Statens Serum Institut har ikke gennemført den lovpligtige kontrol af deres databehandlere i form af et tilsyn siden 2015.
Det erkender SSI nu i en redegørelse, som Sundhedsministeriet udbad sig i januar 2018 efter en række artikler i Version2.
Ifølge Persondatalovens §42 skal den dataansvarlige »træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven«.
Dette krav har SSI ikke levet op til, da de ikke har haft procedurer for at kontrollere sikkerheden eller har foretaget de fornødne tilsyn.
»Før øvrige sagsbehandlere har SSI fulgt en model med ad hoc-tilsyn, hvor der kan være formodning om, at databehandleraftalen ikke er overholdt.« - Redegørelse om SSI tilsyn med egne databehandlere
Redegørelsen - som Version2 har fået efter en aktindsigt - viser, at SSI senest førte tilsyn i 2015. Her førte SSI tilsyn med Region Hovedstaden, der er underdatabehandler for SSI på Den Danske Mikrobiologidatabase.
MiBa er en automatisk database, som indeholder alle mikrobiologiske undersøgelsesresultater fra SSI og alle landets klinisk mikrobiologiske afdelinger.
Databasen indeholder prøvesvar helt tilbage fra start 2010.
Fremtidigt koncept for tilsyn
Ifølge redegørelsen vil SSI fremadrettet føre »mere systematiske og aktive tilsyn ... kombineret med udførelse af risikobaserede (fysiske) tilsyn«.
Dette omfatter, at SSI vil indhente erklæringer omkring overholdelse fra alle databehandlere årligt. SSI vil også foretage en gennemgang af alle databehandleraftaler i start 2018 og lægge en plan for indsendelse af erklæringer. Desuden vil SSI opdatere de gamle databehandleraftaler, så de lever op til GDPR-krav.
SSI vil også indføre et tilsynskoncept, hvor man vil udføre 2-4 årlige tilsyn ud fra en risikobaseret gennemgang af databehandleraftalerne. Hertil vil man udarbejde en »tilsynsskabelon«, så man fremadrettet dækker relevante områder, inklusive de nye GDPR-krav.
»SSI forventer at gennemføre de første tilsyn baseret på det nye koncept i første kvartal af 2018,« lyder det i redegørelsen.