Datatilsynet udtaler alvorlig kritik af Sundhedsdatastyrelsen for ikke at leve op til kravet i databeskyttelsesforordningen GDPR om passende sikkerhed.
Det skriver Datatilsynet i en pressemeddelelse.
Læs også: Nu skal tech-giganter reguleres: EU's to lovpakker stemt igennem i Parlamentet
Det sker efter at en kodeændring i Sundhedsplatformen medførte utilsigtede ændringer i det Fælles Medicinkort (FMK). Ændringerne betød, at fjernelse af doseringsslutdatoen for 267 personer på det Fælles Medicinkort ikke slog igennem til Sundhedsplatformen.
»Som dataansvarlig for FMK har Sundhedsdatastyrelsen en forpligtelse til at træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved styrelsens behandling af personoplysninger i FMK,« skriver Datatilsynet.
Denne forpligtelse indebærer, at Sundhedsdatastyrelsen som udgangspunkt bør teste alle sandsynlige fejlscenarier i forbindelse med udvikling og ændring af software i FMK. I tilfælde, hvor en tredjepart som Region Hovedstaden kan lave ændringer, er Sundhedsdatastyrelsen som dataansvarlig for FMK også ansvarlig for, at disse ændringer bliver testet.
Det er ikke sket i dette tilfælde, og dermed har Sundhedsdatastyrelsen efter Datatilsynets opfattelse ikke levet op til kravet om passende sikkerhed, skriver Datatilsynet i afgørelsen.
Det er en skærpende omstændighed i tilsynets afgørelse, at Sundhedsdatastyrelsen før har haft lignende fejl. Derudover overskred Sundhedsdatastyrelsen fristen på 72 timer for at anmelde et sikkerhedsbrud – styrelsen blev bekendt med bruddet 9. august 2021, men meldte det først til Datatilsynet 13. august 2021.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
