PolicyWatch

Datatilsynet udtaler alvorlig kritik af Statens Serum Institut

Manglende sikkerhed om borgeres personlige oplysninger udløser alvorlig kritik fra Datatilsynet, der har set på Statens Serums Instituts omgang med persondata ved coronakrisens begyndelse.

Statens Serum Institut har fået kritik fra Datatilsynet. | Foto: Jonas Olufson

Statens Serum Institut, SSI, har ikke passet godt nok på borgeres sundhedsdata.

Det vurderer Datatilsynet, der med en ny afgørelse udtaler alvorlig kritik af SSI.

Kritikken går på opbevaring og adgang til borgeres persondata – herunder helbredsoplysninger – som skulle stilles til rådighed for en ekspertgruppe, der skulle regne på genåbningsscenarier.

Dataene blev i pandemiens start omkring uge 12 sidste år ikke opbevaret tilstrækkelig sikkert, og SSI udførte ikke de nødvendige risikovurderinger, før de gav eksperterne adgang til dataene til trods for, at SSI selv var bevidste om, at sikkerhedsrisikoen var høj.

"SSI havde selv vurderet, at risikoen for de registrerede var moderat til høj og konstateret, at der ved behandlingens start ikke var foretaget en fuldstændig kortlægning og vurdering af de risici, som behandlingen indebar. SSI vurderede, at dette i sig selv medførte en høj risiko for de registreredes rettigheder," skriver Datatilsynet.

Statens Serum Institut var på bagkant med de tilstrækkelige sikkerhedsforanstaltninger, og det kritiserer Datatilsynet i sin afgørelse.

"Datatilsynet konstaterede, at der først fem uger efter behandlingens påbegyndelse blev indgået de fornødne databehandleraftaler," skriver tilsynet.

Tilsynet sanktionerer ikke SSI med indstilling til bødestraf, fordi det bliver set som en formildende omstændighed, "at behandlingen skulle etableres under en international krisesituation", og at hurtig proces var i samfundets interesse.

Tilsynet indskærper dog, at det er stærkt kritisabelt, at Statens Serum Institut ikke inddrog Datatilsynet i processen, da SSI vurderede, at der var tale om databehandling med høj risiko.

Sagen er blevet taget op af Datatilsynet på baggrund af en henvendelse fra Sundheds- og Ældreministeriet.

Nul kommuner idømt GDPR-bøder efter tre år: Juraprofessor efterlyser rettesnor

It-fagfolk frygter øget overvågning med coronapas 

Mere fra PolicyWatch

Forhandlere spår dansk guldmine i central EU-lovgivning

Forhandlere for Europa-Parlamentets største grupper ser muligheden for ambitiøse, bindende minimumskrav i en kommende revidering af EU's krav til energieffektivisering. "Der er et enormt potentiale for vores virksomheder," konstaterer dansk chefforhandler.

Læs også

Relaterede

Trial banner

Seneste nyt

Se flere jobs

Seneste nyt fra Watch Medier