Datatilsynet giver "alvorlig kritik" af Statens Serum Instituts coronahåndtering

Datatilsynet udtaler alvorlig kritik af Statens Serum Institut (SSI) for håndteringen af personfølsomme oplysninger i begyndelsen af coronaepidemien. SSI begyndte behandling af personoplysninger uden tilstrækkelig risikovurdering, konsekvensanalyse, høring af Datatilsynet, databehandleraftaler og passende sikkerhedsforanstaltninger.

Det skriver Datatilsynet i en afgørelse af sagen, som tilsynet har taget op af sig selv.

Sagen er fra sidste forår. Da covid-situationen ekskalerede i Danmark (februar-marts 2020), og samfundet lukkede ned, skulle Statens Serum Institut (SSI) stille persondata – i form af blandt andet helbredsoplysninger – til rådighed for en ekspertgruppe, der skulle regne på mulige scenarier for genåbning. Sundheds- og Ældreministeriet bad SSI om straks at påbegynde arbejdet samt at give ekspertgruppen adgang til de indledende datakilder.

SSI begyndte at behandle personoplysninger i uge 12, inden der var udarbejdet tilstrækkelige aftalegrundlag mellem SSI og ekspertgruppen, og inden der var udarbejdet en risikovurdering og konsekvensanalyse, som der skal. Det skulle gå stærkt på grund af situationens akutte og alvorlige karakter og set i forhold til de sundhedsmæssige og økonomiske konsekvenser for Danmark.

Oplysningerne bestod på det tidspunkt primært af oplysninger om covid-19 prøvedata, sygehusbelægning i forhold til covid-19 og oplysninger om tidlige symptomer, der af 1813 blev kategoriseret som influenzalignende symptomer. Derudover blev anonyme oplysninger indlagt som parametre i de matematiske beregninger.

SSI havde selv vurderet, at risikoen for de registrerede var moderat til høj og konstateret, at der ved behandlingens start ikke var foretaget en fuldstændig kortlægning og vurdering af de risici, som behandlingen indebar. SSI vurderede også, at dette i sig selv medførte en høj risiko for de registreredes rettigheder.

Men det skulle altså gå stærkt. Og den oprindeligt tiltænkte it-løsning for dataudvekslingen kunne ikke være klar hurtigt nok, så dataadgangen i uge 12 blev etableret på SSI's server, placeret bag en ydre firewall. Eksperterne, der skulle have adgang, benyttede brugernavn og kendeord til at få oplysningerne. Men det var ikke sikkert nok, mener Datatilsynet, som skriver, at der ikke var "taget fornødent højde for risikoen for uautoriseret adgang til oplysningerne, særligt vurderet i forhold til oplysningernes karakter, interesse og evner hos de aktører, der måtte interessere sig for dem." 

SSI har oplyst, at på grund af mandskabsmangel blev risikovurderingen først begyndt i uge 16, og at første version af en konsekvensanalyse forelå i uge 17. Databehandleraftaler med ekspertgruppens medlemmer blev ligeledes først underskrevet i uge 17. Det vil sige, at de fornødne databehandleraftaler først blev indgået fem uger efter, at behandlingen af personfølsomme data begyndte.

Datatilsynet skriver, at eftersom SSI allerede – inden behandlingen begyndte – havde indset, at der var en høj risiko for de registreredes rettigheder, skulle instituttet have begyndt på arbejdet med konsekvensanalysen. Datatilsynet finder, at det var formildende omstændigheder, at behandlingen skulle i gang i en fart under en international krisesituation, at der forelå en væsentlig samfundsinteresse i, at det gik hurtigt, og at SSI – dog – havde gjort sig overvejelser om den foreløbige fravigelse af de databeskyttelsesretlige regler og – i et vist omfang – havde forsøgt at afhjælpe disse.

På den baggrund er sanktionen alene fastsat til alvorlig kritik.

Statens Serum Institut tager Datatilsynets kritik til efterretning og beklager de anførte kritikpunkter, skriver Statens Serum Institut. 

"Statens Serum Institut noterer, at Datatilsynet mener, det en skærpende omstændighed, at SSI på dette tidspunkt ikke havde tilstrækkelige ressourcer og træning til at løfte opgaverne, inden databehandlingen blev påbegyndt. SSI har siden episoden i foråret 2020 oprustet betydeligt på området," skriver SSI i en pressemeddelelse.

Statens Serum Institut skriver, at de ikke har registreret læk af personoplysninger.

 

Tags: corona

Like eller del denne artikel