28.06.2023
Lok máls í framhaldi af úttekt hjá Sjúkratryggingum Íslands
Mál númer 2020010085
Hinn 2. maí 2023 tók Persónuvernd ákvörðun varðandi eftirfylgni og beitingu viðurlaga í framhaldi af úttekt á öryggi persónuupplýsinga hjá Sjúkratryggingum Íslands. Úttektarákvörðun hafði áður verið send Sjúkratryggingum, þ.e. 7. júlí 2022, en þar var fjallað um stöðu öryggismála hjá stofnuninni á þeim tíma sem athugun á vettvangi vegna úttektarinnar fór fram, þ.e. í október 2021, svo og um umbætur sem gerðar höfðu verið í millitíðinni. Þá voru í úttektarákvörðun gefin fyrirmæli um atriði sem talin var þörf á að bætt yrði úr, auk þess sem veittur var andmælaréttur um beitingu sektarheimilda Persónuverndar, sbr. 46. og 47. gr. laga nr. 90/2018, vegna atriða sem metin voru alvarleg.
Að fengnum athugasemdum Sjúkratrygginga taldi Persónuvernd að brugðist hefði verið við fyrirmælum með fullnægjandi hætti eins og nánar er lýst í ákvörðun 2. maí 2023. Einnig var því meðal annars lýst að á tíma vettvangsathugunar hefðu tvö atriði falið í sér það alvarlega öryggisveikleika að tilefni gæfist til sektarálagningar. Ekki var þar um að ræða atriði sem gefin voru sérstök fyrirmæli um, enda hafði verið bætt úr þeim við töku úttektarákvörðunar. Hins vegar taldi Persónuvernd að engu að síður bæri að leggja á sekt í ljósi alvarleika veikleikanna á meðan þeir voru til staðar.
Þau atriði sem hér um ræðir lutu annars vegar að skorti á margþátta auðkenningu til aðgangs starfsmanna og veitenda heilbrigðisþjónustu að upplýsingakerfum með heilbrigðisupplýsingum og hins vegar að notkun raungagna í þróunar- og prófunarumhverfi, en í ljósi þessara atriða var talið hafa verið brotið gegn f-lið 1. mgr. 5. gr., 32. gr. og 25. gr. reglugerðar (ESB) 2016/679, sbr. 6. tölul. 1. mgr. 8. gr., 1. mgr. 27. gr. og 24. gr. laga nr. 90/2018.
Í þessu sambandi var vísað til sektarheimilda Persónuverndar samkvæmt 1. mgr., 1. tölul. 2. mgr. og 1. tölul. 3. mgr. 46. gr. laganna. Þá var litið til þess að hjá Sjúkratryggingum fer fram miðlæg vinnsla heilsufarsupplýsinga sem tekur til landsins alls, að um ræðir mikinn fjölda einstaklinga, að ábyrgð Sjúkratrygginga er rík í ljós lögbundins hlutverks stofnunarinnar og að upplýsingar um heilsufar verða að njóta sérstakrar verndar (sjá einkum í þessu sambandi 1., 4. og 7. tölul. 1. mgr. 47. gr. laga nr. 90/2018). Einnig var hins vegar litið til þess að ekki hefði verið um ásetning að ræða, að Sjúkratryggingar sýndu mikinn samstarfsvilja við rekstur málsins, að mikil vinna hafði átt sér stað hjá stofnuninni til að bæta öryggi persónuupplýsinga, að brugðist hafði verið við fyrirmælum Persónuverndar með fullnægjandi hætti, svo og þess að Sjúkratryggingar eru ekki reknar í hagnaðarskyni heldur gegna almannaþjónustuhlutverki (sjá einkum í þessu sambandi 2., 6., 9. og 11. tölul. 1. mgr. 47. gr. laganna.
Með vísan til framangreinds og allra atvika komst Persónuvernd að þeirri niðurstöðu, í ákvörðun 2. maí 2023, að lögð skyldi tveggja milljóna króna stjórnvaldssekt á Sjúkratryggingar.
Tekið skal fram að í ljósi sjónarmiða um upplýsingaöryggi verður ekki talið rétt að birta sektarákvörðunina, né heldur úttektarákvörðun frá 7. júlí 2022.