Medicals Nordic I/S indstillet til bøde

Dato: 09-07-2021

Datatilsynet vurderer, at en kviktestudbyder ikke havde gennemført passende sikkerhedsforanstaltninger ved behandling af fortrolige oplysninger og helbredsoplysninger i forbindelse med COVID-19 tests.

Datatilsynet har politianmeldt Charlottenlund Lægehus Medicals Nordic I/S (”Medicals Nordic”) for at have behandlet fortrolige oplysninger og helbredsoplysninger om borgere i forbindelse med COVID-19 tests, uden at virksomheden havde etableret den fornødne sikkerhed omkring behandlingen af oplysningerne. Datatilsynet har indstillet til en bøde på 600.000 kr.

"Vi ser med stor alvor på sagen, fordi det drejer sig om følsomme oplysninger. Når man bliver betroet at behandle borgernes helbredsoplysninger, følger der et ansvar med for at passe rigtig godt på dem, og det har man altså ikke gjort i dette tilfælde", forklarer Allan Frank, jurist og it-sikkerhedsspecialist i Datatilsynet.

Datatilsynet blev i januar 2021 opmærksom på, at Medicals Nordic anvendte applikationen WhatsApp til transmission af fortrolige oplysninger og helbredsoplysninger om borgere, der blev testet i virksomhedens testcentre.

Datatilsynet indledte på den baggrund en sag af egen drift, der bl.a. skulle afklare, om Medicals Nordic havde gennemført passende organisatoriske og tekniske sikkerhedsforanstaltninger i forbindelse med transmission af borgernes oplysninger.

Datatilsynet fandt i den forbindelse, at Medicals Nordic i en række forhold ikke havde etableret passende sikkerhedsforanstaltninger.

Utilstrækkelige sikkerhedsforanstaltninger

Medarbejdere hos Medicals Nordic anvendte deres private telefoner til at transmittere fortrolige oplysninger om borgere til virksomhedens centrale administration gennem applikationen WhatsApp. I den forbindelse havde Medicals Nordic oprettet en WhatsApp-gruppe for hvert af de fire testcentre, som virksomheden drev.

Alle medarbejdere, der arbejdede i et testcenter, blev inviteret til den WhatsApp-gruppe, der hørte til testcenteret. Medlemmerne af de pågældende WhatsApp-grupper modtog alle de beskeder, som andre medarbejdere transmitterede i grupperne.

Det betød at medarbejdere, der efter Datatilsynets vurdering ikke havde et arbejdsbetinget behov for at behandle oplysninger - som andre medarbejdere skulle transmittere til den centrale administration - alligevel modtog oplysningerne, der bl.a. omfattede personnummer og helbredsoplysninger om borgere.

En utilstrækkelig adgangsstyring af grupperne medførte yderligere, at medarbejdere, der ikke længere var ansat, ikke blev fjernet fra WhatsApp-grupperne, hvorfor de fortsat kunne tilgå de oplysninger, der blev transmitteret i grupperne.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.

Datatilsynet har ved vurderingen af, at der bør idømmes en bøde, lagt vægt på, at fortrolige oplysninger og helbredsoplysninger om et stort antal borgere er blevet behandlet usikkert og videregivet til uvedkommende, herunder medarbejdere, der ikke havde et arbejdsbetinget behov for at modtage oplysningerne. Ydermere er der også tale om medarbejdere, som ikke længere var ansat i virksomheden.

Datatilsynet har derudover lagt vægt på, at overtrædelserne i flere tilfælde efter tilsynets vurdering er sket forsætligt, idet Medicals Nordic bl.a. ikke havde foretaget de fornødne risikovurderinger i forbindelse med behandlingen.

 

Kan jeg få aktindsigt i sagen?

Retten til aktindsigt omfatter ikke sager inden for strafferetsplejen. Man kan derfor som klart udgangspunkt ikke få aktindsigt i sagen eller sagens dokumenter.

Læs mere om aktindsigt i straffesager her

Fakta

Bødestraffe efter GDPR

I de fleste europæiske lande kan de nationale datatilsynsmyndigheder selv udstede administrative bøder for overtrædelse af de fælles europæiske regler i databeskyttelsesforordningen (GDPR). I Danmark skal bødestraffe efter forordningen indtil videre afgøres ved domstolene.  

Datatilsynet kan indstille både private aktører og offentlige myndigheder til bødestraf. I forbindelse med anmeldelsen af sagen til politiet vurderer Datatilsynet bødens størrelse, og det er herefter op til politi og anklagemyndighed at rejse tiltale og føre straffesagen ved domstolene.

En bøde skal efter reglerne være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet inddrager derfor en række hensyn og afvejninger i både skærpende og formildende retning, når tilsynet udtaler sig om bødens størrelse. Du kan læse mere om, hvad Datatilsynet lægger vægt på i de vejledninger om bødefastsættelse, som tilsynet har udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, samt i Det Europæiske Databeskyttelsesråds vejledning om bødefastsættelse. 

Det er forudsat i reglerne, at bødeniveauet for offentlige myndigheder generelt er lavere end for private aktører.

Se en oversigt over bødeindstillinger efter GDPR