Geen DPIA bij samenvoegen IT-systemen
De Noorse DPA heeft een gemeente een boete opgelegd van ongeveer € 47.700 (500.000 NOK) wegens schending van artikel 32, lid 1, onder b) en d), AVG door twee IT-systemen voor medische dossiers samen te voegen. Dit leidde onder meer tot onjuiste informatie over vaccins en middelenmisbruik tijdens de zwangerschap.De DPA heeft de gemeente beboet voor onvoldoende technische en organisatorische maatregelen om een voldoende beveiligingsniveau te garanderen bij het samenvoegen van de IT-systemen. De DPA merkte op dat de inbreuken zeer ernstig waren en dat de gemeente een gegevensbeschermingseffectbeoordeling (DPIA) had moeten uitvoeren, evenals meer tests voordat de wijzigingen werden aangebracht.
Bron: Datatilsynet (Norway) - 20/02165 - GDPRhub