Mál nr. 2020061844

Persónuvernd hefur lagt stjórnvaldssekt, að upphæð 12.000.000 króna, á embætti landlæknis vegna öryggisveikleika í upplýsingavefnum Heilsuveru. Embættið hafði tilkynnt um öryggisbrest þegar tveir einstaklingar náðu að sjá gögn sér óviðkomandi. Annars vegar var það vegna veikleika í skilaboðahluta Heilsuveru sem fól í sér að með breytingu á tengistreng gat innskráður notandi nálgast sér óviðkomandi skilaboð sem gátu verið persónugreinanleg. Hins vegar var það vegna veikleika sem gerði innskráðum notendum í mæðraverndarhluta Heilsuveru, sem fengið höfðu aðgang að sónarmynd úr sjúkraskrárkerfi annarrar af tveimur heilbrigðisstofnunum, kleift að sjá viðhengi annarra einstaklinga í sjúkraskrárkerfi viðkomandi stofnunar með breytingu á vefslóð. Framangreint var talið brjóta gegn upplýsingaöryggiskröfum. Viss atriði voru metin til málsbóta, þ. á m. þær öryggisráðstafanir sem viðhafðar eru í Heilsuveru almennt. Í ljósi meðal annars viðkvæms eðlis umræddra upplýsinga og misvísandi og efnislega rangra skýringa við rannsókn málsins var hins vegar komist að þeirri niðurstöðu um sektarálagningu sem fyrr greinir.

Ákvörðun Persónuverndar