Datatilsynet løfter pegefingeren: Meget beklageligt, at SSI ikke lever op til loven

Illustration: Yastremska, BigStock
Datatilsynet udtaler kritik af Statens Serum Institut efter Version2-afsløring om, at SSI ikke har ført et eneste tilsyn med sine databehandlere.

Datatilsynet kritiserer Statens Serum Instituts (SSI) manglende tilsyn med databehandlere.

Det viser en afgørelse fra Datatilsynet, der bl.a. lyder:

»Efter en gennemgang af sagen finder Datatilsynet det meget beklageligt, at Statens Serum Institut ikke konsekvent har påset sikkerheden hos instituttets databehandlere. Statens Serum Institut har efter Datatilsynets opfattelse derfor ikke levet op til kravet i persondatalovens § 42, stk. 1.«

Datatilsynet lægger i sin afgørelse vægt på, at SSI i fremtiden fører fysiske tilsyn 2-4 gange årligt med sine databehandlere - eller får revisionserklæringer indhentet til formålet.

Afgørelsen understreger desuden, at Datatilsynet tog sagen op, da den havde fået dækning i danske medier.

Tilsyn efter behov

Version2 kunne i starten af januar afsløre, at SSI ikke har kontrolleret om deres mange databehandlere håndterer danskernes person- og sundhedsdata, som de skal. De valgte i stedet at kun kontrollere databehandlerne, hvis de fik mistanke om, at der var noget galt.

»SSI har hidtil haft en procedure om at føre tilsyn, når der har været et behov for det, fx hvis vi skulle erfare, at en databehandler har overtrådt de instruktionsbeføjelser, vi har tildelt dem,« skrev Ole Jensen, vicedirektør hos SSI, i en mail til Version2, der afslørede den manglede kontrol.

Det tal viste sig dog at være nul, og Datatilsynet skriver i afgørelsen, at der fra og med 2018 skal være iværksat en systematisk og proaktiv kontrol af instituttets databehandlere.

Ole Jensen sagde i januar til Version2, at SSI ville »udarbejde en procedure for tilsyn,« og det lyder til, at den plan altså er faldet på plads nu.

Sundhedsminister Ellen Trane Nørby (V) kaldte i januar SSI's praksis for stærkt kritisabel.

»Borgerne skal kunne regne med, at deres data bliver behandlet godt og sikkert,« understregede ministeren over for Version2.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
Finn Christensen

Sundhedsminister Ellen Trane Nørby (V) kaldte i januar SSI's praksis for stærkt kritisabel.

»Borgerne skal kunne regne med, at deres data bliver behandlet godt og sikkert,«

Ja men det gør vi ikke, så længe hammeren ikke falder (meget hårdt) over de formastelige, samt hver eneste gang.

Offentlige ansatte og så'mæn også mange i den private sektor udfører det arbejde, der giver flest point og prestige etc.

Chefgruppen hos SSI mfl. er åbenlyst ligeglad med datasikkerhed - intet nyt under solen.

Anne-Marie Krogsbøll

"Efter en gennemgang af sagen finder Datatilsynet det meget beklageligt, at Statens Serum Institut ikke konsekvent har påset sikkerheden hos instituttets databehandlere.."

Det burde hedde:
"Efter en gennemgang af sagen finder Datatilsynet det meget beklageligt, at Statens Serum Institut konsekvent ikke har påset sikkerheden hos instituttets databehandlere"

Claus Nørgaard Gravesen

Sundhedsdatastyrelsen, Statens Serum Institut, Regionerne, de praktiserende læger, osv.

Det må være en gåde for de fleste, hvordan man kan slippe afsted med direkte injurierende at hævde offentligt, at det offentliges datasikkerhed er "i orden".

Han erkender dog samtidig, at datalæk inden for de seneste par år kan have gjort danskerne lidt nervøse for at dele deres data, men han understreger, at disse læk ikke er sket fra universiteter eller universitetshospitaler, der netop har den rette viden og sikkerhed til at håndtere databehandlingen af danskernes sundhedsdata.

»Analyserne skal ske i Sundhedsdatastyrelsen, på universiteterne eller universitetshospitalerne. Der har man den rette ekspertise på området, de nødvendige tilladelser og sikkerheden i orden,« forklarer Allan Flyvbjerg, direktør for Steno Diabetes Center Copenhagen, Region Hovedstaden.

Det Danske Bloddonorstudie påstår også at deres datasikkerhed "er høj". Kan vi ikke få dem gransket også, i det mindste bare kratte lidt i lakken.

Det Danske Vaccinationsregister under Sundhedsdatastyrelsen, og tidligere under Statens Serum Institut, indsamler, opbevarer og videregiver jo i øvrigt også data uden nogen form for samtykke overhovedet.
Der bør man nok overveje at få sine data slettet, hvis ikke man vil have dem spredt for alle vinde (det kan selvfølgelig meget vel allerede være sket...).

https://sundhedsdatastyrelsen.dk/vaccinationsregister
https://fmk-online.dk/fmk/

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017