Innlent

Stjórnvaldssektin með þeim hærri í sögu Persónuverndar

Margrét Helga Erlingsdóttir skrifar
Alma Möller landlæknir segir starfsfólk embættisins hafi komið fram af heilindum og hafnar því að það hafi gefið misvísandi upplýsingar við vinnslu málsins. Það hafi gefið bestu mögulegu upplýsingar sem tiltækar voru á hverjum tíma. 
Alma Möller landlæknir segir starfsfólk embættisins hafi komið fram af heilindum og hafnar því að það hafi gefið misvísandi upplýsingar við vinnslu málsins. Það hafi gefið bestu mögulegu upplýsingar sem tiltækar voru á hverjum tíma. 

Landlæknisembættinu hefur verið gert að greiða um tólf milljónir króna í sekt fyrir að hafa ekki tryggt öryggi persónuupplýsinga á hluta vefsvæðis Heilsuveru með fullnægjandi hætti. Úrskurður Persónuverndar var birtur í dag en málið sjálft er um þriggja ára gamalt.

Í tilkynningu frá Persónuvernd segir að Embætti landlæknis hefði tilkynnt um öryggisbrest þegar tveir einstaklingar náðu að sjá sögn sem þeim voru óviðkomandi. Annars vegar var það vegna veikleika í skilaboðahluta Heilsuveru sem fól í sér að með breytingu á tengistreng gat innskráður notandi nálgast óviðkomandi skilaboð sem gátu verið persónugreinanleg.

Hins vegar var það vegna veikleika sem gerði innskráðum notendum í mæðraverndarhluta Heilsuveru, sem fengið höfðu aðgang að sónarmynd úr sjúkraskrárkerfi annarrar af tveimur heilbrigðisstofnunum, kleift að sjá viðhengi annarra einstaklinga í sjúkraskrárkerfi viðkomandi stofnunar með breytingu á vefslóð.

„Það er óumdeilt að það var til staðar öryggisveikleiki í afmörkuðum hlutum Heilsuveru. Við lítum það auðvitað alvarlegum augum og hörmum það en á það ber að líta að það var strax brugðist við og það var búið að lagfæra þennan veikleika og yfirfara hann af öryggisaðila fimm klukkutímum eftir að hann uppgötvaðist,“ segir Alma Möller landlæknir.

Viss atriði voru metin til málsbóta, þar á meðal þær öryggisráðstafanir sem viðhafðar eru í Heilsuveru almennt en í úrskurði segir að í ljósi viðkvæms eðlis upplýsinganna hafi ákvörðun um sektarálagningu verið tekin.

„Það fóru engar persónuupplýsingar til óviðkomandi aðila. Þetta voru vinveittir aðilar, ef svo má segja, sem uppgötvuðu þennan öryggisbrest og tilkynntu hann. Þannig að það hlaust enginn skaði af, sem betur fer.“

Þá segir í úrskurði að starfsfólk Landlæknisembættisins hafi gefið Persónuvernd misvísandi og efnislega ranga skýringu við rannsókn málsins. Því hafnar embættið.

„Málið, það lá ekkert ljóst fyrir frá fyrstu byrjun. Þetta eru náttúrulega rúm þrjú ár síðan og svo komu atriði í ljós við síðari rannsókn þannig að við vorum alltaf að gefa upplýsingar miðað við þær forsendur sem við höfðum á hverjum tíma og að sjálfsögðu hefur embættið ekki reynt að villa um fyrir persónuvernd með nokkrum hætti,“ segir Alma.

Alma kvaðst ekki geta sagt til um það á þessari stundu hvort embættið muni leita til dómstóla vegna málsins en að á næstu dögum muni embættið fara ítarlega yfir forsendur og niðurstöðu ákvörðunarinnar. Alma fullyrðir að heilsufarsupplýsingar landsmanna á heilsuveru séu nú eins öruggar og mögulegt sé.

Upphæð stjórnvaldssektarinnar er fremur há en Helga Sigríður Þórhallsdóttir, sviðsstjóri eftirlits hjá Persónuvernd, segir það vera í ljósi þess hversu viðkvæmar persónuupplýsingarnar eru sem undir eru í málinu.

„Þessi sekt er vissulega há í samanburði við fyrri sektir Persónuverndar,“ segir Helga og bætir við.

„Við ákvörðun fjárhæðarinnar var horft bæði í þá þætti sem voru íþyngjandi og líka þau atriði sem metin voru til málsbóta, en sem dæmi um hið síðarnefnda má nefna að embætti landlæknis brást hratt við þegar veikleikinn uppgötvaðist og svo var litið til þeirra öryggisráðstafana sem almennt eru viðhafðar í Heilsuveru. Á hinn bóginn vegur þungt í þessu tilviki að hér var um að ræða bæði víðtækar og viðkvæmar persónuupplýsingar sem náðu til mikils fjölda einstaklinga yfir langt tímabil, og þær voru ekki nægilega vel varðar fyrir aðgangi óviðkomandi aðila. Persónuvernd ber einnig að líta til umfangs samvinnu við stofnunina við álagningu sekta og þar höfðu jafnframt áhrif misvísandi og efnislega rangar skýringar sem bárust Persónuvernd á meðan á rannsókninni stóð, eins og nánar er rakið í ákvörðuninni,“ segir Helga.


Tengdar fréttir

Land­læknir sektaður vegna öryggis­brests í Heilsu­veru

Em­bætti land­læknis harmar að al­var­legur öryggis­veik­leiki hafi verið til staðar í af­mörkuðum hluta mæðra­verndar og sam­skipta­hluta á Mínum síðum á vef­svæðinu Heilsu­vera.is. Em­bættið hefur sent frá sér til­kynningu þar sem stað­hæfingum Per­sónu­verndar um að em­bættið hafi gefið mis­vísandi og villandi upp­lýsingar við með­ferð málsins er hafnað. Em­bættið er sektað um tólf milljónir króna vegna málsins.

Land­læknir tryggði ekki öryggi upp­lýsinga í lyfja­gátt

Persónuvernd hefur komist að þeirri niðurstöðu að embætti landlæknis hefði ekki tryggt öryggi persónuupplýsinga í lyfjaávísanagátt með viðeigandi hætti. Byggðist það á skorti á rekjanleika uppflettinga í gáttinni. Þrátt fyrir ábyrgð lyfjabúða er sjálfstæð skylda talin hvíla á embættinu sem rekur gáttina.




Fleiri fréttir

Sjá meira


×