Datatilsynet har politianmeldt Charlottenlund Lægehus Medicals Nordic I/S (”Medicals Nordic”) for at have behandlet fortrolige oplysninger og helbredsoplysninger om borgere i forbindelse med COVID-19 tests, uden at virksomheden havde etableret den fornødne sikkerhed omkring behandlingen af oplysningerne. Datatilsynet har indstillet til en bøde på 600.000 kr.
"Vi ser med stor alvor på sagen, fordi det drejer sig om følsomme oplysninger. Når man bliver betroet at behandle borgernes helbredsoplysninger, følger der et ansvar med for at passe rigtig godt på dem, og det har man altså ikke gjort i dette tilfælde", forklarer Allan Frank, jurist og it-sikkerhedsspecialist i Datatilsynet.
Datatilsynet blev i januar 2021 opmærksom på, at Medicals Nordic anvendte applikationen WhatsApp til transmission af fortrolige oplysninger og helbredsoplysninger om borgere, der blev testet i virksomhedens testcentre.
Datatilsynet indledte på den baggrund en sag af egen drift, der bl.a. skulle afklare, om Medicals Nordic havde gennemført passende organisatoriske og tekniske sikkerhedsforanstaltninger i forbindelse med transmission af borgernes oplysninger.
Datatilsynet fandt i den forbindelse, at Medicals Nordic i en række forhold ikke havde etableret passende sikkerhedsforanstaltninger.
Utilstrækkelige sikkerhedsforanstaltninger
Medarbejdere hos Medicals Nordic anvendte deres private telefoner til at transmittere fortrolige oplysninger om borgere til virksomhedens centrale administration gennem applikationen WhatsApp. I den forbindelse havde Medicals Nordic oprettet en WhatsApp-gruppe for hvert af de fire testcentre, som virksomheden drev.
Alle medarbejdere, der arbejdede i et testcenter, blev inviteret til den WhatsApp-gruppe, der hørte til testcenteret. Medlemmerne af de pågældende WhatsApp-grupper modtog alle de beskeder, som andre medarbejdere transmitterede i grupperne.
Det betød at medarbejdere, der efter Datatilsynets vurdering ikke havde et arbejdsbetinget behov for at behandle oplysninger - som andre medarbejdere skulle transmittere til den centrale administration - alligevel modtog oplysningerne, der bl.a. omfattede personnummer og helbredsoplysninger om borgere.
En utilstrækkelig adgangsstyring af grupperne medførte yderligere, at medarbejdere, der ikke længere var ansat, ikke blev fjernet fra WhatsApp-grupperne, hvorfor de fortsat kunne tilgå de oplysninger, der blev transmitteret i grupperne.
Hvorfor politianmeldelse?
Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.
Datatilsynet har ved vurderingen af, at der bør idømmes en bøde, lagt vægt på, at fortrolige oplysninger og helbredsoplysninger om et stort antal borgere er blevet behandlet usikkert og videregivet til uvedkommende, herunder medarbejdere, der ikke havde et arbejdsbetinget behov for at modtage oplysningerne. Ydermere er der også tale om medarbejdere, som ikke længere var ansat i virksomheden.
Datatilsynet har derudover lagt vægt på, at overtrædelserne i flere tilfælde efter tilsynets vurdering er sket forsætligt, idet Medicals Nordic bl.a. ikke havde foretaget de fornødne risikovurderinger i forbindelse med behandlingen.