Helbredsoplysninger i relation til COVID-19 er et højaktuelt emne. Datatilsynet har bl.a. modtaget en række henvendelser fra arbejdsgivere, som ønsker oplyst, i hvilket omfang de kan registrere og videregive oplysninger om deres ansatte i anledning af coronavirus. På den baggrund har Datatilsynet tidligere udarbejdet en kort vejledende tekst, som du kan læse her.
I 2021 afgjorde Datatilsynet flere sager, hvor helbredsoplysninger var berørt af sikkerhedsbrud. I en af afgørelserne spillede COVID-19 også en rolle. Den og andre afgørelser kan du læse her:
Kritisable forhold ved Statens Serum Instituts COVID-19-modelleringsprojekt
På baggrund af en sag taget op af egen drift udtalte Datatilsynet alvorlig kritik af Statens Serum Institut for at påbegynde behandling af personoplysninger uden tilstrækkelig risikovurdering, konsekvensanalyse, høring af Datatilsynet, databehandleraftaler og passende sikkerhedsforanstaltninger.
Brud på persondatasikkerheden hos Dantherm
Dantherm havde været udsat for et ransomware-angreb, hvor det var lykkedes hackere at få adgang til Dantherms IT-miljø, hvorfra de lækkede oplysninger om både nuværende og tidligere ansatte til The dark web. Datatilsynet udtalte kritik af, at Dantherm ikke havde en passende sikkerhed. Virksomheden kunne heller ikke påvise, at behandlingen havde været i overensstemmelse med reglerne.
Regionale lægevagters optagelse af telefonsamtaler
Datatilsynet traf afgørelse i en sag, hvor en borger bl.a. klagede over, at Lægevagten Region Syddanmark havde optaget telefonsamtaler mellem hende og lægevagten, og at lægevagten efterfølgende afviste at slette telefonoptagelserne. Under sagen kom det frem, at den pågældende lægevagt havde optaget og gemt ca. 7,5 millioner samtaler siden januar 2013. Datatilsynet udtalte alvorlig kritik af, at lægevagten havde opbevaret optagelser af telefonsamtaler, som var mere end fem år gamle og meddelte lægevagten påbud om at slette alle optagelser af telefonsamtaler, som var mere end fem år gamle.
Region Nordjylland får kritik for manglende sikkerhed omkring selvbetjeningsløsning
Fra maj 2018 til april 2021 havde det været muligt - via en IT-løsning - at tilgå andres personoplysninger og aflyse bookinger, f.eks. aftaler på et sygehus. Der var tale om en velkendt type sårbarhed, som angår manglende styring af brugerens adgang. Datatilsynet udtalte kritik af, at Region Nordjyllands behandling af personoplysninger ikke var sket i overensstemmelse med reglerne i databeskyttelsesforordningen.