I forbindelse med covid-19-situationens eskalering i Danmark (februar-marts 2020) og den derpå følgende nedlukning af samfundet skulle Statens Serum Institut (SSI) stille persondata – i form af blandt andet helbredsoplysninger – til rådighed for en ekspertgruppe, der skulle regne på mulige scenarier for genåbning.

SSI havde selv vurderet, at risikoen for de registrerede var moderat til høj og konstateret, at der ved behandlingens start ikke var foretaget en fuldstændig kortlægning og vurdering af de risici, som behandlingen indebar. SSI vurderede, at dette i sig selv medførte en høj risiko for de registreredes rettigheder.

Den oprindeligt tiltænkte it-løsning for dataudvekslingen kunne dog ikke være klar hurtigt nok, hvorfor dataadgangen i uge 12 blev etableret på SSI's SFTP server, placeret bag en ydre firewall i en zone, der kunne tilgås af eksperterne udefra (også benævnt DMZ). Oplysningerne var placeret i dedikerede mapper, hvor eksperterne, der skulle have adgang, benyttede brugernavn og kendeord.

SSI har oplyst, at risikovurderingen grundet manglende interne ressourcer og situationen på tidspunktet først blev påbegyndt i uge 16, og at første version af en konsekvensanalyse forelå i uge 17. Databehandleraftaler med ekspertgruppens medlemmer blev ligeledes underskrevet i uge 17.

SSI påbegyndte ultimo 2019 en opnormering på databeskyttelsesområdet. Der var i februar-marts 2020 to stillinger til compliance (den ene var dog vakant). Der var opnormeret med yderligere otte stillinger til start 1. april. SSI har oplyst, at de benyttede ekstern bistand, da de konstaterede, at de manglede medarbejdere.

Datatilsynet fandt, at SSI allerede på det tidspunkt, hvor de – inden behandlingens påbegyndelse – havde indset, at denne indebar en høj risiko for de registreredes rettigheder, skulle have påbegyndt arbejdet med konsekvensanalysen. Dette særligt når det stod klart, at det hastede med at komme i gang med behandlingen. Tilsynet konstaterede endvidere, at det – når der er en indbygget høj risiko for de registreredes rettigheder – og denne risiko ikke er nedbragt gennem de initiativer som egentlig skulle udspringe af en konsekvensanalyse, alene er muligt at påbegynde behandlingen, når Datatilsynet er blevet hørt.

Datatilsynet konstaterede, at der først fem uger efter behandlingens påbegyndelse blev indgået de fornødne databehandleraftaler.

Datatilsynet konstaterede herudover, at der ved valget af den midlertidige løsning på SSI's SFTP server ikke var taget fornødent højde for risikoen for uautoriseret adgang til oplysningerne, særligt vurderet i forhold til oplysningernes karakter, interesse og evner hos de aktører, der måtte interessere sig for dem, og den valgte løsnings tekniske karakter. Tilsynet fandt derfor, at løsningen ikke havde det fornødne niveau af sikkerhed.

Datatilsynet fandt, at det var formildende omstændigheder, at behandlingen skulle etableres under en international krisesituation, at der forelå en væsentlig samfundsinteresse i den hurtige effektuering af behandlingen, og at SSI – dog – havde gjort sig overvejelser om den foreløbige fravigelse af de databeskyttelsesretlige regler og – i et vist omfang – havde forsøgt at afhjælpe disse.

På den baggrund blev sanktionen alene fastsat til alvorlig kritik.

Generelt er det Datatilsynets opfattelse, at manglende overholdelse af de retsværn, som forordningen forudsætter iagttaget for at nedbringe høje risici ved en given behandling, og at påbegyndelse af en sådan behandling uden høring af tilsynsmyndigheden, er en overtrædelse af betydelig grovhed. Særligt da en sådan metode underminerer den garanti, der ligger i, at tilsynsmyndigheden vurderer behandlingens fulde lovlighed, og at ingen ulovlig behandling med høj risiko for de registreredes rettigheder igangsættes. Den fastsatte sanktion i denne sag skal alene ses i lyset af den helt ekstraordinære situation, der herskede på det pågældende tidspunkt for den konkrete behandling.

Kilde: Datatilsynet