1. Datatilsynet vender hermed tilbage til sagen, hvor tilsynet på baggrund af omtale i medierne anmodede Statens Serum Institut om en udtalelse vedrørende instituttets kontrol med sikkerheden hos anvendte databehandlere.
Efter anmodning fra Datatilsynet er Statens Serum Institut ved brev af 31. januar 2018 fremkommet med en udtalelse til sagen. Statens Serum Institut er endvidere ved telefonisk samtale af 6. februar 2018 fremkommet med supplerende oplysninger til brug for sagen.
2. I lyset heraf skal Datatilsynet udtale følgende:
Efter en gennemgang af sagen finder Datatilsynet det meget beklageligt, at Statens Serum Institut ikke konsekvent har påset sikkerheden hos instituttets databehandlere. Statens Serum Institut har efter Datatilsynets opfattelse derfor ikke levet op til kravet i persondatalovens1 § 42, stk. 1.
Datatilsynet har noteret sig, at Statens Serum Institut har oplyst, at instituttet ikke konsekvent har påset sikkerheden hos samtlige databehandlere, men at instituttet kun har gjort det i visse tilfælde.
Endvidere har Datatilsynet noteret sig, at Statens Serum Institut har oplyst, at instituttet fra og med 2018 har iværksat en mere systematisk og proaktiv kontrol af instituttets databehandlere, at der i den forbindelse er iværksat en procedure, hvor der systematisk og med faste intervaller indhentes erklæringer fra samtlige databehandlere, at revisionserklæringer vil blive indhentet, når det skønnes proportionalt med den indgåede aftale og karakteren af personoplysninger, og at de indhentede erklæringer vil danne grundlag for instituttets fysiske tilsynsstrategi, hvor der ud fra en konkret risikobetragtning vil blive foretaget 2-4 årlige fysiske tilsyn.
Datatilsynet foretager sig herefter ikke yderligere i sagen.
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på sin hjemmeside.