IMY verhängt 1.193.412 Euro Bußgeld gegen MedHelp AB
Schweden: In Schweden kann über die Nummer 1177 eine Telefonhotline (Vårdguiden 1177) erreicht werden, über die Beratung zu gesundheitlichen Themen in Anspruch genommen werden kann. Während der Pandemie wurden auch Informationen zu COVID-19 über die Hotline bereitgestellt. Alle 21 schwedische Regionen verwenden die Hotline.
Bereits im Jahr 2019 hatten Medien darüber berichtet, dass Gesprächsaufzeichnungen der Hotline sich ungesichert auf einem Webserver befanden und prinzipiell von jedem ohne Authentifizierung abgerufen werden konnten. Daraufhin hatte die schwedische Datenschutzbehörde Ermittlungen gegen drei Unternehmen und drei schwedische Regionen aufgenommen. Bei MedHelp AB handelt es sich um eines dieser Unternehmen.
Alle Anrufe an 1177 gingen dabei zunächst an das Unternehmen Inera, welches für die technische Verwaltung und Entwicklung der Systeme zuständig ist. Hierbei wurden Anrufe aus den Regionen Stockholm, Sörmland und Värmland zum Zeitpunkt des Vorfalls an den Bußgeldempfänger durchgestellt. MedHelp wiederum hatte das thailändische Unternehmen Medicall Co Ltd. für die Entgegennahme von Anrufen in der Nacht und an Wochenenden beauftragt. Sowohl MedHelp als auch Medicall hatten unter anderem für Anrufaufzeichnungen einen Vertrag mit dem Technologieunternehmen Voice Integrate Nordic AB geschlossen.
Wie die Datenschutzbehörde im Laufe ihrer Ermittlungen festgestellt hatte, waren es Aufzeichnungen von Medicall entgegengenommener Anrufe, welche auf Servern von Voice Integrate exponiert wurden. Der Vorfall war auf die Fehlkonfiguration eines Network-Attached-Storage-Geräts zurückzuführen, welches ungeschützt an das Internet angebunden wurde. Aufgrund der Sicherheitslücke war auf eine große Anzahl der Aufzeichnungen unautorisiert zugegriffen worden.
Nach Auffassung der Datenschutzbehörde hatte der Bußgeldempfänger als Gesundheitsdienstleister und Verantwortlicher seine Pflicht verletzt, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Sicherheitsniveau zum Schutz personenbezogener Daten zu gewährleisten, so dass Unbefugte keinen Zugriff darauf haben. Ebenso hatte es MedHelp versäumt, die Anrufer ordnungsgemäß nach Art. 13 DSGVO über die Verarbeitung ihrer personenbezogenen Daten zu informieren.
Die Datenschutzbehörde stellte in der Auslagerung der Verarbeitung personenbezogener Daten an Medicall außerdem einen Verstoß gegen das Prinzip der Rechtmäßigkeit fest. Denn das thailändische Unternehmen Medicall fällt nicht unter die schwedische Gesundheits- und Medizingesetzgebung und unterliegt nicht der gesetzlich geregelten Geheimhaltungspflicht, die im schwedischen Gesundheitssektor besteht.
In separaten Bußgeldverfahren war gegen Voice Integrate ein Bußgeld in Höhe von 650.000 SEK, gegen die Region Stockholm ein Bußgeld in Höhe von 500.000 SEK und gegen die Regionen Sörmland und Värmland je ein Bußgeld in Höhe von 250.000 SEK verhängt worden. .
Veröffentlicht am: 08-06-2021
Quelle von dsgvo-portal.de
Globeria Mannschaft
Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.