Regionerne får kras kritik af deres håndtering af persondataloven

Datatilsynet har kigget regionerne efter i sømmene, og fokus har været på fire områder: uddybende sikkerhedsregler, myndighedens eget tilsyn, databehandleraftaler og myndighedens kontrol med databehandlere.

Datatilsynet konkluderer, at to af regionerne har svigtet på alle fire punkter, mens tre regioner har svigtet på tre ud af fire punkter. I alle tilfælde skulle de ellers ifølge lovgivningen passe på blandt andet følsomme og personlige sundhedsdata. Det fremgår af netop offentliggjorte afgørelser fra Datatilsynet.

Sjælland og Syddanmark er værst
Region Sjælland og Region Syddanmark får den stærkeste kritik fra tilsynet, der i begge tilfælde kalder det meget kritisabelt, at de to regioner:
- ikke har efterlevet persondatalovens og sikkerhedsbekendtgørelsens krav på disse områder:
- ikke har efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler.
- ikke har fastsat retningslinjer for regionens eget tilsyn.
- ikke konsekvent har levet op til persondatalovens krav om indgåelse af skriftlige databehandleraftale.
- ikke har levet op til persondatalovens krav om, at sikkerheden hos anvendte databehandlere skal påses.

Kræver redegørelser
I Region Midtjylland, Region Nordjylland og Region Hovedstaden er tilsynets kritik knap så udtalt, men finder det alligevel kritisabelt, at de tre regioner kun hver især lever op til et enkelt af de fire fokuspunkter.

Hos alle regioner forlanger tilsynet nu en redegørelse for, hvilke skridt der vil blive taget for at sikre, at regionerne fremadrettet vil efterleve persondataloven og sikkerhedsbekendtgørelsen.
Redegørelsen skal Datatilsynet have senest om fire uger.

Se de offentliggjorte afgørelser fra Datatilsynet her.