Sundhedsdatastyrelsen får kritik for manglende kontrol med personoplysninger i it-miljø

Dato: 16-03-2022

Datatilsynet udtaler kritik i ny afgørelse, som understreger, at en dataansvarlig skal føre kontrol med, om der ved en fejl er gemt personoplysninger i it-miljøer, uanset om it-miljøerne ikke må bruges til opbevaring af personoplysninger.

Journalnummer: 2021-442-12991

Resume

Datatilsynet har truffet afgørelse i en sag, hvor en medarbejder hos Sundhedsdatastyrelsen i strid med interne retningslinjer og procedurer havde gemt et datasæt – indeholdende pseudonymiserede personoplysninger – i udviklingsmiljøet Microsoft Azure DevOps, hvor de ikke måtte gemmes. Datasættet indeholdte pseudonymiserede fortrolige oplysninger om borgere, som kunne ”afkodes” af betroede medarbejdere, uanset om de havde et arbejdsbetinget behov for det.

Sundhedsdatastyrelsen opdagede først et år senere, at datasættet var blevet gemt i it-miljøet, der blev brugt til opgavestyring. Sundhedsdatastyrelsen oplyste til Datatilsynet, at datasæt, der bliver gemt i it-miljøet, generelt ikke bliver kontrolleret for personoplysninger, og at det ikke er muligt at etablere tekniske sikkerhedsforanstaltninger for at sikre, at en lignende menneskelig fejl ikke sker i fremtiden.

Datatilsynet fandt, at Sundhedsdatastyrelsen – ved ikke at have etableret passende kontroller, der skulle sikre, at der ikke lå personoplysninger i systemet – ikke havde levet op til reglerne om behandlingssikkerhed.

Datatilsynet lagde vægt på, at dataansvarlige generelt skal etablere kontroller – enten manuelle eller automatiske – for at sikre, at der ikke gemmes personoplysninger i it-miljøer, hvor de ikke må være. Det er i den forbindelse ikke tilstrækkeligt at have retningslinjer og procedurer for, om der må gemmes oplysninger i et it-miljø, uden at føre regelmæssig kontrol med, om de i praksis bliver fulgt. Datatilsynet lagde også vægt på, at der var tale om et såkaldt ”agilt udviklingsmiljø”, hvor der er en kendt risiko for, at der ved en fejl bliver opbevaret personoplysninger.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Sundhedsdatastyrelsens behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Sundhedsdatastyrelsen har den 12. maj 2021 anmeldt et brud på persondatasikkerheden til Datatilsynet.

Datatilsynet sendte efterfølgende en høring til Sundhedsdatastyrelsen den 22. juni 2021, som Sundhedsdatastyrelsen besvarede den 8. juli 2021.

Det fremgår herefter af sagen, at en tidligere medarbejder i forbindelse med intern deling af et dataudtræk i strid med Sundhedsdatastyrelsens interne retningslinjer og procedurer gemte dataudtrækket, der bl.a. indeholdte pseudonymiserede helbredsoplysninger om borgere i Region Hovedstaden, i Microsoft Azure DevOps, hvor dataudtrækket blev opbevaret i en periode fra juni 2020 til maj 2021. Sundhedsdatastyrelsen har i den forbindelse oplyst, at både interne og eksterne konsulenter bliver instrueret i gældende procedurer, der fremgår af styrelsens udviklingshåndbog, som bl.a. beskriver, hvilke informationer der må opbevares i DevOps, herunder, at der ikke må opbevares personoplysninger – ud over navne på sagsbehandlere mv. i forbindelse med opgavestyring – i DevOps.

Det fremgår videre af sagen, at datasættet, som medarbejderen gemte i DevOps, stammer fra Sygehusmedicinsregisteret og indeholder oplysninger om køn, alder, kommune, region og ordineret/administreret medicin om registrerede fra Region Hovedstaden for perioden mellem maj 2018 og januar 2020 og spænder over 877.813 medicinadministrationer. Sundhedsdatastyrelsen har i den forbindelse præciseret, at personnumre, som indgår i datasættet i Sygehusmedicinsregisteret, ved udtrækket erstattes med ”xxx”, hvorfor datasættet er pseudonymiseret, når oplysningerne bliver behandlet af medarbejdere i Sundhedsdatastyrelsen. Sundhedsdatastyrelsen har i den forbindelse oplyst, at flere interne og eksterne medarbejdere i styrelsen i kraft af deres stilling og dertilhørende arbejdsopgaver har adgang til personhenførbare oplysninger i Sygehusmedicinregistret, hvorfor det er muligt for disse personer at identificere personoplysningerne, der fremgår af det konkrete datasæt.

Sundhedsdatastyrelsen har endelig oplyst, at datasættet var beskyttet af styrelsens eget domæne DKSUND, som er placeret i Azure Active Directory. DevOps anvendes bl.a. af flere afdelinger i Sundhedsdatastyrelsen til opgavestyring, og det kræver autorisation og autentifikation at tilgå servicen. Sundhedsdatastyrelsen har i forlængelse heraf oplyst, at hvert datasæt, der gemmes i DevOps, ikke bliver kontrolleret, og at det ikke er muligt at etablere tekniske foranstaltninger, der kan imødegå, at en lignende menneskelig fejl resulterer i et brud på persondatasikkerheden, f.eks. ved at visse filformater ikke kan uploades i DevOps.

3. Begrundelse for Datatilsynets afgørelse

3.1. Databeskyttelsesforordningens artikel 32

Det følger bl.a. af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.

Det følger endvidere af artikel 32, stk. 1, litra b og d, at den dataansvarlige i den forbindelse – og alt efter hvad der er relevant – bl.a. skal gennemføre foranstaltninger med henblik på at opretholde en evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester, samt procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.

Det er i den forbindelse Datatilsynets opfattelse, at man som dataansvarlig skal forholde sig til risikoen for, at der (også ved en fejl) opbevares personoplysninger i et miljø, uanset om miljøet er tiltænkt til opbevaring af personoplysninger. I forlængelse heraf er det tilsynets vurdering, at retningslinjer vedrørende opbevaring og sletning af personoplysninger i et givent system eller område ikke kan begrunde, at man ikke kontrollerer, om der opbevares oplysninger i systemet eller området – særligt i situationer, hvor der er tale om agile udviklingsmiljøer som DevOps. Det er i tilknytning hertil Datatilsynets opfattelse, at der – især hvor der ikke føres kontrol med upload – er en kendt risiko for, at der ved en fejl bliver opbevaret personoplysninger i agile udviklingsmiljøer, hvilket betoner behovet for, at miljøerne regelmæssigt kontrolleres for, om der utilsigtet bliver opbevaret oplysninger i miljøet.

Datatilsynet finder på den baggrund, at Sundhedsdatastyrelsen – ved ikke i tilstrækkelig grad at føre kontrol med, om der utilsigtet opbevares personoplysninger i miljøer, som i det konkrete tilfælde f.eks. kan føre til, at personoplysninger bliver gjort tilgængelige for uvedkommende – ikke havde etableret et sikkerhedsniveau, der passede til de risici, der var styrelsens’ behandling af personoplysninger, jf. artikel 32, stk. 1.

Datatilsynet har lagt vægt på, at Sundhedsdatastyrelsen ikke har etableret passende organisatoriske eller tekniske sikkerhedsforanstaltninger, for at sikre, at der ikke bliver opbevaret personoplysninger i DevOps-miljøet, herunder f.eks. regelmæssig teknisk gennemgang – som f.eks. scanning af miljøet – eller ved manuel kontrol.

Videre har Datatilsynet lagt vægt på, at hændelsen omfatter særlige kategorier af personoplysninger om et stort antal borgere, og at hændelsen varede ca. et år.

I formildende retning har Datatilsynet lagt vægt på, at personoplysningerne har været pseudonymiseret og at oplysningerne kun var blevet gjort tilgængelige for betroede medarbejdere.

Sammenfattende finder Datatilsynet, at der er grundlag for at udtale kritik af, at Sundhedsdatastyrelsens behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).