Lovguiden Logo

Command Palette

Search for a command to run...

Alvorlig kritik af Statens Serum Instituts COVID-19-modelleringsprojekt for manglende overholdelse af databeskyttelsesregler

Dato

25. marts 2021

Eksterne links

Læs hele sagen

Kategorier

AfgørelseOffentlige myndighederAlvorlig kritikTilsyn / egendriftssagRisikovurdering og konsekvensanalyseDatabehandlerBehandlingssikkerhed

Baggrund for sagen

Statens Serum Institut (SSI) skulle under COVID-19-pandemien give en ekspertgruppe adgang til persondata, herunder helbredsoplysninger, for at modellere scenarier for genåbning af samfundet. SSI vurderede selv, at dette indebar en moderat til høj risiko for de registrerede.

Den planlagte it-løsning var ikke klar, så adgangen blev midlertidigt etableret via SSI's SFTP-server i en såkaldt DMZ-zone, tilgængelig udefra med brugernavn og adgangskode. Risikovurderingen blev først påbegyndt i uge 16, og databehandleraftaler med eksperterne blev underskrevet i uge 17.

SSI's argumenter

  • SSI fremhævede den akutte situation og behovet for hurtige analyser.
  • De pegede på manglende interne ressourcer som en årsag til forsinkelser i risikovurdering og aftaleindgåelse.
  • SSI mente, at den valgte SFTP-server var en passende sikkerhedsforanstaltning under de givne omstændigheder.

Datatilsynets undersøgelse

Datatilsynet undersøgte sagen efter en henvendelse fra Sundheds- og Ældreministeriet. Tilsynet vurderede, om SSI havde overholdt databeskyttelsesforordningens krav til databehandling, især vedrørende sikkerhed, risikovurdering og databehandleraftaler. Datatilsynet vurderede også, om der var taget tilstrækkeligt hensyn til de registreredes rettigheder i den akutte situation.

Afgørelse

Datatilsynet udtalte alvorlig kritik af, at SSI's behandling af personoplysninger ikke var i overensstemmelse med Databeskyttelsesforordningen artikel 28, stk. 3, Databeskyttelsesforordningen artikel 32, stk. 1, Databeskyttelsesforordningen artikel 35, stk. 1 og Databeskyttelsesforordningen artikel 36, stk. 1.

Begrundelse

  • SSI havde ikke truffet passende tekniske og organisatoriske foranstaltninger for at sikre et tilstrækkeligt sikkerhedsniveau, jf. Databeskyttelsesforordningen § 32, stk. 1, da de valgte SFTP-løsningen med data placeret i DMZ.
  • SSI havde ikke foretaget en tilstrækkelig konsekvensanalyse inden behandlingen påbegyndtes, jf. Databeskyttelsesforordningen § 35, stk. 1, og havde ikke kontaktet Datatilsynet, selvom der var en høj risiko for de registrerede, jf. Databeskyttelsesforordningen § 36, stk. 1.
  • SSI havde ikke indgået databehandleraftaler med eksterne parter fra starten af projektet, jf. Databeskyttelsesforordningen § 28, stk. 3.

Datatilsynet anerkendte, at der var formildende omstændigheder pga. krisesituationen og samfundsinteressen, men fandt alligevel grundlag for alvorlig kritik.

Lignende afgørelser