Stjórnvaldssektin með þeim hærri í sögu Persónuverndar

Í tilkynningu frá Persónuvernd segir að Embætti landlæknis hefði tilkynnt um öryggisbrest þegar tveir einstaklingar náðu að sjá sögn sem þeim voru óviðkomandi. Annars vegar var það vegna veikleika í skilaboðahluta Heilsuveru sem fól í sér að með breytingu á tengistreng gat innskráður notandi nálgast óviðkomandi skilaboð sem gátu verið persónugreinanleg.

Hins vegar var það vegna veikleika sem gerði innskráðum notendum í mæðraverndarhluta Heilsuveru, sem fengið höfðu aðgang að sónarmynd úr sjúkraskrárkerfi annarrar af tveimur heilbrigðisstofnunum, kleift að sjá viðhengi annarra einstaklinga í sjúkraskrárkerfi viðkomandi stofnunar með breytingu á vefslóð.

„Það er óumdeilt að það var til staðar öryggisveikleiki í afmörkuðum hlutum Heilsuveru. Við lítum það auðvitað alvarlegum augum og hörmum það en á það ber að líta að það var strax brugðist við og það var búið að lagfæra þennan veikleika og yfirfara hann af öryggisaðila fimm klukkutímum eftir að hann uppgötvaðist,“ segir Alma Möller landlæknir.

Viss atriði voru metin til málsbóta, þar á meðal þær öryggisráðstafanir sem viðhafðar eru í Heilsuveru almennt en í úrskurði segir að í ljósi viðkvæms eðlis upplýsinganna hafi ákvörðun um sektarálagningu verið tekin.

„Það fóru engar persónuupplýsingar til óviðkomandi aðila. Þetta voru vinveittir aðilar, ef svo má segja, sem uppgötvuðu þennan öryggisbrest og tilkynntu hann. Þannig að það hlaust enginn skaði af, sem betur fer.“

Þá segir í úrskurði að starfsfólk Landlæknisembættisins hafi gefið Persónuvernd misvísandi og efnislega ranga skýringu við rannsókn málsins. Því hafnar embættið.

„Málið, það lá ekkert ljóst fyrir frá fyrstu byrjun. Þetta eru náttúrulega rúm þrjú ár síðan og svo komu atriði í ljós við síðari rannsókn þannig að við vorum alltaf að gefa upplýsingar miðað við þær forsendur sem við höfðum á hverjum tíma og að sjálfsögðu hefur embættið ekki reynt að villa um fyrir persónuvernd með nokkrum hætti,“ segir Alma.

Alma kvaðst ekki geta sagt til um það á þessari stundu hvort embættið muni leita til dómstóla vegna málsins en að á næstu dögum muni embættið fara ítarlega yfir forsendur og niðurstöðu ákvörðunarinnar. Alma fullyrðir að heilsufarsupplýsingar landsmanna á heilsuveru séu nú eins öruggar og mögulegt sé.

Upphæð stjórnvaldssektarinnar er fremur há en Helga Sigríður Þórhallsdóttir, sviðsstjóri eftirlits hjá Persónuvernd, segir það vera í ljósi þess hversu viðkvæmar persónuupplýsingarnar eru sem undir eru í málinu.

„Þessi sekt er vissulega há í samanburði við fyrri sektir Persónuverndar,“ segir Helga og bætir við.

„Við ákvörðun fjárhæðarinnar var horft bæði í þá þætti sem voru íþyngjandi og líka þau atriði sem metin voru til málsbóta, en sem dæmi um hið síðarnefnda má nefna að embætti landlæknis brást hratt við þegar veikleikinn uppgötvaðist og svo var litið til þeirra öryggisráðstafana sem almennt eru viðhafðar í Heilsuveru. Á hinn bóginn vegur þungt í þessu tilviki að hér var um að ræða bæði víðtækar og viðkvæmar persónuupplýsingar sem náðu til mikils fjölda einstaklinga yfir langt tímabil, og þær voru ekki nægilega vel varðar fyrir aðgangi óviðkomandi aðila. Persónuvernd ber einnig að líta til umfangs samvinnu við stofnunina við álagningu sekta og þar höfðu jafnframt áhrif misvísandi og efnislega rangar skýringar sem bárust Persónuvernd á meðan á rannsókninni stóð, eins og nánar er rakið í ákvörðuninni,“ segir Helga.