Datatilsynet undersøger sikkerhedsbrud ved coronatest: »Vi befinder os i den mere alvorlige ende af skalaen«

26. januar 2021 kl. 10:2910
Datatilsynet undersøger sikkerhedsbrud ved coronatest: »Vi befinder os i den mere alvorlige ende af skalaen«
Illustration: Bigstock.
Efter hvad der kunne ligne en fremkørsel for fuld stop på persondataområdet, åbner Datatilsynet en sag på baggrund af håndteringen af svar på borgeres kviktest hos Medicals Nordic.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Der er noget helt åbenlyst galt med måden, man har håndteret borgernes sundhedsdata på hos Medicals Nordic, der foretager kviktest i arbejdet med opsporing af coronavirus.

Hos Datatilsynet ser man med stor alvor på de kritisable forhold og har med det vons åbnet en sag på baggrund af måden, hvorpå virksomheden har håndteret oplysninger fra borgere med positivt svar på deres test.

Det skriver Politiken.

Artiklen fortsætter efter annoncen

Sagen tog sig udspring i en afsløring fra B.T., der beskrev, hvordan poderne skulle tage billeder af de positive prøvesvar, der altså indeholdt borgerens persondata, og herefter dele dem via Whatsapp i en gruppe med andre podere. Billederne blev i samme ombæring kopieret til medarbejdernes telefon, og hele miseren får da også Allan Frank fra Datatilsynet til at pege på, at der i sagen kan være kørt direkte over for rødt lys flere steder. Det drejer sig både om brugen af private telefoner, den social medieplatform og muligheden for, at data kan end hos tech-giganter i tredjelande.

»Vi befinder os i den mere alvorlige ende af skalaen. I det omfang, der er givet instruks om at bruge et værktøj, som ikke viser sig egnet til formålet, og som ikke er sikkert, så er det et problem, for så er det noget, man har gjort bevidst. Med forbehold for, at sagen slet ikke er sagsbehandlet, så kan det føre til sanktioner – lige fra kritik til politianmeldelse og bøde,« siger Allan Frank, der er IT-sikkerhedsspecialist og jurist i Datatilsynet til Politiken.

Datatilsynet understreger i en pressemeddelelse, at tilsynet nu går ind i sagen og undersøger blandt andet, »hvem der er dataansvarlig, om der er sket videregivelse af personoplysninger, og om der er passende sikkerhedsforanstaltninger.«

Fokus
Emner
10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
10
Louise Klint
27. januar 2021 kl. 12:20

DR skriver, at det har været et hasteudbud. Og at det er Region Midt(jylland), der har ansvaret for lyntest i hele landet. Her siger de også, at det kan blive en politisk beslutning, hvad man skal vælge at gøre.

https://www.dr.dk/nyheder/politik/efter-sloeset-omgang-med-personfoelsomme-oplysninger-usikkerhed-om-83000-daglige

Men kender vi nogle fortilfælde? Ja.

Jeg ved ikke, hvorfor jeg kommer til at tænke på Tolkeskandalen. Stor tolkeaftale med alle landets politikredse og domstole. Hvor man (også) lovede guld og grønne skove, bedyrede at kunne levere.

https://politiken.dk/indland/art7382101/Deres-tilbud-fremst%C3%A5r-%C2%BBoverdrevne-eller-gr%C3%A6nsende-til-det-usande%C2%AB

Aftalen, på 500 mio. kroner, endte med at blive annulleret til sidst. Efter en sørens masse problemer, fejl og underbetaling, mv. Eller Radio Loud.

Problemet er også, at man meget ofte får en chance til i det offentlige. Uanset hvor horribelt, man opfører sig. Der er ingen konsekvens. ”Hvis bare man lover...”

Vel primært fordi det er det nemmeste. Eller fordi tiden er knap, som nu, og alt skal være klar til på mandag.

Sanktionér. (Og så løs det midlertidigt, indtil nye aftaler er på plads).

Vær lidt realistiske: Kommer der flere sager efter dette? Hvad tror du?

Når man er så milevidt fra at have styr på procedurer og lovgivning?

Og ikke har nogle kontrolmekanismer, der sikrer, at tingene foregår ansvarligt / forsvarligt.
I det hele taget udviser en adfærd, der indikerer, at man øjensynligt ikke har erkendt, hvad det indbefatter at agere i offentligt regi.

Ikke bare som leverandør af varer (200 paller toiletpapir til Regionslageret, fx.). Men som serviceudbyder af tjenesteydelser rettet imod borgerne. Og alt hvad det indbefatter af sikkerhed, kontrol, lovgivning og dokumentation.

Det er sundhedsvæsenet. Ikke en slikbutik.

  • more_vert
    • insert_linkKopier link
9
Christian Nobel
27. januar 2021 kl. 09:45

Jeg fik foretaget en kviktest hos Falck - det forgik dejligt lavpraktisk med papir og blyant.

Svaret var negativt, men hvad gør Falck hvis det er positivt?

Bliver svaret så indtastet i en database på stedet, eller sendes formularene videre - jeg så ikke skyggen af en computer.

  • more_vert
    • insert_linkKopier link
8
Jens Beltofte
27. januar 2021 kl. 09:05

Det her handler ikke om manglende kompetencer, så ringe kan man simpelthen ikke have procedurer, hvis man er en virksomhed i medicinalindustrien - og uanset om de argumenterer for 'inkompetence' eller 'rod i procedurerne' så skal der monumentale bøder til. Luk-biksen-bøder.

Medicals Nordic driver en alm. lægepraksis i Charlottenlund og vist også en i Holte. Så de er ikke i medicinalindustrien, dog burde de vide fra deres lægepraksis hvilke krav deres stilles til opbevaring af sådanne data.

  • more_vert
    • insert_linkKopier link
7
Anne-Marie Krogsbøll
26. januar 2021 kl. 16:43

Kommuners og regioners respekt for GDPR er fuldstænidgt forsvundet - "Couldn't care less":

"Ekspert i databeskyttelsesret undrer sig over, at regionerne ikke undersøgte firmaers datasikkerhed mere grundigt, før man tildelte kæmpeordre i udbud. Det er ikke vores ansvar, at en underleverandører undlader at følge reglerne, siger regionerne."https://politiken.dk/indland/art8078343/%C2%BBAmat%C3%B8ragtigt%C2%AB-Udbud-af-hullet-hurtigtest-f%C3%A5r-h%C3%A5rd-kritik

  • more_vert
    • insert_linkKopier link
6
Michael Bang-Achton
26. januar 2021 kl. 16:33

I denne tid hvor der opfordres til ugentlig test, er det bekymrende at Medical Nordic har underbudt Falck og står til at stå for de fleste kviktest fra 1. Februar. Hvis ikke politikerne underkender deres licens til at tage kviktest, vil jeg helt sikker fravælge kviktest efter 1. Februar.

  • more_vert
    • insert_linkKopier link
5
Dennis Benneballe Arnold-Grade
26. januar 2021 kl. 15:58

Fuldstændig enig.

Her skal der både være bøder som fuldstændig lamslår forretningen - man bør ikke tjene penge på den måde, og bøderne må da gerne være med tilbagevirkende kraft - og så udover det gives bøder til dem, der har hyret Medicals Nordic som databehandler/underdatabehandler... Det ligner jo ikke ligefrem, at der er ført kontrol, tilsyn, er blevet lavet risikovurderinger, givet klare instrukser, etc.

Pinligt for både Medicals og dem, der har samarbejdet med dem...

  • more_vert
    • insert_linkKopier link
4
Børge Svingalius
26. januar 2021 kl. 14:19

Helt enig.

Det her handler ikke om manglende kompetencer, så ringe kan man simpelthen ikke have procedurer, hvis man er en virksomhed i medicinalindustrien - og uanset om de argumenterer for 'inkompetence' eller 'rod i procedurerne' så skal der monumentale bøder til. Luk-biksen-bøder.

  • more_vert
    • insert_linkKopier link
3
Søren Troensegaard
26. januar 2021 kl. 13:53

Her er det private virksomheder, men er der grund til at tro det skulle være bedre såfremt kommuner skal deltage i opsporingsarbejde, og der sendes sundhedsdata til kommunerne?

Sundhedsdata bor ét sted og kun ét sted. Skal data deles skal de enten anonymiseres eller der skal indhentes tilladelse hos den enkelte borger. Det er IKKE begrundelse nok at det er i den hellige Coronas tegn...

Såfremt kommunale ansatte skal deltage i opsporingsarbejde må de udlånes til sundhedsmyndigheden og have oprettet en login der.

  • more_vert
    • insert_linkKopier link
2
Martin Dahl
26. januar 2021 kl. 13:30

tage billeder af de positive prøvesvar, der altså indeholdt borgerens persondata, og herefter dele dem via Whatsapp

Bare stop. Helt.

En virksomhed, der håndterer personlige sundhedsdata på denne måde i 2021, har ikke gang på jord. Alle der rører ved IT, pharma eller persondata er blevet oplyst gigantisk de sidste par år om hvad man skal.

Det er ikke en uheldig procedurefejl. Det er en fuldt bevidst fuck-dine-persondata-vi-skal-bare-lave-kassen-hurtigt.

Jeg håber at vi her ser en bødestørrelse, som understreger at det ikke kan betale sig økonomisk, at blæse på GDPR.

Det, som er virkelig ærgeligt og pinligt er, at det idag er ret let at få systemer til at tale sammen, eller at "scrape" data fra eet system til et andet. For 15 år siden var det måske en anden snak.

Om det så var screenshots gemt på et lokalt fællesdrev, eller et delt lokalt regneark, hvor arkaisk det måtte lyde, så ville det være bedre. Men "tage billeder" og "WhatsApp", det er bare så vildt.

  • more_vert
    • insert_linkKopier link
1
Anne-Marie Krogsbøll
26. januar 2021 kl. 11:22

Politikens artikel har en kopi af det samtykke, man som borger underskriver inden testen. Så vidt jeg kan se, indeholder samtykket intet om, hvordan virksomheden håndterer ens data, og hvad man giver dem tilladelse til - ud over forbehold for nogen form for ansvar ift. testresultatet.

  • more_vert
    • insert_linkKopier link