Alvorlig kritik af SSI fra Datatilsynet: Behandlede corona-personoplysninger uden risikovurdering

Illustration: Datatilsynet
Corona-eksperters adgang til SSI's SFTP-server tog ikke fornødent højde for risikoen for uautoriseret adgang til oplysninger.

Statens Serum Institut (SSI) kom for sent i gang med risikovurdering og konsekvensanalyse i forbindelse med at stille persondata – i form af blandt andet helbredsoplysninger – til rådighed for en ekspertgruppe, der skulle regne på mulige scenarier for samfundets genåbning efter corona-nedlukning.

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at SSI’s behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningen

I forbindelse med COVID-19-situationens eskalering i februar-marts 2020 skulle SSI stille persondata til rådighed for en ekspertgruppe, der skulle regne på mulige scenarier for genåbning.

SSI havde selv vurderet, at risikoen for de registrerede var moderat til høj og konstateret, at der ved behandlingens start ikke var foretaget en fuldstændig kortlægning og vurdering af de risici, som behandlingen indebar. SSI vurderede, at dette i sig selv medførte en høj risiko for de registreredes rettigheder.

Den oprindeligt tiltænkte it-løsning for dataudvekslingen kunne dog ikke være klar hurtigt nok, hvorfor dataadgangen i uge 12 blev etableret på SSI's SFTP-server, placeret bag en ydre firewall i en zone, der kunne tilgås af eksperterne udefra, også benævnt DMZ. Oplysningerne var placeret i dedikerede mapper, hvor eksperterne, der skulle have adgang, benyttede brugernavn og kendeord.

SSI har oplyst, at risikovurderingen grundet manglende interne ressourcer og situationen på tidspunktet først blev påbegyndt i uge 16, og at første version af en konsekvensanalyse forelå i uge 17. Databehandleraftaler med ekspertgruppens medlemmer blev ligeledes underskrevet i uge 17.

Tog ikke højde for risiko for uautoriseret adgang

Datatilsynet fandt, at SSI allerede på det tidspunkt, hvor de havde indset, at denne indebar en høj risiko for de registreredes rettigheder, skulle have påbegyndt arbejdet med konsekvensanalysen. Tilsynet konstaterede endvidere, at det alene er muligt at påbegynde behandlingen, når Datatilsynet er blevet hørt.

Datatilsynet konstaterede, at der først fem uger efter behandlingens påbegyndelse blev indgået de fornødne databehandleraftaler.

Datatilsynet konstaterede herudover, at der ved valget af den midlertidige løsning på SSI's SFTP-server ikke var taget fornødent højde for risikoen for uautoriseret adgang til oplysningerne, særligt vurderet i forhold til oplysningernes karakter, interesse og evner hos de aktører, der måtte interessere sig for dem, og den valgte løsnings tekniske karakter.

Tilsynet fandt derfor, at løsningen ikke havde det fornødne niveau af sikkerhed.

Datatilsynet fandt, at det var formildende omstændigheder, at behandlingen skulle etableres under en international krisesituation, at der forelå en væsentlig samfundsinteresse i den hurtige effektuering af behandlingen, og at SSI – dog – havde gjort sig overvejelser om den foreløbige fravigelse af de databeskyttelsesretlige regler og i et vist omfang havde forsøgt at afhjælpe disse.

På den baggrund blev sanktionen alene fastsat til alvorlig kritik.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Klavs Klavsen

Jeg er ikke helt med på hvad problemet var - rent teknisk/sikkerhedsmæssigt med SFTP og personlige brugernavne til dem der skal tilgå løsningen? Det virker da "rimelig fornuftigt" - uden at have flere detaljer end artiklen angiver.. ? For de siger jo ikke noget om at det var de forkerte/ikke-anonymiserede data der blev delt..

  • 1
  • 0
#2 Claus Bobjerg Juul

Det virker da "rimelig fornuftigt"

Måske, måske ikke. Hvilke regler for certifikater gælder, herunder rotation? Hvordan med adgangstyring på dokument/mappeniveau, Manuel styring gøre ofte at for mange har for høje rettigheder? Hvordan med verificering af modparter og evt. firewall begrænsning af hvilke ipadresser der kan tilgå sftp servicen? Hvordan med håndtering inden for firewall (internt)? Hvordan med logging? osv.

  • 2
  • 0
#4 Jørgen Elgaard Larsen

Hvis man læser Datatilsynets afgørelse, så fokuserer den på to ting: 1. SSI havde ikke lavet en konsekvensanalyse, men havde foreløbigt selv vurderet risikoen til "høj". Og hvis man gør det, skal man høre Datatilsynet. 2. Der var ikke lavet databehandleraftaler med forskerne.

Så SSI skulle bare have lavet et makværk af en konsekvensanalyse, som sagde, at risikoen var lav.

Og så en lap papir med teksten "jeg vil passe på data", som forskerne kunne skrive under på.

Så var den fjong.

Det er selvfølgelig prisværdigt, at Datatilsynet slår ned på, at formalia ikke bliver overholdt - men måske skulle de først se på de sager, hvor data rent faktisk kastes i grams?

  • 8
  • 0
#6 Jørgen Elgaard Larsen

Min pointe er netop, at det hele baserer sig på SSI's egen vurdering af risikoen. Det virker som om SSI kunne have undgået Datatilsynets påtale ved at lave lidt venstrehånds-papirarbejde - uden reelt at forbedre sikkerheden.

Det er lidt skræmmende.

Og så virker det uproportionelt med en så hård kritik i dette tilfælde, i betragtning hvad SSI og andre ellers er sluppet afsted med. Og de sager, som Datatilsynet afviser at tage op.

  • 0
  • 2
Log ind eller Opret konto for at kommentere