Sundhedsdatastyrelsen kritiseres for manglende kontrol med personoplysninger i it-udviklingsmiljø

Sundhedsdatastyrelsen har fået kritik af Datatilsynet efter en hændelse, hvor en medarbejder i strid med interne retningslinjer gemte et datasæt med pseudonymiserede personoplysninger i et udviklingsmiljø (Microsoft Azure DevOps). Datasættet indeholdt følsomme helbredsoplysninger om borgere i Region Hovedstaden, der kunne identificeres af medarbejdere med adgang til Sygehusmedicinsregisteret.

Sagens kerne

• Datasættet lå i udviklingsmiljøet fra juni 2020 til maj 2021, før det blev opdaget.
• Sundhedsdatastyrelsen oplyste, at datasæt i dette miljø normalt ikke kontrolleres for personoplysninger, og at tekniske foranstaltninger til at forhindre lignende fejl ikke er mulige.
• Datatilsynet vurderede, at Sundhedsdatastyrelsen ikke havde tilstrækkelige kontroller for at sikre, at personoplysninger ikke blev opbevaret i systemet, hvilket er et brud på reglerne om behandlingssikkerhed.
• Tilsynet understregede, at dataansvarlige skal etablere manuelle eller automatiske kontroller for at undgå opbevaring af personoplysninger i uautoriserede it-miljøer.
• Retningslinjer alene er ikke tilstrækkelige uden regelmæssig kontrol af, om de overholdes.
• Det agile udviklingsmiljø (DevOps) øger risikoen for fejlopbevaring af personoplysninger.

Datatilsynet har efterfølgende sendt en høring til Sundhedsdatastyrelsen den 22. juni 2021, som Sundhedsdatastyrelsen besvarede den 8. juli 2021. Det fremgår, at både interne og eksterne konsulenter bliver instrueret i gældende procedurer, der fremgår af styrelsens udviklingshåndbog, som bl.a. beskriver, hvilke informationer der må opbevares i DevOps, herunder, at der ikke må opbevares personoplysninger – ud over navne på sagsbehandlere mv. i forbindelse med opgavestyring – i DevOps.

Afgørelse

Datatilsynet udtaler kritik af Sundhedsdatastyrelsen for ikke at have overholdt databeskyttelsesforordningens artikel 32, stk. 1, vedrørende passende sikkerhedsniveau for behandling af personoplysninger.

Begrundelse

• Sundhedsdatastyrelsen har ikke ført tilstrækkelig kontrol med, om personoplysninger utilsigtet opbevares i miljøer, hvor de kan blive tilgængelige for uvedkommende.
• Der er ikke etableret passende organisatoriske eller tekniske sikkerhedsforanstaltninger, som f.eks. regelmæssig teknisk gennemgang eller manuel kontrol af DevOps-miljøet.
• Hændelsen omfatter særlige kategorier af personoplysninger om et stort antal borgere og har varet i ca. et år.

Formildende omstændigheder

• Personoplysningerne var pseudonymiserede.
• Oplysningerne var kun tilgængelige for betroede medarbejdere.