Datatilsynet undersøger sikkerhedsbrud ved coronatest: »Vi befinder os i den mere alvorlige ende af skalaen«

Informationer om borgere med positive prøvesvar fra Medicals Nordic blev delt i WhatsApp-grupper og lå kopieret på podernes private telefoner. Illustration: Bigstock
Efter hvad der kunne ligne en fremkørsel for fuld stop på persondataområdet, åbner Datatilsynet en sag på baggrund af håndteringen af svar på borgeres kviktest hos Medicals Nordic.

Der er noget helt åbenlyst galt med måden, man har håndteret borgernes sundhedsdata på hos Medicals Nordic, der foretager kviktest i arbejdet med opsporing af coronavirus.

Hos Datatilsynet ser man med stor alvor på de kritisable forhold og har med det vons åbnet en sag på baggrund af måden, hvorpå virksomheden har håndteret oplysninger fra borgere med positivt svar på deres test.

Det skriver Politiken.

Sagen tog sig udspring i en afsløring fra B.T., der beskrev, hvordan poderne skulle tage billeder af de positive prøvesvar, der altså indeholdt borgerens persondata, og herefter dele dem via Whatsapp i en gruppe med andre podere. Billederne blev i samme ombæring kopieret til medarbejdernes telefon, og hele miseren får da også Allan Frank fra Datatilsynet til at pege på, at der i sagen kan være kørt direkte over for rødt lys flere steder. Det drejer sig både om brugen af private telefoner, den social medieplatform og muligheden for, at data kan end hos tech-giganter i tredjelande.

»Vi befinder os i den mere alvorlige ende af skalaen. I det omfang, der er givet instruks om at bruge et værktøj, som ikke viser sig egnet til formålet, og som ikke er sikkert, så er det et problem, for så er det noget, man har gjort bevidst. Med forbehold for, at sagen slet ikke er sagsbehandlet, så kan det føre til sanktioner – lige fra kritik til politianmeldelse og bøde,« siger Allan Frank, der er IT-sikkerhedsspecialist og jurist i Datatilsynet til Politiken.

Læs også: Borgeres sundhedsdata flød på telefoner og Whatsapp-grupper hos privat testleverandør

Datatilsynet understreger i en pressemeddelelse, at tilsynet nu går ind i sagen og undersøger blandt andet, »hvem der er dataansvarlig, om der er sket videregivelse af personoplysninger, og om der er passende sikkerhedsforanstaltninger.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anne-Marie Krogsbøll

Politikens artikel har en kopi af det samtykke, man som borger underskriver inden testen. Så vidt jeg kan se, indeholder samtykket intet om, hvordan virksomheden håndterer ens data, og hvad man giver dem tilladelse til - ud over forbehold for nogen form for ansvar ift. testresultatet.

  • 3
  • 1
#2 Martin Dahl

tage billeder af de positive prøvesvar, der altså indeholdt borgerens persondata, og herefter dele dem via Whatsapp

Bare stop. Helt.

En virksomhed, der håndterer personlige sundhedsdata på denne måde i 2021, har ikke gang på jord. Alle der rører ved IT, pharma eller persondata er blevet oplyst gigantisk de sidste par år om hvad man skal.

Det er ikke en uheldig procedurefejl. Det er en fuldt bevidst fuck-dine-persondata-vi-skal-bare-lave-kassen-hurtigt.

Jeg håber at vi her ser en bødestørrelse, som understreger at det ikke kan betale sig økonomisk, at blæse på GDPR.

Det, som er virkelig ærgeligt og pinligt er, at det idag er ret let at få systemer til at tale sammen, eller at "scrape" data fra eet system til et andet. For 15 år siden var det måske en anden snak.

Om det så var screenshots gemt på et lokalt fællesdrev, eller et delt lokalt regneark, hvor arkaisk det måtte lyde, så ville det være bedre. Men "tage billeder" og "WhatsApp", det er bare så vildt.

  • 28
  • 0
#3 Søren Troensegaard

Her er det private virksomheder, men er der grund til at tro det skulle være bedre såfremt kommuner skal deltage i opsporingsarbejde, og der sendes sundhedsdata til kommunerne?

Sundhedsdata bor ét sted og kun ét sted. Skal data deles skal de enten anonymiseres eller der skal indhentes tilladelse hos den enkelte borger. Det er IKKE begrundelse nok at det er i den hellige Coronas tegn...

Såfremt kommunale ansatte skal deltage i opsporingsarbejde må de udlånes til sundhedsmyndigheden og have oprettet en login der.

  • 3
  • 0
#4 Børge Svingalius

Helt enig.

Det her handler ikke om manglende kompetencer, så ringe kan man simpelthen ikke have procedurer, hvis man er en virksomhed i medicinalindustrien - og uanset om de argumenterer for 'inkompetence' eller 'rod i procedurerne' så skal der monumentale bøder til. Luk-biksen-bøder.

  • 14
  • 0
#5 Ben Arnold

Fuldstændig enig.

Her skal der både være bøder som fuldstændig lamslår forretningen - man bør ikke tjene penge på den måde, og bøderne må da gerne være med tilbagevirkende kraft - og så udover det gives bøder til dem, der har hyret Medicals Nordic som databehandler/underdatabehandler... Det ligner jo ikke ligefrem, at der er ført kontrol, tilsyn, er blevet lavet risikovurderinger, givet klare instrukser, etc.

Pinligt for både Medicals og dem, der har samarbejdet med dem...

  • 10
  • 0
#7 Anne-Marie Krogsbøll

Kommuners og regioners respekt for GDPR er fuldstænidgt forsvundet - "Couldn't care less":

"Ekspert i databeskyttelsesret undrer sig over, at regionerne ikke undersøgte firmaers datasikkerhed mere grundigt, før man tildelte kæmpeordre i udbud. Det er ikke vores ansvar, at en underleverandører undlader at følge reglerne, siger regionerne." https://politiken.dk/indland/art8078343/%C2%BBAmat%C3%B8ragtigt%C2%AB-Ud...

  • 4
  • 2
#8 Jens Beltofte

Det her handler ikke om manglende kompetencer, så ringe kan man simpelthen ikke have procedurer, hvis man er en virksomhed i medicinalindustrien - og uanset om de argumenterer for 'inkompetence' eller 'rod i procedurerne' så skal der monumentale bøder til. Luk-biksen-bøder.

Medicals Nordic driver en alm. lægepraksis i Charlottenlund og vist også en i Holte. Så de er ikke i medicinalindustrien, dog burde de vide fra deres lægepraksis hvilke krav deres stilles til opbevaring af sådanne data.

  • 1
  • 0
#9 Christian Nobel

Jeg fik foretaget en kviktest hos Falck - det forgik dejligt lavpraktisk med papir og blyant.

Svaret var negativt, men hvad gør Falck hvis det er positivt?

Bliver svaret så indtastet i en database på stedet, eller sendes formularene videre - jeg så ikke skyggen af en computer.

  • 3
  • 0
#10 Louise Klint

DR skriver, at det har været et hasteudbud. Og at det er Region Midt(jylland), der har ansvaret for lyntest i hele landet. Her siger de også, at det kan blive en politisk beslutning, hvad man skal vælge at gøre.

https://www.dr.dk/nyheder/politik/efter-sloeset-omgang-med-personfoelsom...

Men kender vi nogle fortilfælde? Ja.

Jeg ved ikke, hvorfor jeg kommer til at tænke på Tolkeskandalen. Stor tolkeaftale med alle landets politikredse og domstole. Hvor man (også) lovede guld og grønne skove, bedyrede at kunne levere.

https://politiken.dk/indland/art7382101/Deres-tilbud-fremst%C3%A5r-%C2%B...

Aftalen, på 500 mio. kroner, endte med at blive annulleret til sidst. Efter en sørens masse problemer, fejl og underbetaling, mv. Eller Radio Loud.

Problemet er også, at man meget ofte får en chance til i det offentlige. Uanset hvor horribelt, man opfører sig. Der er ingen konsekvens. ”Hvis bare man lover...”

Vel primært fordi det er det nemmeste. Eller fordi tiden er knap, som nu, og alt skal være klar til på mandag.

Sanktionér. (Og så løs det midlertidigt, indtil nye aftaler er på plads).

Vær lidt realistiske: Kommer der flere sager efter dette? Hvad tror du?

Når man er så milevidt fra at have styr på procedurer og lovgivning?

Og ikke har nogle kontrolmekanismer, der sikrer, at tingene foregår ansvarligt / forsvarligt. I det hele taget udviser en adfærd, der indikerer, at man øjensynligt ikke har erkendt, hvad det indbefatter at agere i offentligt regi.

Ikke bare som leverandør af varer (200 paller toiletpapir til Regionslageret, fx.). Men som serviceudbyder af tjenesteydelser rettet imod borgerne. Og alt hvad det indbefatter af sikkerhed, kontrol, lovgivning og dokumentation.

Det er sundhedsvæsenet. Ikke en slikbutik.

  • 2
  • 0
Log ind eller Opret konto for at kommentere