Journalnummer: 2021-442-14071
Resume
På baggrund af et anmeldt brud på persondatasikkerheden udtaler Datatilsynet nu alvorlig kritik af Sundhedsdatastyrelsen.
Bruddet opstod, da en kodeændring i Sundhedsplatformen (SP), hvor Region Hovedstaden er dataansvarlig, medførte utilsigtede ændringer i det Fælles Medicinkort (FMK), hvor Sundhedsdatastyrelsen er dataansvarlig. Fejlen betød, at fjernelse af doseringsslutdatoen for 267 personer på det Fælles Medicinkort ikke slog igennem til Sundhedsplatformen.
Som dataansvarlig for FMK har Sundhedsdatastyrelsen en forpligtelse til at træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved styrelsens behandling af personoplysninger i FMK.
Denne forpligtelse indebærer, at Sundhedsdatastyrelsen som udgangspunkt bør teste alle sandsynlige fejlscenarier i forbindelse med udvikling og ændring af software i FMK. I tilfælde, hvor en tredjepart som Region Hovedstaden kan lave ændringer, er Sundhedsdatastyrelsen som dataansvarlig for FMK også ansvarlig for, at disse ændringer bliver testet.
Det er ikke sket i dette tilfælde, og dermed har Sundhedsdatastyrelsen efter Datatilsynets opfattelse ikke levet op til kravet om passende sikkerhed.
Tilsynet afgjorde i februar i år en lignende sag, hvor en kodeændring i SP medførte utilsigtede ændringer i FMK. I den sag var det tilsynets vurdering, at Region Hovedstaden som dataansvarlig for SP bar ansvaret for sikkerhedsbruddene.
I sager, hvor flere aktører udveksler data i en servicebaseret arkitektur, ser Datatilsynet ofte konsekvenser i andre systemer, end der, hvor ændringen er sket.
Hver dataansvarlig skal for sine egne systemer fastsætte fornødne retningslinjer og procedurer for, hvordan ændringer i kildesystemer, som andre er dataansvarlige for, skal kunne få gennemslagskraft. Særligt skal der være procedurer for servicevinduer, change management, designkrav, test af funktionalitet og dataintegritet.
Datatilsynet har i forhold til de tidligere afgjorte sager fundet det væsentligt at fastslå, at også en manglende robusthed og manglende integritetstest i FMK er udtryk for et manglende niveau af sikkerhed.
I denne afgørelse har Datatilsynet endvidere nævnt en række tiltag, som alle dataansvarlige i servicearkitekturen skal overveje at implementere. Hyppigheden af fejl i den valgte arkitektur er alt for høj i forhold til risikoen for de borgere, hvis oplysninger bliver behandlet. Og disse fejl kan kun udbedres, hvis alle dataansvarlige i datakæden aktivt samarbejder om den fornødne robusthed og samlede sikkerhed i hele løsningen.
Sundhedsdatastyrelsen overskred endvidere fristen på 72 timer for at anmelde et sikkerhedsbrud – styrelsen blev bekendt med bruddet d. 9. august 2021, men meldte det først til Datatilsynet d. 13. august 2021.
På den baggrund fandt Datatilsynet grundlag for at udtale alvorlig kritik.
Afgørelse
Datatilsynet vender hermed tilbage til sagen, hvor Sundhedsdatastyrelsen den 13. august 2021 har anmeldt et brud på persondatasikkerheden til Datatilsynet. Anmeldelsen har følgende referencenummer:
1eccb61d9b5ce4af09fd076d68784708b860ba53.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Sundhedsdatastyrelsens behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1 og artikel 33, stk. 1.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Sundhedsdatastyrelsen har den 13. august 2021 anmeldt et brud på persondatasikkerheden til Datatilsynet.
Det fremgår af anmeldelsen og de efterfølgende opfølgninger, at der, i forbindelse med en opdatering af Sundhedsplatformen den 17. marts 2021, opstod en kodefejl, som medførte, at en fjernelse af slutdatoer (behandlings- og doseringsslutdato) på Fælles Medicinkort (herefter FMK) ikke slog igennem til Sundhedsplatformen for så vidt angår doseringsslutdatoen for 267 berørte personer.
Det fremgår endvidere af anmeldelsen, at Region Hovedstaden den 9. august 2021 telefonisk oplyste Sundhedsdatastyrelsen om bruddet. Sundhedsdatastyrelsen er ikke bekendt med, hvornår Region Hovedstaden opdagede fejlen.
Herudover fremgår det af anmeldelsen, at Region Hovedstaden oplyste, at kodefejlen forventes rettet den 18. august 2021.
Sundhedsdatastyrelsen har oplyst, at styrelsen er dataansvarlig for FMK, og herunder ansvarlig for integriteten af data i FMK.
I den forbindelse har Sundhedsdatastyrelsen anført, at det er de enkelte anvendere, i dette tilfælde Region Hovedstaden som dataansvarlig for Sundhedsplatformen, der er forpligtet til at sikre, at deres system indmelder og kommunikerer korrekt til FMK.
Sundhedsdatastyrelsen har oplyst, at selvom styrelsen foretager kvalitetskontrol af FMK i form af at undersøge fejltilfælde og løbende kvalitetssikring i form af forbrugskontrol, ville fejlen ikke være blevet opdaget i denne type kontroller.
Sundhedsdatastyrelsen vil derfor mødes med Region Hovedstaden og drøfte, om de i fællesskab kan lave forbedringer, så disse fejl ikke sker igen.
Region Hovedstaden har den 27. september 2021 på FMK-styregruppemøde oplyst over for Sundhedsdatastyrelsen, at der ville blive lavet en advarsel i Sundhedsplatformen, som ville adressere fejlen. Sundhedsdatastyrelsen accepterede håndteringen, og er senere blevet informeret om, at advarslen er i idriftsat.
Herudover har Sundhedsdatastyrelsen oplyst, at der i FMK bl.a. er en høj grad af automatiserede test, et omfattende testmiljø som sundhedsvæsnets parter kan benytte. Derudover har FMK et årsværk til release og testkoordination. Sundhedsdatastyrelsen faciliteter desuden, at anvendersystemer, der benytter FMK, mødes 1-2 gange om året i tidsrum af 1-2 dage, hvor der udelukkende fokuseres på test.
Afslutningsvist har Sundhedsdatastyrelsen oplyst, at da den medarbejder, som har anmeldt hændelsen til Datatilsynet, ikke længere er i organisationen, kan styrelsen ikke nærmere forklare, hvorfor bruddet først blev anmeldt den 13. august 2021.
3. Begrundelse for Datatilsynets afgørelse
Datatilsynet lægger på baggrund af det af Sundhedsdatastyrelsen oplyste til grund, at der i forbindelse med en opdatering i Sundhedsplatformen den 17. marts 2021, opstod en kodefejl, som medførte, at en fjernelse af behandlings- og doseringsslutdatoer på FMK ikke slog igennem til Sundhedsplatformen.
3.1. Databeskyttelsesforordningens artikel 32
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at alle sandsynlige fejlscenarier bør testes i forbindelse med udviklingen og ændring af software, hvor der behandles personoplysninger. I tilfælde hvor tredjeparter kan lave ændringer, er den dataansvarlige for applikationen og data heri også ansvarlig for, at ændringer foretaget af andre bliver testet. Det er Datatilsynets opfattelse, at der skal være helt klare aftalte styringsmekanismer på plads mellem alle aktører i en servicebaseret arkitektur, styringsmekanismer der sikrer, at de dataansvarlige for deres behandlede personoplysninger er i kontrol og kan sikre, at ikke misforståelser i dataformater eller servicestruktur medfører, at datas integritet fortabes eller korrumperes. Dette kan f.eks. gøres ved organisatoriske tiltag som holistisk opdateret systemdokumentation, veldefineret change management og processer herfor, faste servicevinduer for alle aktører i hele datakæden og efterfølgende test, men også tekniske tiltag som signerede og versionerede services, integritetskontrol af data, signering af data, indbyggede fejlkontroller i services er mulige løsninger til at undgå fejl.
Datatilsynet finder på ovenstående baggrund, at Sundhedsdatastyrelsen – ved ikke at have sikret, at der blev foretaget tilstrækkelige tiltag f.eks. som minimum test for integritetsfejl i FMK – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved Sundhedsdatastyrelsens behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.
3.2. Databeskyttelsesforordningens artikel 33
Det følger af forordningens artikel 33, stk. 1, at den dataansvarlige i tilfælde af brud på persondatasikkerheden uden unødig forsinkelse og om muligt inden 72 timer skal foretage anmeldelse af bruddet til Datatilsynet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.
Datatilsynet finder, at Sundhedsdatastyrelsens behandling af personoplysninger – ved at anmelde bruddet for sent – ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1.
Datatilsynet har i den forbindelse lagt vægt på, at Sundhedsdatastyrelsen blev bekendt med bruddet den 9. august 2021, og at styrelsen først anmeldte bruddet den 13. august 2021.
3.3. Sammenfatning
På ovenstående baggrund finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Sundhedsdatastyrelsens behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[2] artikel 32, stk. 1 og artikel 33, stk. 1.
Datatilsynet har ved valg af reaktion i skærpende retning lagt vægt på, at Sundhedsdatastyrelsen har oplevet lignende fejl før på Datatilsynets sager med j.nr. 2020-442-8862 og 2021-442-13762.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).