Statens Serum Instituts (SSI) manglende kontrol af instituttets databehandlere kunne i værste fald have kostet bøder på op til 16 mio. kr., hvis problemerne først var kommet frem efter 25. maj, hvor EU's nye persondataforordning (GDPR) træder i kraft.

Det skriver Version2.

Mediet har blandt andet talt med advokat med speciale i persondata Jacob Georg Naur fra Hejm Advokater. Han understreger, at instituttet uden tvivl ville blive ramt af bøder, hvis forseelsen var foregået efter ikrafttrædelsen af GDPR-forordningen til maj. SSI har indtil nu ikke udført en eneste kontrol af sine databehandlere.

"Men problemet er jo med hele GDPR, at GDPR-relateret arbejde forekommer for de fleste organisationer som driftsfremmed og dermed det, som havner nederst på to do-listen. SSI må formentlig snart have en (ekstern-) DPO på plads, der kan løfte opgaven lidt mere professionelt," skriver han blandt andet i en mail til Version2.

Hos Statens Serum Institut ønsker man ikke at kommentere sagen, men henviser til, at de endnu ikke vedtagne rammer for Databeskyttelsesforordningen og databeskyttelsesloven vil betyde, at offentlige myndigheder vil kunne blive idømt bøder på op til fire pct. af myndighedens driftsbudget - dog maks 16 mio. kr.

På sin hjemmeside skriver SSI, at:

"SSI har hidtil ført tilsyn med databehandlerne på ad hoc basis. Med baggrund i de udtalelser Datatilsynet er kommet med omkring tilsyn af databehandlere i løbet af 2017, har SSI nu iværksat planlægningen af et mere aktivt og systematisk tilsyn, hvor det første tilsyn vil være gennemført primo 2018."

Sundhedsminister kræver redegørelse om datasjusk hos Statens Serum Institut 

Ingen kontrol af databehandlere hos Statens Serum Institut