Statens Serum Institut har syltet kontrol med behandlere af persondata i tre år

Illustration: Niels Møller / Teknologiens Mediehus
Efter adskillige artikler fra Version2, erkender Statens Serum Institut i en redegørelse til Sundhedsministeriet, at der ikke var styr på databehandleraftaler.

Statens Serum Institut har ikke gennemført den lovpligtige kontrol af deres databehandlere i form af et tilsyn siden 2015.

Det erkender SSI nu i en redegørelse, som Sundhedsministeriet udbad sig i januar 2018 efter en række artikler i Version2.

Læs også: Sundhedsminister om SSI's manglende tilsyn: »Ikke godt nok og stærkt kritisabelt«

Ifølge Persondatalovens §42 skal den dataansvarlige »træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven«.

Dette krav har SSI ikke levet op til, da de ikke har haft procedurer for at kontrollere sikkerheden eller har foretaget de fornødne tilsyn.

»Før øvrige sagsbehandlere har SSI fulgt en model med ad hoc-tilsyn, hvor der kan være formodning om, at databehandleraftalen ikke er overholdt.« - Redegørelse om SSI tilsyn med egne databehandlere

Læs også: Datatilsynet løfter pegefingeren: Meget beklageligt, at SSI ikke lever op til loven

Redegørelsen - som Version2 har fået efter en aktindsigt - viser, at SSI senest førte tilsyn i 2015. Her førte SSI tilsyn med Region Hovedstaden, der er underdatabehandler for SSI på Den Danske Mikrobiologidatabase.

MiBa er en automatisk database, som indeholder alle mikrobiologiske undersøgelsesresultater fra SSI og alle landets klinisk mikrobiologiske afdelinger.

Databasen indeholder prøvesvar helt tilbage fra start 2010.

Fremtidigt koncept for tilsyn

Ifølge redegørelsen vil SSI fremadrettet føre »mere systematiske og aktive tilsyn ... kombineret med udførelse af risikobaserede (fysiske) tilsyn«.

Dette omfatter, at SSI vil indhente erklæringer omkring overholdelse fra alle databehandlere årligt. SSI vil også foretage en gennemgang af alle databehandleraftaler i start 2018 og lægge en plan for indsendelse af erklæringer. Desuden vil SSI opdatere de gamle databehandleraftaler, så de lever op til GDPR-krav.

Læs også: 86.000 danskeres DNA sendt til USA uden kontrol

SSI vil også indføre et tilsynskoncept, hvor man vil udføre 2-4 årlige tilsyn ud fra en risikobaseret gennemgang af databehandleraftalerne. Hertil vil man udarbejde en »tilsynsskabelon«, så man fremadrettet dækker relevante områder, inklusive de nye GDPR-krav.

»SSI forventer at gennemføre de første tilsyn baseret på det nye koncept i første kvartal af 2018,« lyder det i redegørelsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mogens Lysemose

første tilsyn baseret på det nye koncept i første kvartal af 2018

Der er 10 dage tilbage af første kvartal 2018...

Efter at have udleveret alle danskeres sundhedsdata til den kinesiske ambassade tager Statens Serum-institut stadig ikke patienternes privatliv seriøst. Beskæmmende!
Stol ikke på staten!

  • 8
  • 0
Jan Gundtofte-Bruun

... tager Statens Serum-institut stadig ikke patienternes privatliv seriøst. Beskæmmende!
Stol ikke på staten!


Fun fact: "Statens Serum-institut" er ikke et statsligt institut, men et privat ejet og kommercielt drevet firma.

Man kan synes at det er misvisende, at de ikke har ændret deres navn tilsvarende, men der er jo nok mere "credibility" i det gamle navn...

kilde

  • 2
  • 1
Søren Larsen

Øverste kommentar her er i dette tilfælde rimelig rammende. Staten solgte Statens Serum Institut til saudi arabisk sharia konglomerat for 15 mio. kr.
Staten brugte 30 mio. kr. på at finde kunden - det kostede altså netto 15 mio. og nu kontrollerer saudierne dette livsvigtige instituts serumproduktion.
Mere i Berlingske:
https://www.b.dk/nationalt/staten-brugte-30-mio.-kr.-paa-at-finde-vaccin...

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize