Datatilsynet: Профіль регулятора
Datatilsynet (Орган захисту даних Данії) — один із найстрогіших регуляторів у Скандинавії. Відомий своїм системним підходом і готовністю застосовувати значні санкції навіть проти державних установ.
Рекордні рішення:
- 2021: Рекомендація штрафу €10 мільйонів проти Taxa 4x35 за незахищену обробку CPR
- 2022: Наказ про зупинення передачі даних до США (Chromebook у школах)
- 2023: Розслідування понад 50 лікарень щодо захисту медичних даних
CPR: Данський ідентифікатор та його особливий статус
CPR (Det Centrale Personregister) — данський центральний реєстр населення. CPR-номер — унікальний 10-значний ідентифікатор кожного резидента Данії.
Формат: DDMMYY-XXXX, де DDMMYY — дата народження, XXXX — серійний номер (остання цифра — контрольна, парна для жінок, непарна для чоловіків).
Приклад: 150385-1234
Алгоритм перевірки (модуль 11): множення кожної цифри на ваги [4, 3, 2, 7, 6, 5, 4, 3, 2, 1] і перевірка ділення суми на 11 без остачі.
Чому CPR є особливо чутливим
- CPR розкриває дату народження та стать — два квазі-ідентифікатори
- CPR використовується у всіх державних та багатьох приватних системах
- Databeskyttelsesloven ст. 11 встановлює особливі вимоги для CPR
Дозволена обробка CPR без явної згоди (ст. 11):
- Публічні органи у своїх законних функціях
- Пенсійні та страхові компанії
- Банки та фінансові установи
- Лікарі та система охорони здоров'я
Охорона здоров'я: Ключові рішення Datatilsynet
Рішення 2023: Регіони охорони здоров'я
Datatilsynet провів масштабну перевірку лікарень та регіональних медичних систем.
Проблема 1: Медичний персонал мав доступ до записів пацієнтів поза їхнього безпосереднього лікування. Порушення принципу «need to know».
Технічна вимога: RBAC з обмеженням доступу до активних пацієнтів конкретного лікаря/відділення.
Проблема 2: Не всі випадки несанкціонованого доступу реєструвалися і розслідувалися.
Технічна вимога: Автоматичний аудит-лог усіх доступів до записів пацієнтів з алертами для підозрілих патернів.
Рішення 2022: Chromebook у школах
Datatilsynet наказав школам припинити використання Google Workspace for Education через передачу даних до США без належних гарантій після рішення Schrems II.
Технічна вимога: Дані учнів повинні оброблятися в ЄС або мати Standard Contractual Clauses.
Технічні вимоги Datatilsynet для медичної сфери
1. Шифрування медичних даних
- AES-256 у стані спокою
- TLS 1.2+ при передачі
- Повне шифрування диска для мобільних пристроїв з медичними даними
- Резервні копії також повинні бути зашифровані
2. Аутентифікація та управління доступом
- MFA обов'язкова для доступу до медичних записів
- Автоматичне блокування після 5-10 хвилин бездіяльності
- При переводі персоналу між відділеннями — права доступу переглядаються
3. Звітування про порушення
- Виявлення → Datatilsynet: 72 години
- Datatilsynet має онлайн-форму; повідомлення данською або англійською
4. DPIA для медичних систем
Обов'язкова DPIA для:
- Будь-якої нової системи EMR/EHR
- Систем прогнозної аналітики для клінічних рішень
- Систем моніторингу пацієнтів у реальному часі
- Генетичних даних та біобанків
Практичні рекомендації
Для медичних установ Данії
- Аудит CPR handling: Задокументуйте всі системи, що обробляють CPR
- Перегляд прав доступу: Щоквартально переглядайте права персоналу
- Шифрування резервних копій: Перевірте, що резервні копії медичних даних зашифровані
- Incident log: Ведіть журнал всіх інцидентів
Для міжнародних компаній
- Визначте правову підставу для CPR
- Забезпечте обробку даних у ЄС або встановіть SCC
- Відповідайте на запити данською або англійською
Висновок
Datatilsynet є строгим, технічно компетентним регулятором з особливою увагою до медичних даних і CPR. Ключові вимоги: строге шифрування, мінімальний доступ, DPIA для нових систем і 72-годинне повідомлення про порушення.
Джерела: