L’autorité de protection des données danoise a sanctionné la région du Sjælland pour n’avoir pas limité l’accès à des données de santé aux seuls employés ayant besoin d’en connaitre dans le cadre de leurs missions.
De nombreux employés de la région du Sjælland, au Danemark, avait accès à partir de 2017 à la « liste des patients de tous les hôpitaux de la région », ainsi qu’à leurs données personnelles telles que leur numéro de sécurité sociale ainsi que les diagnostics et soins reçus.
La région considérait que cet accès, ouvert à plus de 16.000 employés, était nécessaire pour assurer la « sécurité du traitement des patients » et servait « d’outil de travail interdisciplinaire entre les professionnels de santé », raison pour laquelle toute personne disposant d’un accès à la « plateforme santé » avait la possibilité d’accéder à la liste des patients.
L’un des salariés, considérant lesdits accès comme illicites, a déposé une plainte devant l’autorité de contrôle danoise.
L’autorité de contrôle a considéré que :
- En premier lieu, « si le secteur de la santé peut parfois avoir besoin d’un accès élargi aux données personnelles », le responsable du traitement doit, en tout état de cause, « veiller à ce que cet accès élargi ne soit accordé qu’aux salariés qui ont un besoin concret » d’accéder auxdites données. A défaut d’avoir limité ledit accès, la région n’a, selon l’autorité de contrôle, pas mis en œuvre les mesures de sécurité appropriées ;
- En deuxième lieu, l’accès illicite à des données personnelles par des utilisateurs autorisés est un « scénario réel et fréquent qui conduit à une violation de la sécurité des données personnelles ». Qu’ainsi, en ne disposant pas de système de journalisation des accès permettant de suivre et documenter toute utilisation abusive des données, la région n’a pas mis en œuvre les mesures de sécurité appropriées
Compte tenu de ce qui précède, l’autorité de contrôle danoise (i) a prononcé un avertissement à l’encontre de la région et (ii) l’a enjoint, d’une part, à procéder à un audit de l’ensemble de son système informatique afin de s’assurer que seules les personnes qui ont un « besoin concret » puissent accéder aux données et, d’autre part, à instaurer un système de journalisation.
Source : ici