Fara beint í efnið
Persónuvernd Forsíða
Persónuvernd Forsíða

Persónuvernd

28.06.2023

Lok máls í framhaldi af úttekt hjá Sjúkratryggingum Íslands

Mál númer 2020010085

Hinn 2. maí 2023 tók Persónuvernd ákvörðun varðandi eftirfylgni og beitingu viðurlaga í framhaldi af úttekt á öryggi persónuupplýsinga hjá Sjúkratryggingum Íslands. Úttektarákvörðun hafði áður verið send Sjúkratryggingum, þ.e. 7. júlí 2022, en þar var fjallað um stöðu öryggismála hjá stofnuninni á þeim tíma sem athugun á vettvangi vegna úttektarinnar fór fram, þ.e. í október 2021, svo og um umbætur sem gerðar höfðu verið í millitíðinni. Þá voru í úttektarákvörðun gefin fyrirmæli um atriði sem talin var þörf á að bætt yrði úr, auk þess sem veittur var andmælaréttur um beitingu sektarheimilda Persónuverndar, sbr. 46. og 47. gr. laga nr. 90/2018, vegna atriða sem metin voru alvarleg.

Að fengnum athugasemdum Sjúkratrygginga taldi Persónuvernd að brugðist hefði verið við fyrirmælum með fullnægjandi hætti eins og nánar er lýst í ákvörðun 2. maí 2023. Einnig var því meðal annars lýst að á tíma vettvangsathugunar hefðu tvö atriði falið í sér það alvarlega öryggisveikleika að tilefni gæfist til sektarálagningar. Ekki var þar um að ræða atriði sem gefin voru sérstök fyrirmæli um, enda hafði verið bætt úr þeim við töku úttektarákvörðunar. Hins vegar taldi Persónuvernd að engu að síður bæri að leggja á sekt í ljósi alvarleika veikleikanna á meðan þeir voru til staðar.

Þau atriði sem hér um ræðir lutu annars vegar að skorti á margþátta auðkenningu til aðgangs starfsmanna og veitenda heilbrigðisþjónustu að upplýsingakerfum með heilbrigðisupplýsingum og hins vegar að notkun raungagna í þróunar- og prófunarumhverfi, en í ljósi þessara atriða var talið hafa verið brotið gegn f-lið 1. mgr. 5. gr., 32. gr. og 25. gr. reglugerðar (ESB) 2016/679, sbr. 6. tölul. 1. mgr. 8. gr., 1. mgr. 27. gr. og 24. gr. laga nr. 90/2018.

Í þessu sambandi var vísað til sektarheimilda Persónuverndar samkvæmt 1. mgr., 1. tölul. 2. mgr. og 1. tölul. 3. mgr. 46. gr. laganna. Þá var litið til þess að hjá Sjúkratryggingum fer fram miðlæg vinnsla heilsufarsupplýsinga sem tekur til landsins alls, að um ræðir mikinn fjölda einstaklinga, að ábyrgð Sjúkratrygginga er rík í ljós lögbundins hlutverks stofnunarinnar og að upplýsingar um heilsufar verða að njóta sérstakrar verndar (sjá einkum í þessu sambandi 1., 4. og 7. tölul. 1. mgr. 47. gr. laga nr. 90/2018). Einnig var hins vegar litið til þess að ekki hefði verið um ásetning að ræða, að Sjúkratryggingar sýndu mikinn samstarfsvilja við rekstur málsins, að mikil vinna hafði átt sér stað hjá stofnuninni til að bæta öryggi persónuupplýsinga, að brugðist hafði verið við fyrirmælum Persónuverndar með fullnægjandi hætti, svo og þess að Sjúkratryggingar eru ekki reknar í hagnaðarskyni heldur gegna almannaþjónustuhlutverki (sjá einkum í þessu sambandi 2., 6., 9. og 11. tölul. 1. mgr. 47. gr. laganna.

Með vísan til framangreinds og allra atvika komst Persónuvernd að þeirri niðurstöðu, í ákvörðun 2. maí 2023, að lögð skyldi tveggja milljóna króna stjórnvaldssekt á Sjúkratryggingar.

Tekið skal fram að í ljósi sjónarmiða um upplýsingaöryggi verður ekki talið rétt að birta sektarákvörðunina, né heldur úttektarákvörðun frá 7. júlí 2022.

Persónuvernd

Hafa samband

postur@personuvernd.is

Sími: 510 9600

Afgreiðslu­tími

Virka daga frá 9 til 12 og 13 til 15

Símatími lögfræðinga er alla fimmtudaga frá 9 til 12

Stað­setning

Laugarvegur 166, 4. hæð

105 Reykjavík, Ísland

Kennitala: 560800-2820