3. júlí 2023
3. júlí 2023
Persónuvernd lýkur rannsókn á öryggisveikleika í Heilsuveru sem var uppgötvaður í júní 2020 og lagaður samdægurs
Þann 8. júní 2020 uppgötvaðist alvarlegur öryggisveikleiki í afmörkuðum hluta mæðraverndar og samskiptahluta á Mínum síðum á vefsvæðinu Heilsuvera.is sem er í umsjón embættis landlæknis en þróað og rekið af upplýsingafyrirtækinu Origo. Innan við klukkustund eftir að tilkynnt var um veikleikann hafði Origo staðreynt tilvist hans og lokað Heilsuveru. Á um fimm klukkutímum voru gerðar breytingar á kerfinu sem lagfærðu veikleikann, þær yfirfarnar og staðfestar af öryggisfyrirtækinu Syndis. Að því loknu var kerfinu komið aftur í notkun.
Embætti landlæknis harmar að framangreindur öryggisveikleiki skyldi hafa verið til staðar og skorast ekki undan ábyrgð hvað þetta varðar. Brugðist var strax og fumlaust við veikleikanum um leið og vitneskja barst um hann. Strax í kjölfarið á atvikinu var með ítarlegri greiningu staðreynt að enginn misnotaði öryggisveikleikann þann tíma sem hann var til staðar og að persónuupplýsingar notenda Heilsuveru hafi ekki lent í höndum óviðkomandi aðila.
Embætti landlæknis tilkynnti Persónuvernd samdægurs um eðli og umfang öryggisbrestsins í samræmi við fyrirmæli laga og á grundvelli fyrirliggjandi upplýsinga á þeim tíma. Í kjölfar tilkynningarinnar hóf Persónuvernd athugun á málinu. Í ákvörðun Persónuverndar, nú þremur árum síðar, var komist að þeirri niðurstöðu að embætti landlæknis hefði ekki tryggt öryggi persónuupplýsinga á hluta vefsvæðis Heilsuveru með fullnægjandi hætti.
Í öllum samskiptum embættisins í tengslum við málið hefur embættið upplýst Persónuvernd um alla þætti málsins af heilindum og samkvæmt bestu aðgengilegu upplýsingum á hverjum tíma. Hafnar embættið alfarið þeim staðhæfingum sem fram koma í ákvörðun Persónuverndar að starfsmenn embættisins hafi gefið Persónuvernd misvísandi og villandi upplýsingar við meðferð málsins.
Embætti landlæknis áréttar að enginn nýtti sér öryggisveikleikann til að komast yfir upplýsingar um einstaklinga eða heilsufar þeirra í Heilsuveru. Embættið hefur frá upphafi lagt höfuðáherslu á öryggi og persónuvernd við þróun og rekstur hugbúnaðarlausna vegna þeirra viðkvæmu persónuupplýsinga sem þær hafa að geyma. Í kjölfar þess að öryggisveikleikinn uppgötvaðist hefur embættið lagt enn frekari áherslu á þessa þætti með t.d. ítarlegri og tíðari öryggisúttektum og bættum ferlum við uppfærslur og viðbætur. Embætti landlæknis fullyrðir að Mínar síður á Heilsuvera.is eru eins öruggar og mögulegt er og að öryggi heilsufarsupplýsinga landsmanna sé eins tryggt og hægt er á vefsvæðinu.
Embætti landlæknis mun á næstu dögum fara ítarlega yfir forsendur og niðurstöðu ákvörðunar Persónuverndar en í henni er embættið sektað um 12 milljónir króna.
Nánari upplýsingar veita Alma D. Möller landlæknir og Ingi Steinar Ingason, sviðsstjóri Miðstöðvar rafrænna heilbrigðislausna.
Vinsamlega hafið samband við Kjartan Hrein Njálsson, sími 663 3624, kjartan.h.njalsson@landlaeknir.is.