På baggrund af et anmeldt brud på persondatasikkerheden udtaler Datatilsynet nu alvorlig kritik af Sundhedsdatastyrelsen.

Bruddet opstod, da en kodeændring i Sundhedsplatformen (SP), hvor Region Hovedstaden er dataansvarlig, medførte utilsigtede ændringer i det Fælles Medicinkort (FMK), hvor Sundhedsdatastyrelsen er dataansvarlig. Fejlen betød, at fjernelse af doseringsslutdatoen for 267 personer på det Fælles Medicinkort ikke slog igennem til Sundhedsplatformen.

Levede ikke op til kravet om passende sikkerhed

Som dataansvarlig for FMK har Sundhedsdatastyrelsen en forpligtelse til at træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved styrelsens behandling af personoplysninger i FMK.

Denne forpligtelse indebærer, at Sundhedsdatastyrelsen som udgangspunkt bør teste alle sandsynlige fejlscenarier i forbindelse med udvikling og ændring af software i FMK. I tilfælde, hvor en tredjepart som Region Hovedstaden kan lave ændringer, er Sundhedsdatastyrelsen som dataansvarlig for FMK også ansvarlig for, at disse ændringer bliver testet.

Det er ikke sket i dette tilfælde, og dermed har Sundhedsdatastyrelsen efter Datatilsynets opfattelse ikke levet op til kravet om passende sikkerhed.

Tidligere sag

Tilsynet afgjorde i februar i år en lignende sag, hvor en kodeændring i SP medførte utilsigtede ændringer i FMK. I den sag var det tilsynets vurdering, at Region Hovedstaden som dataansvarlig for SP bar ansvaret for sikkerhedsbruddene.

I sager, hvor flere aktører udveksler data i en servicebaseret arkitektur, ser Datatilsynet ofte konsekvenser i andre systemer, end der, hvor ændringen er sket.

Hver dataansvarlig skal for sine egne systemer fastsætte fornødne retningslinjer og procedurer for, hvordan ændringer i kildesystemer, som andre er dataansvarlige for, skal kunne få gennemslagskraft. Særligt skal der være procedurer for servicevinduer, change management, designkrav, test af funktionalitet og dataintegritet.

Datatilsynet har i forhold til de tidligere afgjorte sager fundet det væsentligt at fastslå, at også en manglende robusthed og manglende integritetstest i FMK er udtryk for et manglende niveau af sikkerhed.

I denne afgørelse har Datatilsynet endvidere nævnt en række tiltag, som alle dataansvarlige i servicearkitekturen skal overveje at implementere. Hyppigheden af fejl i den valgte arkitektur er alt for høj i forhold til risikoen for de borgere, hvis oplysninger bliver behandlet. Og disse fejl kan kun udbedres, hvis alle dataansvarlige i datakæden aktivt samarbejder om den fornødne robusthed og samlede sikkerhed i hele løsningen.

For sen anmeldelse

Sundhedsdatastyrelsen overskred endvidere fristen på 72 timer for at anmelde et sikkerhedsbrud – styrelsen blev bekendt med bruddet d. 9. august 2021, men meldte det først til Datatilsynet d. 13. august 2021.

På den baggrund fandt Datatilsynet grundlag for at udtale alvorlig kritik.