Datatilsynet har truffet afgørelse i en sag, hvor en medarbejder hos Sundhedsdatastyrelsen i strid med interne retningslinjer og procedurer havde gemt et datasæt – indeholdende pseudonymiserede personoplysninger – i udviklingsmiljøet Microsoft Azure DevOps, hvor de ikke måtte gemmes. Datasættet indeholdte pseudonymiserede fortrolige oplysninger om borgere, som kunne ”afkodes” af betroede medarbejdere, uanset om de havde et arbejdsbetinget behov for det.
Sundhedsdatastyrelsen opdagede først et år senere, at datasættet var blevet gemt i it-miljøet, der blev brugt til opgavestyring. Sundhedsdatastyrelsen oplyste til Datatilsynet, at datasæt, der bliver gemt i it-miljøet, generelt ikke bliver kontrolleret for personoplysninger, og at det ikke er muligt at etablere tekniske sikkerhedsforanstaltninger for at sikre, at en lignende menneskelig fejl ikke sker i fremtiden.
Datatilsynet fandt, at Sundhedsdatastyrelsen – ved ikke at have etableret passende kontroller, der skulle sikre, at der ikke lå personoplysninger i systemet – ikke havde levet op til reglerne om behandlingssikkerhed.
Datatilsynet lagde vægt på, at dataansvarlige generelt skal etablere kontroller – enten manuelle eller automatiske – for at sikre, at der ikke gemmes personoplysninger i it-miljøer, hvor de ikke må være. Det er i den forbindelse ikke tilstrækkeligt at have retningslinjer og procedurer for, om der må gemmes oplysninger i et it-miljø, uden at føre regelmæssig kontrol med, om de i praksis bliver fulgt. Datatilsynet lagde også vægt på, at der var tale om et såkaldt ”agilt udviklingsmiljø”, hvor der er en kendt risiko for, at der ved en fejl bliver opbevaret personoplysninger.
Vil du vide mere?
Læs afgørelsen her.
Læs mere om personoplysninger, herunder om pseudonimiserede personoplysninger her.
Læs mere om behandlingssikkerhed her.
Journalister kan kontakte presseansvarlig Anders Due på tlf. 29 49 32 83.