Ulovlig datahåndtering hos Statens Serum Institut: Holder ikke øje med databehandlere

En aktindsigt viser, at Statens Serum Institut ikke har ført et eneste tilsyn med deres databehandlere. Datatilsynet understreger, at det er et krav i loven.

Statens Serum Institut (SSI) overfører danske sundhedsdata til databehandlere, men fører ingen kontrol med, at der faktisk bliver passet på dataen - og det er i strid med Persondataloven, som kræver, at der føres tilsyn.

Det viser en aktindsigt hos SSI. Version2 bad om en liste over instituttets tilsyn med databehandlere, som en læser har sendt til redaktionen. Der står sort på hvidt, at:

»Statens Serum Institut har ikke foretaget nogle audits eller modtaget nogle indberetninger i forbindelse med databehandleraftalerne. Der forefindes derfor ej heller en aktliste, som du kan få indsigt i.«

Persondataloven: § 42. Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. Stykkerne, der henvises til, siger: Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere. Stk. 4. For oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. Stk. 5. Justitsministeren kan fastsætte nærmere regler om de i stk. 3 anførte sikkerhedsforanstaltninger. Kilde: Persondataloven

Datatilsynet er ikke gået aktivt ind i sagen endnu, men har forholdt sig til aktindsigten og mener ikke, at SSI lever op til reglerne.

»Det er et krav i persondataloven. Man skal uanset hvad påse, at databehandleren overholder reglerne. Hvis de ikke gør det, så er det selvfølgelig et problem,« siger Katrine Valbjørn Trebbien, specialkonsulent hos Datatilsynet.

Loven giver ellers et ret stort råderum for, hvad man som dataansvarlig skal gøre for at sikre, at databehandleren lever op til kravene.

»Den dataansvarlige skal dog aktivt sikre, at de krævede sikkerhedsforanstaltninger overholdes hos databehandlerne, og de kan f.eks. vælge at indhente en årlig revisionserklæring fra en uafhængig tredjepart, men de kan også selv føre kontrol,« siger Katrine Valbjørn Trebbien.

Fører kun tilsyn efter behov

Statens Serum Institut erkender, at de ikke har ført tilstrækkeligt tilsyn:

»SSI har hidtil haft en procedure om at føre tilsyn, når der har været et behov for det, fx hvis vi skulle erfare, at en databehandler har overtrådt de instruktionsbeføjelser, vi har tildelt dem,« skriver Ole Jensen, vicedirektør hos SSI, i en mail til Version2.

Han forklarer, at den praksis kun har ført til et enkelt tilsyn med en databehandler, men det var indenfor et område, der senere er blevet flyttet til Sundhedsdatastyrelsen - og derfor er listen af tilsyn altså nede på nul.

»SSI har bemærket den stigende interesse fra tilsynsmyndigheden – Datatilsynet – i at vi selv fører et systematisk aktiv tilsyn,« skriver Ole Jensen, og han tilføjer i den sammenhæng, at:

»Dette har SSI nu taget til efterretning og er ved at udarbejde en procedure for disse tilsyn.«

Selvom SSI altså er bevidste om nødvendigheden af tilsyn af databehandlere, er der stadig ikke blevet ført et eneste, og det er endnu ikke klart, hverken hvornår eller hvordan SSI vil sørge for, at danske borgeres data bliver behandlet efter lovens rammer.

»Man har simpelthen sluppet bremsen«

Det kan være svært at vide, om der reelt er sket noget med danske patientdata, men Patientdataforeningen ser sagen som en brik i et større puslespil, der samlet giver et skræmmende billede:

»At bryde lovgivningen for god databehandlerskik - og herunder inspektionen af databehandlere - betyder ikke nødvendigvis noget konkret, men det viser lidt et billede af, hvordan man behandler sundhedsdata i Danmark. Man har simpelthen sluppet bremsen,« siger Thomas Birk Kristiansen, formand for Patientdataforeningen.

Han mener, at danske borgere har alt for lidt kontrol over, hvor og hvordan deres persondata bliver delt - især hvis der ikke bliver ført kontrol med, at der bliver passet på dem.

Det gør kun situationen værre, når der endda er lovgivning på området, som offentlige institutioner ikke lever op til.

»Reglerne for god databehandlerskik og lovgivningen er stablet på benene for at sikre data. Dels for at kunne dele data lovligt, men selvfølgelig også for at forhindre, at nogen får adgang til det ulovligt,« siger Thomas Birk Kristiansen.