Fagmennska í meðferð persónuupplýsinga hjá Embætti landlæknis

Í tilefni af viðtali við forstjóra Persónuverndar í nýútkomnu 10. tbl. Læknablaðsins 2018 vill Embætti landlæknis taka eftirfarandi fram.

Embætti landlæknis hefur ávallt lagt megináherslu á örugga meðferð upplýsinga hjá stofnuninni. Landlæknir heldur m.a. skrár um ýmsa þætti heilsufars og heilbrigðisþjónustu eins og fram kemur í lögum um landlækni. Þessar upplýsingaeignir eru varðar með öllum tiltækum ráðum, s.s. dulkóðunum í gagnasendingum, dulkóðun gagnasafna og ströngum aðgangsstýringum. Þessar stýringar eru í samræmi við viðeigandi lög og staðla í upplýsingaöryggi.

Leiðir til þess að tryggja öryggi persónuupplýsinga þurfa sífellt að vera í endurskoðun. Eftir vandlega skoðun samdi Embætti landlæknis við Advania, tilboðsgjafa í örútboði og sérhæfðan hýsingaraðila, um rekstur og hýsingu kerfa sinna. Meginmarkmiðið með því að færa hýsingu kerfanna til sérhæfðs hýsingaraðila var að tryggja öryggi þeirra enn betur með sérhæfðri þekkingu, ferlum og kerfum hýsingaraðilans.

Embætti landlæknis hafði sér til ráðgjafar reynda sérfræðinga í upplýsingaöryggi þegar lagt var mat á hvar og hvernig best væri að tryggja öruggan rekstur upplýsingakerfa embættisins. Það var og er niðurstaðan að sérhæfðir hýsingaraðilar hafa yfir að ráða tækni og þekkingu sem er langt umfram það sem hægt hefði verið að koma upp hjá embættinu.

Í því ferli að semja við hýsingaraðila og flytja kerfin í rekstur hans leitaði embættið ráðgjafar hjá Persónuvernd sem varð til þess að Persónuvernd óskaði eftir ítarlegum upplýsingum um allt ferlið er varðaði undirbúning og flutning gagna. Persónuvernd taldi einkum tvo annmarka á þessu ferli. Annars vegar þótti stofnuninni það áhættumat sem gert var í aðdraganda flutnings gagna ekki nægjanlega ítarlegt og hins vegar ályktar Persónuvernd að embættið hafi átt að kanna sjálfstætt hvort Advania gæti framkvæmt þær öryggisráðstafanir sem embættið sem ábyrgðaraðili gerir kröfur um, í stað þess að treysta á staðfestingu Ríkiskaupa á að Advania uppfyllti allar lögboðnar kröfur um upplýsingaöryggi. Í ákvörðun sinni taldi Persónuvernd ekki tilefni til að gefa nánari fyrirmæli að svo stöddu í ljósi þess að nú þegar hafi verið bætt úr fyrrgreindum annmörkum. Nánar er fjallað um þetta í frétt á vef embættisins frá 22. mars 2018.

Ný lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 tóku gildi á Íslandi 15. júlí sl. Fulltrúar embættisins ásamt sérfræðingum á sviði persónuverndar og upplýsingaöryggis hafa unnið að því að tryggja og sýna fram á að meðferð persónuupplýsinga fari fram í samræmi við löggjöfina og fullnægi öðrum nýjum skyldum. Meðal þess sem Embætti landlæknis hefur unnið í þessu samhengi er áætlun yfir reglubundið eftirlit með öllum vinnsluaðilum m.a. með eftirlitsferðum á starfstöðvar þeirra, úttektum á aðgangsstýringum og aðgengi að skýrslum óháðra vottunaraðila á upplýsingaöryggismálum, þar sem þeirra nýtur við.

Nánar má fræðast um persónuvernd og meðferð persónuupplýsinga hjá embættinu hér.

Embætti landlæknis