Datatilsynet retter hård kritik mod Statens Serum Institut: 'Næste skridt ville typisk være en politianmeldelse'

Statens Serum Institut har behandlet en lang række danskeres sundhedsoplysninger alt for lemfældigt.

Statens Serum Institut har ikke registreret læk af personoplysninger. Men det kunne være gået gruelig galt, fremgår det af Datatilsynets alvorlige kritik. (Foto: (C) DR Nyheder)

Statens Serum Institut (SSI) begik ikke mindre end fire forskellige brud på persondatareglerne, da man sidste forår stillede en lang række sundhedsoplysninger til rådighed for instituttets coronaekspertgruppe.

Det er essensen i en alvorlig kritik, som Datatilsynet i dag rettede mod Seruminstituttet, der kun slipper for en politianmeldelse, fordi der var tale om en ekstraordinær situation i forbindelse med coronakrisen.

- De har fået ret meget rabat på grund af situationen. Næste skridt ville typisk være, at man anmeldte det til politiet med henblik på bødestraf, siger Allan Frank, der er it-sikkerhedsspecialist i Datatilsynet.

Overtrædelserne af persondatareglerne skete sidste forår, da SSI delte følsomme persondata som eksempelvis sygdomshistorik eller covid-19-senfølger med den ekspertgruppe, der skulle lave matematiske modeller for forskellige smittescenarier.

Her havde Seruminstituttet selv vurderet, at risikoen for de registreredes persondata derved var 'moderat til høj'.

Alligevel undlod Seruminstituttet at foretage en kortlægning og konsekvensanalyse af de risici, som databehandlingen indebar, sådan som de er forpligtet til.

Statens Serum Institut gik i gang med at lave en it-løsning til dataudvekslingen, men denne kunne ikke nå at blive klar til ekspertgruppen, der skulle påbegynde arbejdet med kort aftræk.

I den situation skulle SSI have kontaktet Datatilsynet med henblik på at få hjælp til sikker beskyttelse af de følsomme persondata.

Men i stedet valgte Seruminstituttet en nødløsning og lagde de personfølsomme oplysninger i mapper på en af instituttes egne servere bag en ydre firewall i en såkaldt "dmz-zone", som eksperterne så kunne tilgå.

- Det er sådan, at når man har kommunikation ud mod internettet, så har man typisk en dmz-zone (demilitarized zone, red.), som alle i princippet kan tilgå, men hvor man så har en firewall, der kan sortere det værste skidt fra. Den burde så have ligget på indersiden af en mere hærdet firewall, forklarer Allan Frank.

Statens Serum Institut erkender, at man har brudt datareglerne. Men bemærker i afgørelsen, at Sundheds- og Ældreministeriet bad instituttet om straks at påbegynde arbejdet og give ekspertgruppen adgang til datakilderne. (Foto: Niels Christian Vilmann © Scanpix)

Statens Serum Instituts nødløsning var altså langt fra god nok, konkluderer Datatilsynet, der skriver, at den 'ikke havde det fornødne niveau af sikkerhed.'

I værste fald kunne de pågældende borgere risikere at få stjålet deres personfølsomme oplysninger, der ville kunne blive misbrugt.

- De her oplysninger har stor bevågenhed hos os. For det ville være guf for industrispioner, for medicinalindustrien eller fremmede magter med interesse for de her detaljer at få fat i dem.

- Man kunne også risikere at få udbasuneret sin sygdomshistorik, for eksempel hvis man har senfølger af covid-19. Det tror jeg de færreste ville bryde sig om. Det kunne betyde, at man ikke fik sin livsforsikring til den rigtige pris.

Statens Serum Institut skulle også have lavet en såkaldt databehandleraftale med coronaekspertgruppen, før de fik adgang til oplysningerne. Men det skete først fem uger senere.

'Det er rigtig slemt, det her'

Datatilsynets kritik af Statens Serum Institut er hårrejsende læsning, mener lektor i digital forvaltning ved Københavns Universitet Hanne Marie Motzfeldt.

Normalt ville en sådan sag været endt hos politiet, påpeger hun.

- Det er rigtig slemt, det her. Det er nogle alvorlige brud på den ansvarlighedsforpligtelse, man har både som offentlig myndighed og en hvilken som helst anden organisation, der behandler personoplysninger.

- Men Datatilsynet er klar over, at det var en helt usædvanlig situation, som SSI stod i. Det var en national krisesituation. Det er også derfor, de kun har fået en alvorlig kritik for den her håndtering.

Sundhedsminister Magnus Heunicke (S) fortæller om smitteudvikling på et pressemøde 30. marts 2020. Datatilsynet skriver i sin kritik af SSI, at det er en formildende omstændighed, at der var tale om en national krisesituation. (Foto: Martin Sylvest © Scanpix)

EU's persondataforordning, GDPR, som blev indført i alle medlemslande, herunder Danmark, i 2018, pålægger enhver, der behandler personlige data, at sikre sig, at oplysningerne ikke bliver lækket eller misbrugt.

Reglerne er tydelige og konkrete, påpeger Hanne Marie Motzfeldt.

Alligevel har Statens Serum Institut tilsidesat en række af dem.

Blandt andet ved at undlade at tage kontakt til Datatilsynet, selvom man i SSI vidste, at den oprindeligt tiltænkte it-løsning til beskyttelse af de personfølsomme oplysninger ikke kunne blive klar hurtigt nok.

- I reglerne har man den her kattelem, som grundlæggende går ud på, at man kan henvende sig til Datatilsynet, hvis man ikke har mulighederne for at nedbringe en meget høj risiko for borgerne. Og det har man så heller ikke fået gjort i tide, siger hun.

Statens Serum Institut oplyser til DR Nyheder, at man ikke har mulighed for at stille op til interview om sagen i dag.

I stedet sender Seruminstituttet dette svar fra økonomidirektør Helle Birk Krogsgaard.

- Det er gået meget stærkt under denne corona-epidemi, og vi har skullet justere og forbedre både sikkerhed og risikovurderinger løbende.

- Vi tager naturligvis Datatilsynets kritik alvorlig, og er i tæt dialog med dem for at have den bedst mulige sikkerhed – og så er vi glade for, at vi ikke har registreret nogle læk af personoplysninger.

Facebook
Twitter

Mere fra dr.dk