Alvorlig kritik af SSI fra Datatilsynet: Behandlede corona-personoplysninger uden risikovurdering

3. maj 2021 kl. 09:368
Alvorlig kritik af SSI fra Datatilsynet: Behandlede corona-personoplysninger uden risikovurdering
Illustration: Datatilsynet.
Corona-eksperters adgang til SSI's SFTP-server tog ikke fornødent højde for risikoen for uautoriseret adgang til oplysninger.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Statens Serum Institut (SSI) kom for sent i gang med risikovurdering og konsekvensanalyse i forbindelse med at stille persondata – i form af blandt andet helbredsoplysninger – til rådighed for en ekspertgruppe, der skulle regne på mulige scenarier for samfundets genåbning efter corona-nedlukning.

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at SSI’s behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningen

I forbindelse med COVID-19-situationens eskalering i februar-marts 2020 skulle SSI stille persondata til rådighed for en ekspertgruppe, der skulle regne på mulige scenarier for genåbning.

SSI havde selv vurderet, at risikoen for de registrerede var moderat til høj og konstateret, at der ved behandlingens start ikke var foretaget en fuldstændig kortlægning og vurdering af de risici, som behandlingen indebar. SSI vurderede, at dette i sig selv medførte en høj risiko for de registreredes rettigheder.

Artiklen fortsætter efter annoncen

Den oprindeligt tiltænkte it-løsning for dataudvekslingen kunne dog ikke være klar hurtigt nok, hvorfor dataadgangen i uge 12 blev etableret på SSI's SFTP-server, placeret bag en ydre firewall i en zone, der kunne tilgås af eksperterne udefra, også benævnt DMZ. Oplysningerne var placeret i dedikerede mapper, hvor eksperterne, der skulle have adgang, benyttede brugernavn og kendeord.

SSI har oplyst, at risikovurderingen grundet manglende interne ressourcer og situationen på tidspunktet først blev påbegyndt i uge 16, og at første version af en konsekvensanalyse forelå i uge 17. Databehandleraftaler med ekspertgruppens medlemmer blev ligeledes underskrevet i uge 17.

Tog ikke højde for risiko for uautoriseret adgang

Datatilsynet fandt, at SSI allerede på det tidspunkt, hvor de havde indset, at denne indebar en høj risiko for de registreredes rettigheder, skulle have påbegyndt arbejdet med konsekvensanalysen. Tilsynet konstaterede endvidere, at det alene er muligt at påbegynde behandlingen, når Datatilsynet er blevet hørt.

Datatilsynet konstaterede, at der først fem uger efter behandlingens påbegyndelse blev indgået de fornødne databehandleraftaler.

Datatilsynet konstaterede herudover, at der ved valget af den midlertidige løsning på SSI's SFTP-server ikke var taget fornødent højde for risikoen for uautoriseret adgang til oplysningerne, særligt vurderet i forhold til oplysningernes karakter, interesse og evner hos de aktører, der måtte interessere sig for dem, og den valgte løsnings tekniske karakter.

Tilsynet fandt derfor, at løsningen ikke havde det fornødne niveau af sikkerhed.

Datatilsynet fandt, at det var formildende omstændigheder, at behandlingen skulle etableres under en international krisesituation, at der forelå en væsentlig samfundsinteresse i den hurtige effektuering af behandlingen, og at SSI – dog – havde gjort sig overvejelser om den foreløbige fravigelse af de databeskyttelsesretlige regler og i et vist omfang havde forsøgt at afhjælpe disse.

På den baggrund blev sanktionen alene fastsat til alvorlig kritik.

8 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
3. maj 2021 kl. 15:50

Min pointe er netop, at det hele baserer sig på SSI's egen vurdering af risikoen. Det virker som om SSI kunne have undgået Datatilsynets påtale ved at lave lidt venstrehånds-papirarbejde - uden reelt at forbedre sikkerheden.

Det er lidt skræmmende.

Og så virker det uproportionelt med en så hård kritik i dette tilfælde, i betragtning hvad SSI og andre ellers er sluppet afsted med. Og de sager, som Datatilsynet afviser at tage op.

4
3. maj 2021 kl. 12:20

Hvis man læser Datatilsynets afgørelse, så fokuserer den på to ting:

  1. SSI havde ikke lavet en konsekvensanalyse, men havde foreløbigt selv vurderet risikoen til "høj". Og hvis man gør det, skal man høre Datatilsynet.
  2. Der var ikke lavet databehandleraftaler med forskerne.

Så SSI skulle bare have lavet et makværk af en konsekvensanalyse, som sagde, at risikoen var lav.

Og så en lap papir med teksten "jeg vil passe på data", som forskerne kunne skrive under på.

Så var den fjong.

Det er selvfølgelig prisværdigt, at Datatilsynet slår ned på, at formalia ikke bliver overholdt - men måske skulle de først se på de sager, hvor data rent faktisk kastes i grams?

3
3. maj 2021 kl. 11:51

Tilsynet konstaterede endvidere, at det alene er muligt at påbegynde behandlingen, når Datatilsynet er blevet hørt.

Så man lægger alt stille imens? Eller hvad menes der? Det var jo en noget speciel situation.

2
3. maj 2021 kl. 11:24

Det virker da "rimelig fornuftigt"

Måske, måske ikke. Hvilke regler for certifikater gælder, herunder rotation? Hvordan med adgangstyring på dokument/mappeniveau, Manuel styring gøre ofte at for mange har for høje rettigheder? Hvordan med verificering af modparter og evt. firewall begrænsning af hvilke ipadresser der kan tilgå sftp servicen? Hvordan med håndtering inden for firewall (internt)? Hvordan med logging? osv.

1
3. maj 2021 kl. 10:54

Jeg er ikke helt med på hvad problemet var - rent teknisk/sikkerhedsmæssigt med SFTP og personlige brugernavne til dem der skal tilgå løsningen? Det virker da "rimelig fornuftigt" - uden at have flere detaljer end artiklen angiver.. ? For de siger jo ikke noget om at det var de forkerte/ikke-anonymiserede data der blev delt..