sensibili. Quando viene affidato il trattamento delle informazioni sulla salute dei cittadini, c’è la responsabilità di prendersene cura, e questo non è stato fatto in questo caso.
Nel gennaio 2021, l’Agenzia danese per la protezione dei dati è venuta a conoscenza che Medicals Nordic ha utilizzato l’applicazione WhatsApp per trasmettere informazioni riservate e informazioni sanitarie sui cittadini che sono state testate nei centri di test dell’azienda.
Su tale base, l’Agenzia danese per la protezione dei dati ha avviato un caso della propria operazione, che i.a. dovrebbe chiarire se Medicals Nordic abbia implementato adeguate misure di sicurezza organizzative e tecniche in relazione alla trasmissione delle informazioni dei cittadini.
A questo proposito, l’Agenzia danese per la protezione dei dati ha riscontrato che Medicals Nordic non aveva stabilito misure di sicurezza adeguate in una serie di casi.
Precauzioni di sicurezza inadeguate
I dipendenti di Medicals Nordic hanno utilizzato i loro telefoni privati per trasmettere informazioni riservate sui cittadini all’amministrazione centrale dell’azienda tramite l’applicazione WhatsApp. A questo proposito, Medicals Nordic aveva creato un gruppo WhatsApp per ciascuno dei quattro centri di test gestiti dall’azienda.
Tutti i dipendenti che hanno lavorato in un centro di test sono stati invitati al gruppo WhatsApp che apparteneva al centro di test. I membri dei gruppi WhatsApp in questione hanno ricevuto tutti i messaggi che altri dipendenti hanno trasmesso nei gruppi.
Ciò significava che i dipendenti che, secondo l’Agenzia danese per la protezione dei dati, non avevano una necessità lavorativa di elaborare le informazioni – che altri dipendenti dovevano trasmettere all’amministrazione centrale – ricevevano comunque le informazioni, che ad es. incluso il numero di previdenza sociale e le informazioni sanitarie sui cittadini.
Un controllo inadeguato degli accessi ai gruppi ha inoltre significato che i dipendenti che non erano più impiegati non sono stati rimossi dai gruppi WhatsApp, in modo che potessero continuare ad accedere alle informazioni trasmesse nei gruppi.
Perché denunciare la polizia?
L’Agenzia danese per la protezione dei dati effettua sempre una valutazione concreta della gravità del caso ai sensi dell’articolo 83, paragrafo 1, del regolamento sulla protezione dei dati. 2, nel valutare quale sanzione sia, a giudizio dell’Autorità, quella corretta.
Nel valutare l’applicazione di un’ammenda, l’Agenzia danese per la protezione dei dati ha sottolineato che le informazioni riservate e le informazioni sanitarie relative a un gran numero di cittadini sono state trattate in modo incerto e trasmesse a persone non autorizzate, compresi i dipendenti che non avevano necessità lavorative per ricevere le informazioni. Inoltre, ci sono anche dipendenti che non erano più dipendenti dell’azienda.
Inoltre, l’Agenzia danese per la protezione dei dati ha sottolineato che le violazioni in diversi casi, a giudizio dell’Autorità, sono avvenute intenzionalmente, in quanto Medicals Nordic, tra l’altro, non aveva effettuato le necessarie valutazioni dei rischi in relazione al trattamento.
FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA DANIMARCA