Kritisable forhold ved Statens Serum Instituts COVID-19-modelleringsprojekt

Dato: 25-03-2021

På baggrund af en sag taget op af egen drift udtaler Datatilsynet alvorlig kritik af Statens Serum Institut for at påbegynde behandling af personoplysninger uden tilstrækkelig risikovurdering, konsekvensanalyse, høring af Datatilsynet, databehandleraftaler og passende sikkerhedsforanstaltninger.

Journalnummer: 2020-432-0044

Resume

I forbindelse med COVID-19-situationens eskalering i Danmark (februar-marts 2020) og den derpå følgende nedlukning af samfundet skulle Statens Serum Institut (SSI) stille persondata – i form af blandt andet helbredsoplysninger – til rådighed for en ekspertgruppe, der skulle regne på mulige scenarier for genåbning.

SSI havde selv vurderet, at risikoen for de registrerede var moderat til høj og konstateret, at der ved behandlingens start ikke var foretaget en fuldstændig kortlægning og vurdering af de risici, som behandlingen indebar. SSI vurderede, at dette i sig selv medførte en høj risiko for de registreredes rettigheder.

Den oprindeligt tiltænkte it-løsning for dataudvekslingen kunne dog ikke være klar hurtigt nok, hvorfor dataadgangen i uge 12 blev etableret på SSI's SFTP server, placeret bag en ydre firewall i en zone, der kunne tilgås af eksperterne udefra (også benævnt DMZ). Oplysningerne var placeret i dedikerede mapper, hvor eksperterne, der skulle have adgang, benyttede brugernavn og kendeord.

SSI har oplyst, at risikovurderingen grundet manglende interne ressourcer og situationen på tidspunktet først blev påbegyndt i uge 16, og at første version af en konsekvensanalyse forelå i uge 17. Databehandleraftaler med ekspertgruppens medlemmer blev ligeledes underskrevet i uge 17.

SSI påbegyndte ultimo 2019 en opnormering på databeskyttelsesområdet. Der var i februar-marts 2020 to stillinger til compliance (den ene var dog vakant). Der var opnormeret med yderligere otte stillinger til start 1. april. SSI har oplyst, at de benyttede ekstern bistand, da de konstaterede, at de manglede medarbejdere.

Datatilsynet fandt, at SSI allerede på det tidspunkt, hvor de – inden behandlingens påbegyndelse – havde indset, at denne indebar en høj risiko for de registreredes rettigheder, skulle have påbegyndt arbejdet med konsekvensanalysen. Dette særligt når det stod klart, at det hastede med at komme i gang med behandlingen. Tilsynet konstaterede endvidere, at det – når der er en indbygget høj risiko for de registreredes rettigheder – og denne risiko ikke er nedbragt gennem de initiativer som egentlig skulle udspringe af en konsekvensanalyse, alene er muligt at påbegynde behandlingen, når Datatilsynet er blevet hørt.

Datatilsynet konstaterede, at der først fem uger efter behandlingens påbegyndelse blev indgået de fornødne databehandleraftaler.

Datatilsynet konstaterede herudover, at der ved valget af den midlertidige løsning på SSIs SFTP server ikke var taget fornødent højde for risikoen for uautoriseret adgang til oplysningerne, særligt vurderet i forhold til oplysningernes karakter, interesse og evner hos de aktører, der måtte interessere sig for dem, og den valgte løsnings tekniske karakter. Tilsynet fandt derfor, at løsningen ikke havde det fornødne niveau af sikkerhed.

Datatilsynet fandt, at det var formildende omstændigheder, at behandlingen skulle etableres under en international krisesituation, at der forelå en væsentlig samfundsinteresse i den hurtige effektuering af behandlingen, og at SSI – dog – havde gjort sig overvejelser om den foreløbige fravigelse af de databeskyttelsesretlige regler og – i et vist omfang – havde forsøgt at afhjælpe disse.

På den baggrund blev sanktionen alene fastsat til alvorlig kritik.

Generelt er det Datatilsynets opfattelse, at manglende overholdelse af de retsværn, som forordningen forudsætter iagttaget for at nedbringe høje risici ved en given behandling, og at påbegyndelse af en sådan behandling uden høring af tilsynsmyndigheden, er en overtrædelse af betydelig grovhed. Særligt da en sådan metode underminerer den garanti, der ligger i, at tilsynsmyndigheden vurderer behandlingens fulde lovlighed, og at ingen ulovlig behandling med høj risiko for de registreredes rettigheder igangsættes. Den fastsatte sanktion i denne sag skal alene ses i lyset af den helt ekstraordinære situation, der herskede på det pågældende tidspunkt for den konkrete behandling.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor tilsynet – på baggrund af en henvendelse fra Sundheds- og Ældreministeriet – har valgt at undersøge Statens Serum Instituts (SSI) behandling af personoplysninger i forbindelse med COVID-modelleringsprojektet.

Datatilsynet bemærker indledningsvist, at Datatilsynet har forståelse for den akutte krisesituation, der var i perioden omkring uge 12 2020, og som SSI befandt sig i på tidspunktet forud for opstarten af behandlingen af personoplysningerne til brug for at belyse udviklingen af COVID-19 i Danmark. Datatilsynet har endvidere forståelse for, at der forelå en væsentlig samfundsinteresse i at følge udviklingen. Det er dog væsentligt at pointere, at Datatilsynet har en forventning om, at en institution som SSI, der igennem mange år har lavet adskillige behandlinger, der inkluderer et stort antal borgeres helbredsoplysninger, har en betydelig erfaring med databeskyttelsesretlige problemstillinger, og at dette slår igennem også i mere akutte situationer.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at SSI’s behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 28, stk. 3, artikel 32, stk. 1, artikel 35, stk. 1, og artikel 36, stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Datatilsynet modtog den 10. juni 2020 en henvendelse fra Sundheds- og Ældreministeriet. I henvendelsen orienterede Sundheds- og Ældreministeriet Datatilsynet om et notat fra SSI, dateret 15. maj 2020 vedrørende SSI’s afvigelse fra visse bestemmelser i databeskyttelsesforordningen i forbindelse med COVID-modelleringsprojektet.

Datatilsynet afgav den 6. august 2020 en udtalelse i sagen og anmodede SSI om en redegørelse for hændelsesforløbet.

På den baggrund sendte SSI den 27. august 2020 en udtalelse til Datatilsynet med oplysninger om hændelsesforløbet samt en kopi af instituttets risikovurdering og konsekvensanalyse.

Datatilsynet besluttede herefter at undersøge SSI’s behandling af personoplysninger i forbindelse med COVID-modelleringsprojektet, og hvorfor tilsynet den 28. september 2020 anmodede SSI om en udtalelse til brug for sagens behandling.

SSI fremsendte den 12. oktober 2020 en udtalelse i sagen.

2.1. SSI’s bemærkninger

SSI har generelt vedrørende COVID-modelleringsprojektet oplyst, at SSI i forbindelse med COVID-19 situationens eskalering i Danmark og den derpå følgende nedlukning af samfundet, blev bedt om at nedsætte en ekspertgruppe til at udføre en lang række statistiske undersøgelser, hvis resultater var afgørende for belysning af udviklingen af COVID-19 samt effekten af myndighedernes tiltag for at begrænse smittespredning i samfundet, herunder en analyse af, i hvilket tempo samfundet kunne ”genåbne”. SSI blev af Sundheds- og Ældreministeriet bedt om straks at påbegynde arbejdet samt at give ekspertgruppen adgang til de indledende datakilder, som SSI allerede behandlede i forbindelse med SSI’s myndighedsopgave.

SSI påbegyndte behandlingen af personoplysninger i uge 12 inden der var udarbejdet tilstrækkelige aftalegrundlag mellem SSI og ekspertgruppen, samt inden der var udarbejdet en risikovurdering og konsekvensanalyse. Dette skete på baggrund af en afvejning mellem behovet for hastig levering af analyser på grund af situationens akutte og alvorlige karakter set i forhold til de sundhedsmæssige og økonomiske konsekvenser for Danmark og kravet om dokumenteret databeskyttelsesretslig compliance.

Oplysningerne bestod på dette tidspunkt primært af oplysninger om COVID-19 prøvedata, sygehusbelægning i forhold til COVID-19 og oplysninger om tidlige symptomer, der af 1813 blev kategoriseret som influenzalignende symptomer. Derudover blev anonyme aggregerede oplysninger indlagt som parametre i de matematiske beregninger.

Der var ved projektets påbegyndelse endnu ikke foretaget en fuldstændig belysning af alle potentielle risici, herunder om der udestod eventuelle høje risici, hvilket ifølge SSI i sig selv udgjorde en høj risiko.

Risikoen for de registrerede blev vurderet som moderat til høj.

2.1.1.

SSI har vedrørende ekspertgruppens adgang til personoplysninger oplyst, at SSI generelt anvender Forskermaskinen hos Sundhedsdatastyrelsen (SDS) eller Danmarks Statistik til behandling af personoplysninger i forbindelse med videnskabelige og statistiske undersøgelser mv., og at det fra starten var påtænkt, at projektet skulle funderes på Forskermaskinen hos SDS eller et lignende sikkert analysemiljø.

Der var imidlertid behov for at påbegynde behandlingen straks og give ekspertgruppen adgang til at behandle oplysningerne, inden SSI i samarbejde med SDS kunne nå at etablere et miljø for projektet på Forskermaskinen.

Der blev derfor udarbejdet en midlertidig løsning, indtil projektet kunne rykkes ind på Forskermaskinen, hvor de relevante personer fra ekspertgruppen fra den 21. marts 2020 (søndag i uge 12) fik adgang til personoplysninger i pseudonymiseret form via en dedikeret modelgruppemappe på SSI’s sFTP-server. Samtidig med dette blev der arbejdet på at indgå databehandleraftaler med ekspertgruppens eksterne parter, hvilket blev forsinket på grund af flere forhold, bl.a. manglende interne ressourcer hos SSI.

Der viste sig imidlertid betydelige udfordringer med at etablere et passende miljø på Forskermaskinen, hvorfor den midlertidige løsning måtte bestå i længere tid end planlagt.

Databehandleraftalerne med ekspertgruppen blev udformet, så de både kunne omfatte den aktuelle løsning samt den fremtidige løsning på Forskermaskinen og blev underskrevet i uge 17.

Da projektet blev flyttet til Forskermaskinen, blev der i henhold til databehandleraftalerne iværksat sletning hos databehandlere, der havde haft adgang til personoplysninger hos sFTP-serveren.

2.1.2.

SSI har vedrørende udarbejdelse af en risikovurdering i forbindelse med projektet oplyst, at arbejdet med risikovurderingerne i projektets start har været udfordret af COVID-19 situationen, hvilket både besværliggjorde kommunikationen og påvirkede mængden af SSI’s interne ressourcer.

Løbende med etableringen af miljøet på Forskermaskinen hos SDS, udarbejdede SSI første udkast til en risikovurdering for projektet. Denne forelå i uge 17, men arbejdet med risikovurderingen påbegyndte i uge 16. SSI påbegyndte med bistand fra en ekstern konsulent med det samme opdatering af risikovurderingen i en version 0.3, som forelå i uge 18, idet SSI heller ikke i den henseende rådede over de fornødne ressourcer set i sammenhæng med den situation hele Sundheds- og Ældreministeriet og særligt SSI stod i i forbindelse med COVID-19. SSI arbejdede løbende med identificering af nye risici og implementering af sikkerhedsforanstaltninger i takt med projektets udvikling, og SSI anvender fortsat risikovurderingen som et værktøj i forbindelse med projektet.

2.1.3.

For så vidt angår anvendelse af sFTP-serveren, har SSI oplyst, at SSI har adresseret risikoen ved brug af sFTP-serveren i risikovurderingen.

SSI har også i konsekvensanalysen særligt vurderet risikoen for de registrerede i forbindelse med behandling af personoplysninger i perioden forud overgangen til Forskermaskinen.

Det er SSl's vurdering, at anvendelsen af sFTP-serveren til behandling af personoplysninger udgjorde en passende sikkerhedsforanstaltning. SSI har bl.a. i vurderingen lagt vægt på, at formålet med at anvende sFTP-serveren var at modtage, opbevare og give adgang til pseudonymiserede personoplysninger under iagttagelse af passende sikkerhedsforanstaltninger.

SSI har i den forbindelse bemærket, at SSI, under hensyn til karakteren af personoplysningerne, valgte at anvende en dedikeret sFTP-server frem for en almindelig FTP-server. Den anvendte løsning var godkendt af Sundheds- og Ældreministeriets sikkerhedsafdeling til behandling af følsomme personoplysninger.

SSI har endvidere oplyst, at sFTP-serveren er placeret i SSl's DMZ, at data krypteres i up­ og download, [Der er her ekstraheret i afgørelsens beskrivelse af produktvalg og funktionalitet].

Administratorerne af sFTP-serveren har endvidere ved hjælp af dedikerede mapper på sFTP-serveren sikret, at kun relevante datasæt blev delt med ekspertgruppen.

SSI har ud over de foranstaltninger, der fremgår af risikovurderingen og konsekvensanalysen implementeret følgende foranstaltninger:

  • Begrænsning af antallet af brugere og adgangsrettigheder
  • Pseudonymisering af personoplysninger efter SSl's faste proces
  • Implementering af politikker, retningslinjer og procedurer som angivet i SSl's brev af 27. august2020
  • Inddragelse af SSl's databeskyttelsesrådgiver
  • Rådgivning og bistand fra Kammeradvokaten
  • Allokererig af interne ressourcer til projektet
  • Etablering og opretholdelse af løbende dialog mellem SSI Compliance, projektdeltagere og databehandlere

I forhold til brug af Forskermaskinen, har SSI oplyst, at det er politisk besluttet, at behandling af personoplysninger i videnskabelig og statistisk øjemed bør ske ved brug af forskermaskiner. Brug af forskermaskiner indgår i politisk aftale "Bedre sundhed gennem moderne og sikker brug af data" fra 2017, hvoraf det bl.a. fremgår:

"På forskningsområdet skal den fysiske videregive/se af data så vidt muligt undgås, og der skal i størst muligt omfang anvendes fx pseudonymiserede data gennem øget brug af sikre forskermaskiner".

Det er således SSI’s holdning, at behandling af personoplysninger i en sådan form som projektet i videst mulig omfang bør ske på en såkaldt forskermaskine.

Det er SSl's vurdering, at sFTP-serveren ikke bidrager med samme grad af iboende sikkerhedsforanstaltninger som tilfældet er med Forskermaskinen i form af funktionalitet, it­ miljøer, oprettelsesproces for projekter, monitorering m.v.

Forskermaskinen har følgende iboende sikkerhedsforanstaltninger:

  • Central styring af brugeradgange og -rettigheder
  • Central Styring af applikationer og systemer, som kan anvendes til behandling af datasæt og registerdata
  • VPN-login til det opsatte it-miljø for projektet
  • Automatisk sletning af projekter indeholdende data ved projektudløb

2.1.4.

Angående varetagelse af databeskyttelsesretlige forhold i SSI, har SSI oplyst, at SSI på tidspunktet for projektets påbegyndelse havde én jurist til at håndtere databeskyttelsesretlige forhold, som var fuldt ud beskæftiget med COVID-19-relaterede behandlingsaktiviteter. SSI havde endvidere haft en yderligere jurist på området, men stillingen var i starten af 2020 ikke besat. De to jurister varetog sammen med SSI’s øvrige to jurister og it-sikkerhedsfunktionen opgaver i relation til databeskyttelse. Derudover var der på tidspunktet for projektets påbegyndelse ansat en CISO.

Erkendelse af det reelle omfang af behovet for flere ressourcer til at styrke databeskyttelse og informationssikkerhed hos SSI opstod løbende fra maj 2018 og frem, og SSI traf i 2019 beslutning om, at databeskyttelsesområdet skulle styrkes. SSI revurderer fortsat behovet.

Baggrunden for beslutningen var, at det i 2019 stod klart, at området skulle organiseres bedre og styrkes yderligere i form af yderligere ansættelser og oprettelse af en ny compliancesektion, hvis SSI skulle opnå et tilfredsstillende complianceniveau i forhold til databeskyttelse og informationssikkerhed. Beslutningen om yderligere rekruttering blev endeligt truffet den 17. december 2019, og organisering af afdelingen og ansættelse af yderligere medarbejdere blev påbegyndt herefter.

8 yderligere personer blev af denne grund rekrutteret med start 1. april 2020. Nedlukningen af samfundet betød imidlertid, at de nye medarbejdere, ligesom resten af landet, var hjemsendt og hermed ikke fysisk kunne starte på Campus. Visse medarbejdere var påvirket af, at daginstitutioner og skoler var lukket frem til efter påsken, hvor første fase af genåbning blev indledt.

SSI bestred således ikke på tidspunktet for projektets påbegyndelse tilstrækkelige ressourcer til at servicere projektet med en så kort deadline, og SSI valgte derfor at få juridisk bistand fra Kammeradvokaten, som allokerede 8 jurister til SSI til at hjælpe med COVID-19 projekter.

2.1.5.

SSI har vedrørende udarbejdelse af en konsekvensanalyse oplyst, at instituttet har vurderet, at der var behov for at udarbejde en konsekvensanalyse vedrørende behandling af personoplysninger i forbindelse med projektet.

De uafklarede forhold, der opstod i forhold til, om Forskermaskinen kunne honorere den regnekraft, som der var behov for, forsinkede konsekvensanalysen. SSI besluttede at færdiggøre konsekvensanalysen på baggrund af den eksisterende løsning. Den første version af konsekvensanalysen forelå i endelig form i uge 17. SSI påbegyndte med det samme opdatering af konsekvensanalysen i en version 2, som forelå i uge 20, hvor bl.a. forhold omkring anvendelse af Forskermaskinen blev beskrevet og vurderet. Derudover arbejdede SSI løbende med evaluering af forløbet i den mellemlæggende periode frem til overgangen til Forskermaskinen i forhold til risikoen for den registrerede. Den seneste version af konsekvensanalysen var på tidspunktet for SSI’s udtalelse fra uge 27.

SSI har i den forbindelse oplyst, at projektet har udviklet sig løbende, herunder i forhold til inddragelse af nye datakilder, og at der er gennemført mitigerende foranstaltninger.

Selvom der ikke forelå en endelig konsekvensanalyse forud for behandlingsaktivitetens begyndelse, har SSI siden uge 16 i forbindelse med brugen af risikovurderingsmodellen for sundhedssektoren løbende arbejdet på at identificere og vurdere risici for de registrerede, og der er implementeret følgende procedurer og retningslinjer:

  • Procedure for regelmæssig vurdering af proportionalitet og vurdering af nye datasæt (udarbejdet til ekspertgruppen) Intern procedure for regelmæssig vurdering af proportionalitet og vurdering af nye datasæt
  • Instruks for brug af videolink (udarbejdet til ekspertgruppen)
  • Intern procedure for videregivelse af oplysninger
  • Instruks for videregivelse af oplysninger (udarbejdet til ekspertgruppen)
  • Intern sletteprocedure
  • Vejledning vedr. brug af Forskermaskinen
  • Procedure for tilsyn med leverandører

3. Begrundelse for Datatilsynets afgørelse

3.1. Databeskyttelsesforordningens artikel 32, stk. 1

Datatilsynet lægger, i overensstemmelse med det af SSI oplyste, til grund, at SSI ved projektets påbegyndelse ikke havde foretaget en fuldstændig belysning af alle potentielle risici ved behandlingen, hvilket ifølge SSI i sig selv udgjorde en høj risiko, og at SSI generelt vurderer at risikoen for de registrerede i forbindelse med projektet er moderat til høj.

Endvidere lægger Datatilsynet, i overensstemmelse med det af SSI oplyste, til grund, at SSI ikke havde de fornødne interne ressourcer til at servicere projektet med en så kort deadline, herunder til at udarbejde databehandleraftaler, risikovurdering og konsekvensanalyse inden projektets påbegyndelse, og at behandlingen af personoplysninger i forbindelse med projektet efter SSI’s vurdering burde være sket på Forskermaskinen fra påbegyndelse af projektet.

Datatilsynet lægger herudover, i overensstemmelse med det af SSI forklarede, til grund, at såvel sFTP-server som data, har været placeret i DMZ.

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandling af personoplysninger.

Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Datatilsynet finder, at SSI, ved at påbegynde behandlingen af personoplysninger på et set-up, der i SSI’s oprindelige vurdering ikke var passende for behandlingen, alene kunne fravige denne vurdering, såfremt den midlertidigt valgte løsning udgjorde passende sikkerhedsforanstaltninger. Det er Datatilsynets vurdering, at den valgte sFTP-løsning, særligt ved dens placering af data i DMZ, forhold omkring adgangskontrol, oplysningernes karakter og antal, og den reelle risiko for uautoriseredes interesse i de pågældende data, ikke udgjorde en passende sikkerhedsforanstaltning, dette særligt sammenholdt med, at SSI oplyser ikke at have haft de fornødne ressourcer allokeret til at varetage databeskyttelsesretlige vurderinger rettidigt i processen. Datatilsynet finder derfor, at SSI ikke har efterlevet databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet har herved lagt vægt på, at SSI ved behandlingens påbegyndelse vurderede, at den manglende belysning af alle potentielle risici udgjorde en høj risiko, og at SSI generelt har vurderet, at behandlingen medfører en moderat til høj risiko for de registrerede, hvilket sammenholdt med, at der er tale om helbredsoplysninger om et betydeligt antal registrerede, burde have ført til, at SSI allerede fra behandlingens påbegyndelse kunne have implementeret et til vurderingen passende sikkerhedsniveau.

Datatilsynet har endvidere lagt vægt på det af SSI oplyste om, at SSI ikke havde de fornødne interne ressourcer inden projektets påbegyndelse til at servicere projektet, herunder til at udarbejde databehandleraftaler, risikovurdering og konsekvensanalyse, hvorfor disse først blev udarbejdet efter behandlingen af data i projektet blev påbegyndt.

Herudover har Datatilsynet lagt vægt på SSI’s vurdering af, at behandling af personoplysninger i forbindelse med projektet fra påbegyndelsen burde være sket på Forskermaskinen.

Det er Datatilsynets opfattelse, at al information og systemer, der placeres i en DMZ, potentielt er eksponeret for udefrakommende adgangsforsøg. Endvidere er det tilsynets opfattelse, at det henset til SSI’s status som forskningsinstitution, den verdensomspændende bevågenhed omkring datamateriale om COVID-19 og de reelle trusler om uautoriseret adgang, herunder den af SSI identificerede høje risiko for de registrerede, som minimum burde have ført til, at oplysningerne var blevet lagt på indersiden af en firewall, der alene gav adgang for et begrænset antal brugere eventuelt verificeret på givne IP-adresser eller på baggrund af et certifikat eller anden kvalificeret credential.

På den baggrund og efter en samlet vurdering af de oplyste forhold omkring behandlingen af personoplysninger i forbindelse med projektet, finder Datatilsynet, at SSI ikke har indført passende tekniske og organisatoriske foranstaltninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet har noteret sig, at SSI efterfølgende har indført organisatoriske og tekniske foranstaltninger, bl.a. i form af yderligere ansættelser på det databeskyttelsesretlige område, og flytning af projektet til Forskermaskinen i overensstemmelse med den udarbejdede risikovurdering og de mitigerende foranstaltninger anført i den efterfølgende konsekvensanalyse.

3.2. Databeskyttelsesforordningens artikel 35, stk. 1 og artikel 36, stk. 1

Det fremgår af sagen, at SSI allerede før behandlingens påbegyndelse vurderede, at behandlingen indebar en høj risiko for de registrerede, og at der var behov for at udarbejde en konsekvensanalyse vedrørende behandling af personoplysninger i forbindelse med projektet.

Det fremgår endvidere af sagen, at konsekvensanalysen forelå i endelig form i uge 17, og at konsekvensanalysen løbende opdateres i takt med, at projektet udvikler sig.

Det følger af databeskyttelsesforordningens artikel 35, stk. 1, at hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang sammenhæng og formål sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.

Videre følger det af databeskyttelsesforordningens artikel 36, at den dataansvarlige hører tilsynsmyndigheden, inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse foretaget i henhold til artikel 35 viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen. En sådan konsekvensanalyse skal altid foretages, inden behandlingen påbegyndes.

Det er Datatilsynets opfattelse, at SSI allerede ved konstateringen af den høje risiko, velvidende, at det var vigtigt at påbegynde behandlingerne hurtigt, skulle have påbegyndt udarbejdelsen af en konsekvensanalyse. Såfremt SSI var af den overbevisning, at en sådan ikke kunne gennemføres, inden behandlingens påbegyndelse, kunne behandlingen alene være sket efter iagttagelse af principperne i databeskyttelsesforordningens artikel 36.

Datatilsynet har som sagt forståelse for, at der var en betydelig samfundsmæssig interesse i, at behandlingen blev påbegyndt hurtigt. Det er dog tilsynets opfattelse, at det i perioden fra den høje risiko blev konstateret, og indtil behandlingen blev påbegyndt, for en aktør som SSI, der i det daglige har utallige behandlinger med følsomme data og iboende høje risici, burde have været muligt, at konstatere, at betingelserne i artikel 35 og 36 var opfyldt, særligt henset til valget af en erkendt mindre sikker løsning.

Datatilsynet har navnlig inddraget det i sin vurdering, at formålet med en konsekvensanalyse er, at fastslå de konkrete risici der er ved behandlingen for de registreredes rettigheder og frihedsrettigheder og dermed sikre, at der, inden behandlingen påbegyndes, fastlægges foranstaltninger til at afhjælpe disse risici og nedbringe risikoen til et niveau, der er mindre end højt.

Ved – i en situation hvor der var erkendt en høj risiko for de registreredes rettigheder – ikke at have udarbejdet en konsekvensanalyse inden behandlingernes påbegyndelse, har SSI handlet i strid med databeskyttelsesforordningens artikel 35, stk. 1.

Ved ikke at have kontaktet Datatilsynet ved konstateringen af, at de manglende foranstaltninger medførte, at behandlingen havde en høj risiko for de registreredes rettigheder og frihedsrettigheder og alligevel at påbegynde behandlingen med den iboende høje risiko, har SSI endvidere handlet i strid med databeskyttelsesforordningens artikel 36, stk. 1.

Datatilsynet har særligt lagt vægt på, at beskyttelseshensynet i artikel 36 er, at en dataansvarlig ikke påbegynder en behandling, der har erkendte umitigerede høje risici for de registreredes rettigheder, uden at høre den kompetente tilsynsmyndighed først.

Datatilsynet har noteret sig, at SSI efterfølgende har udarbejdet en konsekvensanalyse.

3.3. Databeskyttelsesforordningens artikel 28, stk. 3

Datatilsynet lægger ud fra sagens oplysninger til grund, at SSI har vurderet, at ekspertgruppens eksterne parter i forbindelse med projektet har behandlet personoplysninger som databehandlere for SSI.

Datatilsynet lægger endvidere til grund, at ekspertgruppen fra den 21. marts 2020 har haft adgang til at behandle personoplysninger, og at der først i uge 17 2020 blev indgået databehandleraftaler.

Det fremgår af databeskyttelsesforordningens artikel 28, stk. 3, at en databehandlers behandling skal være reguleret af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og der fastsætter genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder

Datatilsynet finder på baggrund af ovenstående, at SSI ved ikke at have indgået databehandleraftaler med sine databehandlere fra projektets påbegyndelse har handlet i strid med databeskyttelsesforordningens artikel 28, stk. 3.

Datatilsynet har noteret sig, at SSI efterfølgende har indgået databehandleraftaler med instituttets databehandlere i det omhandlede projekt.

3.4. Sammenfatning

På ovenstående baggrund finder Datatilsynet, at der samlet set er grundlag for at udtale alvorlig kritik af, at SSI’s behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 28, stk. 3, artikel 32, stk. 1, artikel 35, stk. 1, og artikel 36, stk. 1.

Datatilsynet har ved valget af sanktion i skærpende retning lagt vægt på behandlingens karakter og omfang, og at SSI som rutineret aktør på området må forventes at have betydelig erfaring med løsning af databeskyttelsesretlige problemstillinger, som de i sagen omhandlende.

Datatilsynet har i formildende retning lagt vægt på, at behandlingen er sket i forbindelse med en krisesituation, at der forelå en væsentlig samfundsinteresse i den hurtige effektuering af behandlingen, og at SSI – dog – har gjort sig overvejelser om den foreløbige fravigelse af de databeskyttelsesretlige regler og – i et vist omfang – har forsøgt at afhjælpe fravigelserne. Herudover har SSI, efterfølgende foretaget organisatoriske tilpasninger til databeskyttelsesforordningens overholdelse samt bistået Datatilsynet ved opklaring af sagens fakta.