Islandi andmekaitse järelevalveasutus Persónuvernd määras 03.07.2023 riiklikule tervishoiukorraldajale (embætti landlæknis) veebilehe turbepuuduste eest 82 000 euro suuruse trahvi.

Järelevalveasutus sai tervishoiukorraldajalt teavituse isikuandmetega seotud rikkumise kohta – kolmandad isikud olid saanud veebilehe kaudu juurdepääsu eriliigilistele isikuandmetele.

Näiteks osutus lehele sisselogimise järel võimalikuks parameetrite manipuleerimine – parempoolse hiirekliki abil sai jõuda lehekülje koodile ja seda koodi muutes saada mittelubatud juurdepääs. Samuti oli võimalik muuta ultraheliuuringu pildi URL-i ning näha sel viisil ka teisi süsteemi üleslaaditud pilte.

Vastutava töötleja enda sõnul põhjustas rikkumise viga rakendusliidese turvameetmetes, mis pidanuksid aktiveeruma – neil puudus piisav funktsionaalsus juurdepääsuõiguste kontrollimiseks.

Järelevalveasutus rõhutas otsuses, et kõik isikuandmete töötlemise toimingud peavad olema kooskõlas GDPR artiklis 5(1)(f) sõnastatud tervikluse ja konfidentsiaalsuse põhimõtetega ning võtma arvesse artikli 32 nõudeid, samuti artiklis 25 sisalduvaid lõimitud andmekaitse ja vaikimisi andmekaitse (privacy by design and default) põhimõtteid.

Artikli kirjutamisel kasutatud allikas:

https://www.personuvernd.is/urlausnir/sekt-vegna-oryggisveikleika-i-heilsuveru