Medicals Nordic politianmeldt med krav om bøde efter kviktest-skandale
Eksperter hævede øjenbrynene, da sagen om billeder af positive corona-prøver, der flød rundt i en WhatsApp-gruppe og blev kopieret til podernes telefoner ramte offentligheden i januar.
Datatilsynet startede fluks en undersøgelse af den udskældte praksis, og undersøgelsen viser, at der ikke var styr på sikkerheden.
Det skriver Datatilsynet på sin hjemmeside
»Vi ser med stor alvor på sagen, fordi det drejer sig om følsomme oplysninger. Når man bliver betroet at behandle borgernes helbredsoplysninger, følger der et ansvar med for at passe rigtig godt på dem, og det har man altså ikke gjort i dette tilfælde«, forklarer Allan Frank, jurist og it-sikkerhedsspecialist i Datatilsynet.
I en række forhold var der etableret de fornødne sikkerhedsforanstaltninger, men angående omdrejningspunktet for kritikken, de omtalte WhatsApp-grupper, så ser det ikke godt ud.
Adgangsstyring sejlede
Medarbejderne anvendte således deres private telefoner til at rapportere personoplysninger ind til virksomheden via de i alt fire grupper i applikationen. Medarbejderne var således inviteret til en gruppe, der hørte til testcentret, hvor de havde deres gang, og herefter fik medlemmer af gruppen adgang til alle beskeder i gruppen med personnummer og helbredsoplysninger om borgerne.
Samtidig viser Datatilsynets undersøgelse også, at medarbejdere, der ikke længere var ansat i virksomheden, ikke blev fjernet fra grupperne og altså fortsatte med at modtage billeder af test af borgere inklusiv disses personnummer og prøveresultat.
Det har fået Datatilsynet til at politianmelde virksomheden og kræve, at Medicals Nordic idømmes en bøde på 600.000 kroner.
»Datatilsynet har ved vurderingen af, at der bør idømmes en bøde, lagt vægt på, at fortrolige oplysninger og helbredsoplysninger om et stort antal borgere er blevet behandlet usikkert og videregivet til uvedkommende, herunder medarbejdere, der ikke havde et arbejdsbetinget behov for at modtage oplysningerne. Ydermere er der også tale om medarbejdere, som ikke længere var ansat i virksomheden,« skriver Datatilsynet og understreger, at man har lagt vægt på, at Medicals Nordic ikke havde foretaget de nødvendige risikovurderinger.
Op og ned i showbiz
Sagen om Nordic Medicals tog sin begyndelse, da B.T. bragte nyheden om, at testsvar fra prøvetagningerne flød rundt på podernes mobiltelefoner.
Det fik flere politikere til at udtrykke kraftig bekymring og ønske fremgangsmåden stoppet øjeblikkeligt.
Datatilsynet åbnede på eget initiativ en undersøgelse om sagen. Politiken kunne herefter berrete, at leverandøren havde tilbageholdt information for Datatilsynet.
Medicals Nordic havde således oplyst til Datatilsynet, at den kritisable procedure med deling af personoplysninger på den Facebook-ejede paltform WhatsApp begyndte den 15. december. Det stemte dog ikke overens med Politikens oplysninger. Her kunne man således dokumentere, at proceduren blev påbegyndt tidligere, hvilket måtte betyde, at Datatilsynet ikke havde fået det fulde billede af forløbet.
»I sidste uge kaldte jeg firmaets håndtering af persondata for amatøragtig. Men det er en hån mod amatører at kalde den amatøragtig, for det her er så absurd på så mange planer,« udtalte Ayo Næsborg-Andersen, der er lektor i databeskyttelsesret på Syddansk Universitet, til Politiken under forløbet.
Fadæsen fik dog ingen umiddelbar konsekvens, idet regionerne alligevel til at begynde med valgte at tildele en trecifret millionkontrakt til Medicals Nordic og SOS International, der altså stod til at skulle levere daglige kviktests af danskerne.
Det skulle dog hurtigt ændre sig. For Medicals Nordic gik fra at skulle opfylde en trecifret millionkontrakt og levere tusindevis af kviktest om dagen til pludselig ikke at skulle alligevel.
Ritzau skrev således, at regionerne ikke mente, at Medicals Nordic kunne magte opgaven, de var blevet tildelt.
