Statens Serum Institut, SSI, har ikke passet godt nok på borgeres sundhedsdata.

Det vurderer Datatilsynet, der med en ny afgørelse udtaler alvorlig kritik af SSI.

Kritikken går på opbevaring og adgang til borgeres persondata – herunder helbredsoplysninger – som skulle stilles til rådighed for en ekspertgruppe, der skulle regne på genåbningsscenarier.

Dataene blev i pandemiens start omkring uge 12 sidste år ikke opbevaret tilstrækkelig sikkert, og SSI udførte ikke de nødvendige risikovurderinger, før de gav eksperterne adgang til dataene. Det er til trods for, at SSI selv var bevidste om, at sikkerhedsrisikoen var høj.

"SSI havde selv vurderet, at risikoen for de registrerede var moderat til høj og konstateret, at der ved behandlingens start ikke var foretaget en fuldstændig kortlægning og vurdering af de risici, som behandlingen indebar. SSI vurderede, at dette i sig selv medførte en høj risiko for de registreredes rettigheder," skriver Datatilsynet.

Statens Serum Institut var på bagkant med de tilstrækkelige sikkerhedsforanstaltninger, og det kritiserer Datatilsynet i sin afgørelse.

"Datatilsynet konstaterede, at der først fem uger efter behandlingens påbegyndelse blev indgået de fornødne databehandleraftaler," skriver tilsynet.

Tilsynet sanktionerer ikke SSI med indstilling til bødestraf, fordi det bliver set som en formildende omstændighed, "at behandlingen skulle etableres under en international krisesituation", og at hurtig proces var i samfundets interesse.

Tilsynet indskærper dog, at det er stærkt kritisabelt, at Statens Serum Institut ikke inddragede Datatilsynet i processen, da SSI vurderede, at der var tale om databehandling med høj risiko.

Sagen er blevet taget op af Datatilsynet på baggrund af en henvendelse fra Sundheds- og Ældreministeriet.

Nul kommuner idømt GDPR-bøder efter tre år: Juraprofessor efterlyser rettesnor

It-fagfolk frygter øget overvågning med coronapas