Per un certo numero di anni, vi è stato un potenziale accesso per 30.000 dipendenti a oltre 800.000 dati personali dei cittadini. L’ispettorato per i dati è serio riguardo alle critiche e agli ordini di informare i cittadini.
La Regione della Danimarca meridionale dal 2013 utilizza un’unità di rete per l’archiviazione temporanea di documenti da associare all’Electronic Patient Journal (EPJ) della regione. Il magazzino temporaneo e gestito dalla rete è stato ampliato nel 2017 per coprire tutte le unità nella regione della Danimarca meridionale. Lo scopo del repository temporaneo era di qualificare i documenti e assicurarli della qualità aggiungendo metadati e quindi archiviando i documenti nell’EPJ.
Al termine, i documenti dovrebbero essere automaticamente eliminati dal repository temporaneo. Tuttavia, una serie di diversi fattori potrebbe significare che alcuni documenti sono stati nel deposito temporaneo per alcuni mesi.
L’unità di rete non è stata protetta con un adeguato controllo degli accessi, poiché tutta la regione della Danimarca meridionale ca. 30.000 dipendenti hanno avuto accesso all’unità e quindi ai documenti. Non è stata effettuata la registrazione della macchina (registrazione) dell’accesso ai documenti.
Pertanto, tutti i dipendenti che hanno effettuato l’accesso alla rete della regione hanno avuto accesso a documenti contenenti dati ordinari, confidenziali e personali di determinate categorie, comprese le informazioni relative a minori o gruppi particolarmente vulnerabili e registrati con indirizzo protetto.
Su questa base, l’Ispettorato dei dati sta seriamente criticando il trattamento dei dati personali da parte della Regione della Danimarca meridionale.
Allo stesso tempo, tenendo conto dell’elevato numero di dipendenti che hanno avuto accesso all’unità, del periodo durante il quale era disponibile l’opportunità e della natura dei dati personali, l’Ispettorato dei dati ha stabilito che esiste un rischio elevato per i diritti degli interessati e ha emesso un ordine alla Regione della Danimarca meridionale per informare gli interessati della violazione della sicurezza dei dati personali.
L’agenzia danese per la protezione dei dati afferma, tra l’altro, nella decisione che quando il responsabile del trattamento dei dati non è stato in grado di determinare se un potenziale accesso è stato sfruttato o meno, non è sufficiente chiudere l’accesso, ma è anche necessario informare gli interessati perché il rischio per loro è valutato elevato.
La Regione della Danimarca meridionale ha ottemperato all’ingiunzione del 23 giugno 2020.