Medicals Nordic politianmeldt med krav om bøde efter kviktest-skandale

Illustration: Lasse Gorm Jensen
Manglende sikkerhed omkring personoplysninger hos kviktest-leverandøren Medicals Nordic får Datatilsynet til at politanmelde virksomheden og kræve en bøde på 600.000 kroner.

Eksperter hævede øjenbrynene, da sagen om billeder af positive corona-prøver, der flød rundt i en WhatsApp-gruppe og blev kopieret til podernes telefoner ramte offentligheden i januar.

Datatilsynet startede fluks en undersøgelse af den udskældte praksis, og undersøgelsen viser, at der ikke var styr på sikkerheden.

Det skriver Datatilsynet på sin hjemmeside

»Vi ser med stor alvor på sagen, fordi det drejer sig om følsomme oplysninger. Når man bliver betroet at behandle borgernes helbredsoplysninger, følger der et ansvar med for at passe rigtig godt på dem, og det har man altså ikke gjort i dette tilfælde«, forklarer Allan Frank, jurist og it-sikkerhedsspecialist i Datatilsynet.

I en række forhold var der etableret de fornødne sikkerhedsforanstaltninger, men angående omdrejningspunktet for kritikken, de omtalte WhatsApp-grupper, så ser det ikke godt ud.

Læs også: Borgeres sundhedsdata flød på telefoner og Whatsapp-grupper hos privat testleverandør

Adgangsstyring sejlede

Medarbejderne anvendte således deres private telefoner til at rapportere personoplysninger ind til virksomheden via de i alt fire grupper i applikationen. Medarbejderne var således inviteret til en gruppe, der hørte til testcentret, hvor de havde deres gang, og herefter fik medlemmer af gruppen adgang til alle beskeder i gruppen med personnummer og helbredsoplysninger om borgerne.

Samtidig viser Datatilsynets undersøgelse også, at medarbejdere, der ikke længere var ansat i virksomheden, ikke blev fjernet fra grupperne og altså fortsatte med at modtage billeder af test af borgere inklusiv disses personnummer og prøveresultat.

Det har fået Datatilsynet til at politianmelde virksomheden og kræve, at Medicals Nordic idømmes en bøde på 600.000 kroner.

»Datatilsynet har ved vurderingen af, at der bør idømmes en bøde, lagt vægt på, at fortrolige oplysninger og helbredsoplysninger om et stort antal borgere er blevet behandlet usikkert og videregivet til uvedkommende, herunder medarbejdere, der ikke havde et arbejdsbetinget behov for at modtage oplysningerne. Ydermere er der også tale om medarbejdere, som ikke længere var ansat i virksomheden,« skriver Datatilsynet og understreger, at man har lagt vægt på, at Medicals Nordic ikke havde foretaget de nødvendige risikovurderinger.

Læs også: Datatilsynet undersøger sikkerhedsbrud ved coronatest: »Vi befinder os i den mere alvorlige ende af skalaen«

Op og ned i showbiz

Sagen om Nordic Medicals tog sin begyndelse, da B.T. bragte nyheden om, at testsvar fra prøvetagningerne flød rundt på podernes mobiltelefoner.

Det fik flere politikere til at udtrykke kraftig bekymring og ønske fremgangsmåden stoppet øjeblikkeligt.

Datatilsynet åbnede på eget initiativ en undersøgelse om sagen. Politiken kunne herefter berrete, at leverandøren havde tilbageholdt information for Datatilsynet.

Medicals Nordic havde således oplyst til Datatilsynet, at den kritisable procedure med deling af personoplysninger på den Facebook-ejede paltform WhatsApp begyndte den 15. december. Det stemte dog ikke overens med Politikens oplysninger. Her kunne man således dokumentere, at proceduren blev påbegyndt tidligere, hvilket måtte betyde, at Datatilsynet ikke havde fået det fulde billede af forløbet.

»I sidste uge kaldte jeg firmaets håndtering af persondata for amatøragtig. Men det er en hån mod amatører at kalde den amatøragtig, for det her er så absurd på så mange planer,« udtalte Ayo Næsborg-Andersen, der er lektor i databeskyttelsesret på Syddansk Universitet, til Politiken under forløbet.

Fadæsen fik dog ingen umiddelbar konsekvens, idet regionerne alligevel til at begynde med valgte at tildele en trecifret millionkontrakt til Medicals Nordic og SOS International, der altså stod til at skulle levere daglige kviktests af danskerne.

Det skulle dog hurtigt ændre sig. For Medicals Nordic gik fra at skulle opfylde en trecifret millionkontrakt og levere tusindevis af kviktest om dagen til pludselig ikke at skulle alligevel.

Ritzau skrev således, at regionerne ikke mente, at Medicals Nordic kunne magte opgaven, de var blevet tildelt.

Læs også: Datalæk og dårlig hygiejne: Kviktest-firma fyret efter skandalesager

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Peter D Hansen

Det ville være endnu bedre, hvis artiklen blev rettet til at omtale virksomheden ved dens rigtige navn.

Der findes INGEN juridisk enhed benævnt “Medicals Nordic” (som der kun står i skrivende stund), og det har der heller aldrig gjort, iflg. CVR.

Derimod findes “Charlottenlund Lægehus Medicals Nordic I/S”, CVR 39322730

Det er et interessentskab, med 2 ansvarlige indehavere Jonas Hertz og Teit Reuther.

Alt andet er bare smart markedsføring. Men der er kun 1 virksomhed, uanset hvad de har haft held til at få nogle til at tro.

At virksomheden til dels anvender et fiktivt navn kan også være en overtrædelse af Lov om visse erhvervsdrivende virksomheder § 6.

Der er ingen grund til at holde hånden over dem, ved at skjule en del af virksomhedsnavnet i artikler.

Sært nok driver de 2 driftige ejere også et andet selskab “Frøen ApS” hvis formål er salg af bl.a fyrværkeri.

https://datacvr.virk.dk/data/visenhed?enhedstype=virksomhed&id=39322730&...

https://sn.dk/Villabyerne/Skandaleramt-laegehus-granskes-af-regionen/art...

Det ville i øvrigt være helt fint hvis bøden var “dobbelt” pga. udnyttelse af corona-situationen ;-)

  • 28
  • 0
#2 Thomas Alexander Frederiksen

Politiken har i starten af året også skrevet lidt om Charlottenlund Lægehus, f.eks. denne sætning:

“ På en lang række ydelser har Charlottenlund Lægehus faktureret for 75-670 procent mere end gennemsnitsklinikker i regionen.”

Artiklen er bag paywall, så Politiken får ikke glæden af et link.

Jeg er normalt ikke tilhænger af naming and shaming, men…

  • 17
  • 0
#3 Louise Klint

Jeg synes, det er godt, og virkelig berettiget, at der kommer en politianmeldelse her. Nu må vi så se, hvad det ender med. Når/hvis afgørelse falder – om hvad? 2-3 år?

Da jeg læste pressemeddelelsen fra Datatilsynet, i fredags, undrede jeg mig over, at tilsynet forholder sig meget detailspecifikt til WhatsApp-grupperne, som også fremgår af artiklen ^^. (Hvorvidt eller ej der var truffet de fornødne sikkerhedsforanstaltninger, adgangsstyring af brugergrupperne, mv).

Men jeg synes ikke, Datatilsynet forholder sig til den teknologi, der blev anvendt til formidlingen af de mange personoplysninger.

Hvordan opbevaring og datadeling er foregået hos en leverandør i det offentlige, danske sundhedsvæsen. At der ikke var tale om hverken et lukket it-system, tilhørende leverandøren, eller et andet, gængs anvendt, offentligt ejet it-system med egen database.

Hvad med det faktum, at borgernes persondata blev delt via en 3. parts-app, der er ”owned by Facebook Inc.”?

Facebook, en global gigant der, som bekendt, lever af at koble og videresælge data i enorme mængder.

Spiller det ingen rolle?

https://en.wikipedia.org/wiki/WhatsApp https://da.wikipedia.org/wiki/WhatsApp https://www.whatsapp.com/

  • 10
  • 0
#4 Rune Larsen

600.000 er ikke meget når vi snakker kontrakter på hundredevis af millioner. Det danske datatilsyn viser igen, at de er det mest tandløse i Europa.

Hvad blev der af GDPRs 4% af årlig indkomst? Hvor meget grovere skal/kan en overtrædelse være før de 4% kommer i spil?

Charlottenlund Lægehus Nordic Medical har oplyst svingende medarbejdertal henover året peakende med over 500 i februar. Deres omsætning er LANGT over 600k/4%=15mio.

  • 6
  • 2
#5 Jens Beltofte

600.000 er ikke meget når vi snakker kontrakter på hundredevis af millioner.

Nu røg kontrakten mellem regionerne og SOS International (med Nordic Medicals som underleverandør) lige i skraldespanden af forskellige årsager, og de mange hundrede millioner af omsætning blev aldrig til noget for Nordic Medicals. Af samme årsag peakede antal ansætte også op til de blev fyret og der bagefter faldet kraftigt igen.

Deres omsætning er LANGT over 600k/4%=15mio.

LANGT er nok et stort ord at bruge i denne sammenhæng. Ja, de har helt sikkert haft en højere omsætning i december 2020 og januar 2021 ind til de fik sparket. Men når du kigger på antal medarbejdere, så tjek lige antal årsværk opgivet på CVR.dk . Da de peaker med 564 ansatte har de blot haft 166 årsværk og det faldt meget hurtigt til kun 36 ansatte og 18 årsværk. Så rigtig mange af de 500+ ansatte har været timelønnede medarbejdere der ikke en gang har været på halv-tid.

  • 1
  • 1
#7 Jens Beltofte

https://m.medwatch.dk/Medico___Rehab/article13054343.ece

[...]minimumsindtægt på ti mio. kr. om dagen"

"Vi har haft en meget, meget stor omsætning i år. Når vi tester så mange mennesker, så er det voldsomme tal," siger Jeppe Handwerk til avisen."

Bare lige for en god ordens skyld så er firmaet der omtales i den artikel fra Copenhagen Medical, og ikke Charlottenlund Lægehus Medicals Nordic. Førnævnte driver 40+ kviktest centre for Region Hovedstaden, og har gjort det i meget stor skala siden man startede med kviktest i 2020. De tester selvfølgelig mange mere end end Charlottenlund Lægehus Medicals Nordic gjorde og derfor også omsætte for mange gange mere.

  • 0
  • 0
Log ind eller Opret konto for at kommentere