03.07.2023
Sekt vegna öryggisveikleika í Heilsuveru
Mál númer 2020061844
Persónuvernd hefur lagt stjórnvaldssekt, að upphæð 12.000.000 króna, á embætti landlæknis vegna öryggisveikleika í upplýsingavefnum Heilsuveru. Embættið hafði tilkynnt um öryggisbrest þegar tveir einstaklingar náðu að sjá gögn sér óviðkomandi. Annars vegar var það vegna veikleika í skilaboðahluta Heilsuveru sem fól í sér að með breytingu á tengistreng gat innskráður notandi nálgast sér óviðkomandi skilaboð sem gátu verið persónugreinanleg. Hins vegar var það vegna veikleika sem gerði innskráðum notendum í mæðraverndarhluta Heilsuveru, sem fengið höfðu aðgang að sónarmynd úr sjúkraskrárkerfi annarrar af tveimur heilbrigðisstofnunum, kleift að sjá viðhengi annarra einstaklinga í sjúkraskrárkerfi viðkomandi stofnunar með breytingu á vefslóð. Framangreint var talið brjóta gegn upplýsingaöryggiskröfum. Viss atriði voru metin til málsbóta, þ. á m. þær öryggisráðstafanir sem viðhafðar eru í Heilsuveru almennt. Í ljósi meðal annars viðkvæms eðlis umræddra upplýsinga og misvísandi og efnislega rangra skýringa við rannsókn málsins var hins vegar komist að þeirri niðurstöðu um sektarálagningu sem fyrr greinir.
Ákvörðun
Hinn 27. júní 2023 tók Persónuvernd svohljóðandi ákvörðun í máli nr. 2020061844, þ.e. um beitingu stjórnsýsluviðurlaga vegna öryggisveikleika í upplýsingavefnum Heilsuveru:
I.
Málsmeðferð
Tildrög máls
Hinn 8. júní 2020 barst Persónuvernd tilkynning frá embætti landlæknis um öryggisbrest í upplýsingavefnum Heilsuveru. Í tilkynningunni segir að persónuupplýsingar einstaklinga hafi orðið aðgengilegar óviðkomandi aðilum í gegnum vefinn.
Með bréfi, dags. 24. júní 2020, óskaði Persónuvernd eftir skýringum embættis landlæknis í tengslum við tilkynninguna. Svarað var með bréfi embættisins, dags. 30. s.m.
Með bréfi, dags. 16. júlí 2020, óskaði Persónuvernd eftir frekari skýringum frá embættinu og var svarað með bréfi, dags. 6. ágúst s.á.
Persónuvernd taldi tilefni geta gefist til álagningar stjórnvaldssektar að fjárhæð u.þ.b. 4.500.000 króna þar sem ófullnægjandi upplýsingaöryggi hefði orsakað umræddan öryggisbrest og var embætti landlæknis sent bréf, dags. 29. júní 2022, þar sem veittur var andmælaréttur í því sambandi. Svarað var með bréfi, dags. 13. september s.á.
Að fengnu síðastnefndu bréfi var talin þörf á frekari skýringum og var þeirra óskað í tölvupósti 24. nóvember 2022 sem svarað var 29. s.m., en í framhaldi af þessum tölvupóstsamskiptum boðaði Persónuvernd vettvangsathugun hjá embætti landlæknis með bréfi, dags. 16. janúar 2023. Fór hún fram 31. s.m. og 8. mars 2023 þegar gert var framhald á henni. Barst í kjölfarið bréf frá embætti landlæknis, dags. 13. mars 2023, ásamt fylgigögnum. Taldi Persónuvernd þá þörf á frekari gögnum og óskaði þeirra með bréfi, dags. 4. apríl 2023. Var gögnunum komið til skila 17. s.m., en að þeim fengnum var embætti landlæknis veitt færi á að tjá sig um lýsingu á áðurnefndri vettvangsathugun, þ.e. í tölvupósti 26. apríl 2023. Svar barst frá embættinu næsta dag.
Í ljósi þess sem rannsókn málsins hafði nú leitt í ljós taldi Persónuvernd tilefni gefast til að hækka áætlaða fjárhæð stjórnvaldssektar í 15.000.000 króna og var embætti landlæknis sent bréf, dags. 12. maí 2023, þar sem veittur var andmælaréttur um þá hækkun. Lögmaður embættisins sendi Persónuvernd í framhaldinu bréf, dags. 19. s.m., með ósk um tilteknar upplýsingar og gögn, en því var bréfi var svarað með bréfi, dags. 30. s.m. Í kjölfar þess barst bréf frá embætti landlæknis, dags. 2. júní 2023, með andmælum fyrir hönd embættisins.
Með hliðsjón af þeirri ógn sem stafaði af COVID-19-sjúkdóminum í íslensku samfélagi og því álagi sem íslensk heilbrigðisyfirvöld voru undir í um tvö ár eftir að tilkynning embættis landlæknis barst Persónuvernd ákvað stofnunin að hafa önnur mál í forgangi. Þegar aðstæður komust í eðlilegt horf hjá heilbrigðisyfirvöldum var hins vegar hafist handa við rannsókn málsins að nýju.
2.
Skýringar embættis landlæknis 30. júní 2020 og 6. ágúst s.á.
Í skýringum embættis landlæknis kemur fram að galli hafi verið í tengistreng vegna samskipta við kerfi utan Heilsuveru. Nánar tiltekið hafi stýringar á API, sem virkjað sé þegar skjöl séu sótt utan Heilsuveru, ekki haft fullnægjandi virkni til að staðfesta réttindi til aðgangs að gögnum. Um tvenns konar öryggisveikleika hafi verið að ræða og hafi það krafist nokkurrar kunnáttu að nýta sér þá. Notandi hafi þurft að vera skráður inn á vef Heilsuveru og slá inn slóð í vafra sem hafi vísað notanda á heilsufarsupplýsingar sem ekki tilheyrðu honum. Líklegasta aðferðin hafi verið sú að afrita vefslóð af eigin innskráningu og hækka teljara í slóðinni. Þeir tveir einstaklingar sem tilkynntu um öryggisveikleikana hafi búið yfir þeirri þekkingu sem til þurfti. Tilgangur þeirra hafi ekki verið að valda tjóni eða komast yfir persónuupplýsingar óviðkomandi og hafi þeir báðir staðfest að hafa eytt þeim gögnum sem þeir sóttu í tengslum við greiningu umræddra öryggisveikleika.
Í skýringum embættis landlæknis segir að í því sem nefnt er tilvik A hafi samskipti heilbrigðisstarfsmanna og notenda Heilsuveru verið aðgengileg óviðkomandi frá árinu 2015 til 8. júní 2020. Allir sem hafi verið skráðir inn í Heilsuveru hafi getað nálgast samskiptin með því að breyta auðkennum í tengistrengjum. Auðkenni samskiptanna í tengistrengjum sé þannig háttað að ekki sé hægt að tengja þau við ákveðna einstaklinga. Því hafi ekki komið fram persónuupplýsingar notenda Heilsuveru, svo sem nöfn eða kennitölur, né annað sem gæti vísað á þá. Þá segir að yfirferð þjónustuaðilans Origo hf. á færsluskrám (e. loggum) sé ekki að fullu lokið. Upplýsingatæknifyrirtækið Syndis ehf. muni rýna niðurstöðu greiningar Origo hf. á færsluskrám að yfirferð lokinni.
Í skýringum embættis landlæknis segir að það sem nefnt er tilvik B tengist breytingum sem gerðar hafi verið á Heilsuveru 28. mars 2019 þegar nýrri einingu, mæðravernd, hafi verið bætt við vefinn. Óviðkomandi hafi getað sótt 205.407 viðhengi, sem sum hafi innihaldið heilsufarsupplýsingar tengdar 41.390 einstaklingum. Viðhengin hafi verið vistuð á Heilbrigðisstofnun Suðurnesja og í þeim hafi verið myndir, pdf-skjöl og Word-skjöl. Einungis þeir einstaklingar, sem hafi verið skráðir inn í Heilsuveru og verið þátttakendur sem foreldrar í mæðravernd, hafi átt raunhæfan möguleika á að nálgast gögn sem ekki hafi tilheyrt þeim. Þá segir að yfirferð Syndis ehf. á færsluskrám hafi leitt í ljós að ekki hefðu fleiri óviðkomandi aðilar en þeir tveir sem gerðu vart við öryggisveikleikana sótt umrædd viðhengi.
Jafnframt segir að lokað hafi verið fyrir aðgang að „Mínum síðum“ um leið og öryggisveikleikanna varð vart 8. júní 2020 og þeir lagfærðir. Syndis ehf. hafi farið yfir greiningu öryggisveikleikanna og skoðað þær breytingar sem Origo hf. lagði til að yrðu gerðar áður en vefurinn hafi verið opnaður aftur. Að auki hafi Syndis ehf. yfirfarið kerfið og staðfest að gerðar breytingar leiðréttu veikleikana eftir að vefurinn hafi verið opnaður aftur sama dag. Þá hafi fyrirtækið skoðað nýja uppfærslu á vefnum með varanlegum lagfæringum 18. júní 2020, en það hafi m.a. falið í sér rýni á forritunarkóða og prófunum.
Loks segir í skýringum embættisins að áður en Heilsuvera hafi verið opnuð fyrir almenningi í október 2014 hafi upplýsingatæknifyrirtækið Security.is og ráðgjafarfyrirtækið Admon ehf. gert úttektir á Heilsuveru. Eftir það hafi verið gerðar úttektir á nýjum tengingum við Heilsuveru eftir atvikum og með hliðsjón af breytingum á vinnslu.
3.
Frekari bréfaskipti
Með bréfi til embættis landlæknis, dags. 29. júní 2022, óskaði Persónuvernd nánari skýringa, þ.e. í tengslum við hvort utanaðkomandi aðilar hefðu fengið aðgang að upplýsingum vegna umrædds öryggisbrests. Var embættinu jafnframt tilkynnt að stofnunin teldi tilefni kunna að gefast til beitingar stjórnvaldssektar að upphæð u.þ.b. 4.500.000 króna þar sem ófullnægjandi öryggi persónuupplýsinga hjá embættinu hefði orsakað brestinn, en í því sambandi var vísað til b- og d-liða 1. mgr. 32. gr. og f-liðar 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. einnig 1. mgr. 27. gr. og 6. tölul. 1. mgr. 8. gr. laga nr. 90/2018. Þá óskaði Persónuvernd eftir afriti af niðurstöðu Syndis ehf. á greiningum Origo hf. á færsluskrám.
Svarað var með bréfi embættisins, dags. 13. september 2022. Í bréfinu segir að í tengslum við það sem nefnt er tilvik A hafi Origo hf. verið falið að greina færsluskrár að nýju og hafi engar óheimilar uppflettingar fundist. Jafnframt segir að í því sem nefnt er tilvik B hafi ekki verið nægjanlega gætt að öryggisatriðum í þeim hluta lausnarinnar sem sótti viðhengi til annarra stofnana þegar nýrri einingu, mæðravernd, hafi verið bætt við vefinn. Þá segir að frekari greining hafi leitt í ljós að óviðkomandi aðilar hafi getað sótt viðhengi notenda Heilsuveru frá september 2019 en ekki 28. mars s.á. eins og áður hafði komið fram í skýringum embættisins. Á þeim tíma sem veikleikinn í tilviki B hafi verið til staðar hafi 2.000 einstaklingar sótt sér skjöl á vefnum í tengslum við mæðravernd. Fjöldi þeirra einstaklinga sem mögulega hefðu getað nýtt sér veikleikann sé því takmarkaður. Þá segir að þær tölur sem fram komu í fyrri skýringum embættisins, þ.e. að óviðkomandi aðilar hefðu getað sótt 205.407 viðhengi, sem sum hafi innihaldið heilsufarsupplýsingar tengdar 41.390 einstaklingum, hefðu verið gróflega áætlaðar út frá alvarlegustu mögulegum afleiðingum öryggisveikleikans.
Þá segir að einungis í undantekningartilvikum hafi verið um að ræða persónugreinanleg skjöl sem hefðu getað verið aðgengileg óviðkomandi aðilum og er þeirri afstöðu lýst að lækka ætti fjárhæð mögulegrar stjórnvaldssektar. Tekið er fram í því sambandi að skjöl, sem könnuð hafi verið við nánari skoðun, hafi verið ópersónugreinanleg, t.d. sónarmyndir, tímapantanir og svör við beiðnum um lyfjaendurnýjun. Þó sé ekki hægt að útiloka að óviðkomandi aðilar hefðu getað sótt viðhengi sem innihéldu heilsufarsupplýsingar.
Að auki segir að við yfirferð þjónustuaðilans Origo hf. á færsluskrám hafi engar óheimilar uppflettingar fundist í færsluskrám að undanskildum uppflettingum þeirra tveggja óviðkomandi aðila sem sóttu umrædd viðhengi og gerðu viðvart um öryggisveikleikann. Upplýsingatæknifyrirtækið Syndis ehf. hafi framkvæmt úttekt á niðurstöðu greiningar Origo hf. og staðfest niðurstöðu hennar.
Í skýrslu Syndis ehf. um úttekt á greiningu umræddra öryggisveikleika, dags. 13. september 2022, kemur m.a. fram að framangreind greining Origo hf. og niðurstöður hennar hafi verið ítarlegar og sýni fram á að kannaðar hafi verið allar þær aðgerðir sem mögulegt hefði verið að framkvæma vegna veikleika í hönnun Heilsuveru. Að mati Syndis ehf. hefði verið útilokað svo sem framast væri unnt að persónuupplýsingar notenda Heilsuveru lentu í höndum óviðkomandi aðila. Þá staðfesti Syndis ehf. einnig að 8. júní 2020 hefðu veikleikarnir í Heilsuveru verið lagfærðir.
4.
Viðbótargagnaöflun og vettvangsathugun
Þegar því hléi lauk sem varð á meðferð máls þessa, sbr. niðurlag 1. kafla hér að framan, óskaði Persónuvernd þess í tölvupósti, hinn 24. nóvember 2022, að embætti landlæknis veitti skýringar og tæki saman gögn vegna umrædds öryggisbrests. Var þess í fyrsta lagi óskað, í tengslum við það sem nefnt er tilvik A, að rökstutt yrði hvernig það mætti vera að engar persónuupplýsingar notenda Heilsuveru hefðu komið fram í samskiptum þeirra við heilbrigðisstarfsmenn, svo og að afhent yrðu gögn sem sýndu fram á það, svo sem skjáskot.
Í svari embættis landlæknis 29. nóvember 2022 segir að á þeim tíma sem bresturinn varð hafi um 75% skilaboða til heilbrigðisstarfsmanna verið beiðnir um lyfjaendurnýjun þar sem engar persónugreinanlegar upplýsingar hefðu komið ef öryggisgallinn hefði verið nýttur. Þar til viðbótar hafi stór hluti skilaboða lotið að neikvæðum niðurstöðum úr COVID-19-skimunum, en jákvæðar niðurstöður hafi verið hringdar út. Skilaboð sem fólk hafi sent á heilsugæslustöð sína hafi auk þess verið takmörkuð að lengd og fólk reynt að hafa þau eins stutt og hægt væri. Hið sama eigi við um svör heilsugæslustöðva og hafi þau oftast verið mjög stutt og ekki innihaldið tengingu við viðkomandi einstakling. Hefði einhver nýtt sér öryggisgallann hefði hann ekki séð hverjum skilaboðin tilheyrðu nema í skilaboðunum eða svarinu hefðu verið persónugreinanlegar upplýsingar. Því til stuðnings hafði svarið að geyma sýnishorn af því hvernig fyrirspurn um lyfjaendurnýjun og svar við henni líta út í viðmóti einstaklings í Heilsuveru, en eins og sjá má þar birtist nafn þess einstaklings í föstum reitum í viðmótinu sem ekki tilheyra sjálfum skilaboðunum sem skoðuð eru hverju sinni. Segir í svari embættis landlæknis að hefði einhver nýtt sér öryggisgallann til að skoða skilaboð annarra hefði hann því séð eigið nafn í viðmótinu en ekki nafn rétts viðtakanda skilaboðanna.
Þess var í öðru lagi óskað af hálfu Persónuverndar að afhent yrðu þau viðhengi sem komust til tveggja óviðkomandi aðila í því sem nefnt er tilvik B, auk stikkprufa af þeim gögnum, þ. á m. sónarmyndum, sem aðrir en réttir viðtakendur gátu að öðru leyti nálgast.
Í svari embættis landlæknis segir að hvorki embættið né Origo hf., vinnsluaðili þess, hafi þau viðhengi undir höndum sem áðurnefndir tveir aðilar fengu aðgang að. Þegar þeir hafi greint embætti landlæknis frá öryggisbrestinum hafi verið haft við þá samband og þeir beðnir um að eyða gögnunum. Við rannsókn á öryggisbrestinum og líklegum afleiðingum hans hafi hins vegar verið kannað hvaða gögn hefði verið hægt að nálgast, þ.e. með gerð slembiúrtaks á gögnum sem óviðkomandi gátu séð. Um hafi verið að ræða galla sem eingöngu einstaklingar, sem skráðir voru í mæðravernd, hefðu getað nýtt sér. Við þá skoðun hafi verið hægt að framkalla sónarmyndir og fleiri gögn sem tengjast mæðravernd, en gögnin hafi ekki verið vistuð heldur eingöngu könnuð. Eftir breytingu á kerfishögun sé ekki lengur hægt að framkalla gögnin.
Að auki segir að embætti landlæknis sé ekki ábyrgðaraðili umræddra gagna heldur viðkomandi heilbrigðisstofnanir sem gerðu þau aðgengileg notendum Heilsuveru. Embætti landlæknis beri hins vegar fulla ábyrgð á brestinum sem ábyrgðaraðili rekstrar og þróunar vefsvæðisins en þyrfti að greina atburðaskráningu aftur í tímann til að finna hvaða gögn viðkomandi aðilar náðu að framkalla og óska eftir þeim frá hlutaðeigandi heilbrigðisstofnunum. Því miður hafi ekki unnist tími til þessa, né heldur til að fá stikkprufur frá stofnununum að gögnum sem að öðru leyti gátu orðið aðgengileg óviðkomandi. Aftur á móti sé rétt að árétta að við öryggisbrestinn hafi upplýsingar aðeins orðið aðgengilegar skráðum notendum mæðraverndar sem sóttu þar viðhengi á þeim mánuðum sem öryggisveikleikinn var til staðar. Engin ummerki hafi fundist um að aðrir en þeir tveir aðilar sem greindu embætti landlæknis frá honum hafi haft aðgengi að gögnum. Þá hafi þjónustan ekki verið í notkun hjá öllum heilbrigðisstofnunum, auk þess sem fjöldi þeirra notenda sem gátu sótt sér óviðkomandi gögn vegna brestsins hafi verið mjög takmarkaður, eða innan við 1.000 manns.
Persónuvernd taldi framangreind svör, ásamt sýnishornum af gögnum, ekki nægja til úrlausnar málsins. Með bréfi, dags. 16. janúar 2023, boðaði Persónuvernd því til vettvangsathugunar til að skoða frekari sýnishorn og var slík athugun gerð í húsnæði embættis landlæknis hinn 31. s.m. Hins vegar voru nauðsynleg og umbeðin gögn þá ekki til reiðu og var því ákveðið að vettvangsathugun yrði fram haldið 6. febrúar s.á. með skoðun á gögnum sem urðu aðgengileg óviðkomandi vegna brestsins, þ. á m. hæfilegu úrtaki sónarmynda.
Vegna ófyrirséðra aðstæðna hjá Persónuvernd var athuguninni frestað til 8. febrúar 2023. Aftur kom til frestunar að ósk embættis landlæknis vegna veikinda starfsmanns og var ákveðið að framhald athugunarinnar færi fram 13. febrúar 2023. Óskaði þá embættið frestunar á ný og var framhald boðað 15. s.m. Fyrir þann tíma barst ósk frá embættinu um frekari frestun, þ.e. til 1. mars 2023 í ljósi forfalla persónuverndarfulltrúa þangað til. Mat Persónuvernd það svo að frestun væri óhjákvæmileg til að árangur yrði af vettvangsathugun. Frestur var því veittur til 20. febrúar 2023 en ekki lengur, þar sem Persónuvernd taldi að þrátt fyrir mikilvægi hlutverks persónuverndarfulltrúa væri það ekki forsenda skoðunar á umræddum gögnum að hann væri viðstaddur hana. Var þá enn óskað frestunar með vísan til þess að persónuverndarfulltrúi hefði séð um öll samskipti við Persónuvernd vegna málsins. Féllst Persónuvernd á þessa frestbeiðni en tók fram að ekki yrðu veittir frekari frestir. Fór framhald vettvangsathugunarinnar því næst fram, þ.e. 8. mars 2023.
Við framhald athugunarinnar var fyrst skoðað það sem kallað er tilvik A. Um var að ræða samskipti í skilaboðahluta Heilsuveru sem valin höfðu verið af handahófi. Í fyrsta lagi var um að ræða neikvæðar niðurstöður úr COVID-19-skimunum sem sendar höfðu verið í Heilsuveru hinn 5. júní 2020, en niðurstöðurnar höfðu ekki að geyma persónurekjanlegar upplýsingar. Í öðru lagi var um að ræða öll þau samskipti sem áttu sér stað í skilaboðahluta Heilsuveru milli kl. 15.00 og 15.30 sama dag og lutu ekki að COVID-19-skimunum. Var um að ræða 151 skilaboðaþráð og mátti sautján sinnum, eða í um einu af hverjum níu tilvikum, greina hvaða sjúkling um var að ræða á grundvelli eins eða fleiri þátta, svo sem fulls nafns viðkomandi sem ritað var í skilaboð, sjaldgæfs eiginnafns, staðsetningar heilsugæslustöðvar, netfangs einstaklings, símanúmers eða kennitölu. Tekið var fram af hálfu embættis landlæknis að slóð á skilaboð hefði ekki verið sýnileg í stiku vafra og að fara hefði þurft inn í sjálfan kóðann og breyta hlaupandi númeri til að skoða einstök samskipti.
Eftir framangreinda skoðun á gögnum úr skilaboðahluta Heilsuveru voru sýnd sýnishorn af gögnum, völdum af handahófi, sem unnt var að nálgast í því sem nefnt er tilvik B. Eins og lýst hefur verið var þar um að ræða gögn frá Heilbrigðisstofnun Suðurnesja, en greint var frá að einnig hefði verið unnt að nálgast gögn frá Heilbrigðisstofnun Suðurlands. Þau sýnishorn sem sýnd voru tilheyrðu fyrrnefndu stofnuninni og voru sónarmyndir ekki þar á meðal, en Persónuvernd hafði óskað sýnishorna af slíkum myndum í fyrri hluta vettvangsathugunar 31. janúar 2023. Á meðal sýnishornanna voru hins vegar hjarta- og heilalínurit, hjúkrunarbréf og sjúkraflutningaskýrslur, ásamt öðru, og mátti sjá límmiða á öllum gögnunum með kennitölu, nafni og heimilisfangi sjúklings. Staðfest var það sem áður hafði komið fram um að hinir skráðu væru um 40.000. Þá var því lýst að konum í mæðraverndarhluta Heilsuveru, sem voru skráðar á áðurnefndum heilsugæslustöðvum, hefði verið veittur aðgangur að sónarmynd sinni inni í sjúkraskrárkerfi stöðvanna og hefðu þá með breytingu á vefslóð getað nálgast aðrar þær myndir sem þar voru skráðar.
Þess var óskað í lok framhalds á vettvangsathugun að Persónuvernd yrðu send fyrrgreind gögn í tengslum við það sem nefnt er tilvik A og var tekið fram að viðhafður skyldi öruggur sendingarmáti. Stofnunin taldi ekki nauðsynlegt að fá afhent þau tilteknu gögn sem sýnd höfðu verið í tengslum við tilvik B og var þar talin nægja sú skoðun sem að framan er lýst.
5.
Bréf í kjölfar vettvangsathugunar
Í kjölfar framhalds vettvangsathugunarinnar sendi embætti landlæknis Persónuvernd bréf, dags. 13. mars 2023, ásamt þeim gögnum sem óskað var eftir við vettvangsathugun, en gögnin þurfti að opna með lykilorði sem sent var aðskilið frá gögnunum. Hvað snertir það sem nefnt er tilvik A er tekið fram að ekki hafi verið um að ræða númer í vefslóð og að fara hafi þurft á bak við tjöldin og eiga við svonefnda parametra á vefsíðunni til að sjá skilaboð vegna óviðkomandi einstaklings. Jafnframt segir að eftir að skilaboðahluti Heilsuveru hafi verið tekinn í notkun hafi heilsugæslustöðvar framan af verið tregar til að nýta hann til annars en lyfjaendurnýjana. Hinn 8. júní 2020 hafi um 600.000 samskiptaþræðir verið vistaðir í Heilsuveru, en að stórum hluta hafi verið um að ræða lyfjaendurnýjanir án persónugreinanlegra upplýsinga, auk þess sem vistuð hafi verið 62.734 neikvæð svör úr COVID-19-skimunum. Að langmestu leyti hafi skilaboðin ekki innihaldið texta sem gerði þau persónugreinanleg, auk þess sem talsverða tækniþekkingu hafi þurft til að nýta sér umræddan öryggisgalla.
Í tengslum við það sem nefnt er tilvik B er tekið fram að aðgangur verðandi mæðra að sónarmynd úr rafrænni mæðraskrá hafi verið gallaður þannig að hægt hafi verið að nálgast önnur viðhengi á þeirri heilbrigðisstofnun þar sem hin verðandi móðir sótti mæðravernd. Áréttað er að á þeim tíma sem öryggisgallinn uppgötvaðist hafi eingöngu verið búið að opna fyrir aðgang verðandi mæðra sem voru í mæðravernd á Heilbrigðisstofnun Suðurnesja og Heilbrigðisstofnun Suðurlands. Til að geta nýtt öryggisgallann hafi hin verðandi móðir þurft að eiga sónarmynd sem viðhengi. Á þessum tveimur stöðum séu fæðingar innan við 200 á ári. Verðandi mæður sem höfðu aðgang að mæðraskrá sinni í Heilsuvera á þessum tíma hafi ekki allar átt sónarmynd.
Tekið er fram að embætti landlæknis hafi í upphafi talið að þau viðhengi, sem verðandi mæður gátu nálgast, hefðu mjög sjaldan verið persónugreinanleg. Þegar dæmi hafi verið skoðuð frá Heilbrigðisstofnun Suðurnesja hafi hins vegar komið í ljós að mikið hafi verið um skönnuð skjöl sem mörg hver hafi mátt rekja til einstaklinga.
Að auki segir að þegar öryggisgallinn uppgötvaðist í fyrri hluta júnímánaðar 2020 hafi verið unnið hörðum höndum að ýmsum verkefnum tengdum COVID-19, þ. á m. því mjög umfangsmikla verkefni að setja upp skimanir fyrir smitum á landamærum. Þrátt fyrir þessar annir telji embættið að ekki hefði verið hægt að bregðast við með betri hætti þegar vart varð við öryggisgallann.
6.
Frekari gagna óskað – Athugasemdir um lýsingu á vettvangsathugun
Persónuvernd taldi þörf á frekari gögnum sem tengdust því sem nefnt er tilvik B, þ.e. sýnishornum af sónarmyndum, en eins og fyrr greinir voru slíkar myndir ekki sýndar við þá vettvangsathugun sem gerð var dagana 31. janúar og 8. mars 2023. Var embætti landlæknis því sent bréf, dags. 4. apríl 2023, þar sem óskað var eftir myndum sem þessum sem óviðkomandi gátu nálgast vegna öryggisbrestsins og var tekið fram að fimm myndir teldust hæfilegt úrtak. Bárust í kjölfarið, þ.e. 17. apríl 2023, fimm sýnishorn af sónarmyndagögnum sem unnt var að opna, en í hvert sinn var annars vegar um að ræða ómskoðunarbeiðni verðandi móður til Landspítala og hins vegar nokkurt safn sónarmynda sem teknar voru vegna beiðninnar. Var hver beiðni auðkennd með nafni og kennitölu móður, en kennitala hennar var einnig á hverri og einni mynd.
Að fengnum þessum gögnum var embætti landlæknis send lýsing á því sem fram fór við áðurnefnda vettvangsathugun, þ.e. í tölvupósti 26. apríl 2023. Í svari embættisins degi síðar var áréttað það sem greinir í 5. kafla hér að framan um fjölda verðandi mæðra sem gátu nálgast gögn sér óviðkomandi.
7.
Bréfaskipti vegna hækkunar á áætlaðri sektarfjárhæð
Með bréfi til embættis landlæknis, dags. 12. maí 2023, greindi Persónuvernd frá hækkun á áætlaðri fjárhæð stjórnvaldssektar í tengslum við umræddan öryggisbrest, þ.e. úr u.þ.b. 4.500.000 króna í u.þ.b. 15.000.000 króna og var veittur andmælaréttur um það atriði. Í því sambandi var vísað til sömu ákvæða reglugerðar (ESB) 2016/679 og laga nr. 90/2018 og nefnd höfðu verið í andmælaréttarbréfi 29. júní 2022, auk 25. gr. reglugerðarinnar og 24. gr. laganna. Barst í framhaldinu bréf frá lögmanni fyrir hönd embættisins, dags. 19. maí 2023, þar sem óskað var tiltekinna upplýsinga og gagna. Við þeirri ósk var orðið með bréfi Persónuverndar til lögmannsins, dags. 30. s.m., og barst í kjölfarið bréf frá embætti landlæknis, dags. 2. júní 2023.
Í bréfinu er farið yfir skilgreiningu 11. tölul. 1. mgr. 3. laga nr. 90/2018 á hugtakinu öryggisbrestur, þ.e. að um ræði brest á öryggi sem leiðir til þess að tilteknar öryggisógnir raungerast. Segir að hugtakið geri því ekki ráð fyrir að mögulegur aðgangur að persónuupplýsingum geti fallið þar undir, né heldur að líta beri til þess hvað hefði getað orðið. Þess í stað nái hugtakið til þess þegar raunverulegur aðgangur fáist að persónugreinanlegum upplýsingum. Verði því að gera greinarmun á því hvenær galli eða veikleiki í kerfi geti leitt til þess annars vegar að utanaðkomandi aðila sé gert kleift eða auðveldara um vik að misnota aðgang sinn til að nálgast upplýsingar sem ekki tilheyra honum og hins vegar að upplýsingar séu í reynd veittar utanaðkomandi aðila. Í þessu sambandi er því lýst að umræddir öryggisveikleikar í Heilsuveru hafi verið sérstaklega framkallaðir og nýttir af einstaklingi, verðandi föður, sem sé menntaður tölvunarfræðingur. Barnsmóðir hans hafi auðkennt sig og skráð sig inn í kerfi Heilsuveru með rafrænum skilríkjum til þess að skoða sónarmynd. Hafi hinn verðandi faðir, í krafti sérþekkingar sinnar og reynslu, framkvæmt breytingar á tengistreng að því er næst verði komist, í þeim tilgangi að kanna hvort hægt væri að framkalla og nýta veikleika í kerfinu. Í framhaldinu hafi hann ákveðið að kanna hvort svipað gæti átt við um aðrar kerfiseiningar innan Heilsuveru og náð að framkvæma svipaða aðgerð í skilaboðahluta kerfisins. Þar hafi þurft frekari þekkingu til þar sem virkja hafi þurft þróunarham til þess að geta orðið sér úti um tengistrenginn. Til að staðfesta tilvist veikleikanna hafi hinn verðandi faðir haft samband við kollega sinn sem hafi staðfest þá.
Með vísan til þessa segir að þrennt hafi þurft til svo að öryggi upplýsinga yrði ógnað: Í fyrsta lagi hafi notandi þurft að vera skráður inn í Heilsuveru með rafrænum skilríkjum, í öðru lagi vita af tilvist umræddra veikleika og í þriðja lagi hafa bæði þekkingu og reynslu til að framkvæma þá röð aðgerða, eina eða fleiri, sem hafi þurft til að framkalla þá. Vegna þessa sé embætti landlæknis ósammála því að tiltekinn fjöldi viðhengja í sjúkraskrárkerfum hafi verið aðgengilegur óviðkomandi í gegnum vef Heilsuveru á tímabilinu 28. mars 2019 til 8. júní 2020. Samkvæmt greiningu á aðgerðaskrám hafi enginn nýtt sér veikleikana utan þeirra tveggja skráðu notenda sem fyrr greinir. Þá hafi þessir notendur þegar í stað tilkynnt um veikleikana til vinnsluaðila embættisins, Origo hf., sem jafnframt hafi gert embættinu viðvart. Veikleikarnir hafi því í raun aðeins verið framkallaðir og nýttir af einum einstaklingi, við mjög afmarkaðar aðstæður, en hann hafi síðan beðið annan einstakling um að framkvæma veikleikana og væntanlega leiðbeint honum í þeim efnum.
Tekið er fram að strax og embætti landlæknis hafi borist vitneskja um umrædda veikleika hafi kerfið verið tekið niður og viðeigandi breytingar gerðar. Ekki sé hægt að segja annað en að viðbrögð hafi verið eins og best verði á kosið, en ekki hafi liðið nema 38 mínútur frá því að Origo hf. fékk vitneskju um gallann kl. 11.07 þar til kerfið hafi verið tekið niður kl. 11.45. Auk þess hafi það ekki tekið nema fimm klst. og fjórar mínútur að gera nauðsynlegar lagfæringar, staðfesta að þær væru fullnægjandi og koma kerfinu aftur í notkun kl. 16.11. Óumdeilt sé að engar persónuupplýsingar hafi birst eða verið birtar óviðkomandi í viðmóti kerfisins og hafi veikleikarnir ekki verið framkallaðir í annarlegum tilgangi heldur einfaldlega til að staðfesta þá. Í því skyni hafi viðkomandi notendur, sem aðeins hafi verið tveir, fengið aðgang að sex skjölum úr mæðraverndarhluta Heilsuveru og þremur skilaboðum notenda Heilsuveru. Því sé það skýrt að umfang veikleikanna hafi verið mjög afmarkað og er áréttað að sérstaka tækniþekkingu hafi þurft til að nýta sér þá. Auk þess sé hafið yfir skynsamlegan vafa, í ljósi málsatvika, að líkurnar á aðgangi óviðkomandi hafi verið hverfandi og hafi það veruleg áhrif á mat á því hvort yfir höfuð komi til álita að beita sektarheimild persónuverndarlöggjafarinnar.
Ekki sé þannig hægt að líta til þess hvert umfangið hefði getað orðið ef tilteknir notendur Heilsuveru hefðu ákveðið að nýta sér veikleikana til að nálgast upplýsingar sem ekki tilheyrðu þeim. Jafnframt liggi fyrir aðgerðaskráningar sem staðfesti að utan umræddra tveggja einstaklinga hafi enginn nálgast upplýsingar sem ekki tilheyrðu honum og sé það grundvallaratriði í málinu. Á þeim tíma sem hér um ræðir hafi 82 konur átt viðhengi í mæðraverndarhluta Heilsuveru og hafi þær einar getað nálgast viðhengi úr sjúkraskrárkerfum sem ekki hafi tilheyrt þeim. Þar sem allar aðgerðir innskráðra notenda séu skráðar hafi líkur á að óprúttnir aðila nýttu sér öryggisveikleika í ólögmætum tilgangi verið hverfandi og sé það grundvallaratriði að taka mið af því sem raunverulega átti sér stað en ekki því sem hugsanlega hefði getað gerst.
Með vísan til framangreinds er þeirri afstöðu lýst að ekki hafi verið brotið gegn 1. mgr. mgr. 27. gr. laga nr. 90/2018, sbr. einnig 6. tölul. 1. mgr. 8. gr. og 24. gr. laganna. Tekið er fram að með engum hætti hafi verið rökstutt með hvaða hætti brotið hafi verið gegn síðastnefnda ákvæðinu, en ekki sé byggt á því að Heilsuvera hafi verið sett upp með þeim hætti að strítt hafi gegn meginreglum persónuverndarlöggjafarinnar, svo sem um lágmörkun gagna og í tengslum við réttindi hinna skráðu. Að auki hafi ekki verið byggt á því að upplýsingar hafi verið varðveittar of lengi eða að aðgangsheimildir hafi ekki verið rétt stilltar, en síðarnefnda atriðið taki ekki til ólögmæts aðgangs vegna öryggisbrests heldur úthlutunar aðgangs og kerfisstillinga. Þá segir að ekki verði séð hvaða önnur atriði er lúta að innbyggðri og sjálfgefinni persónuvernd geti reynt á í málinu og sé því þar af leiðandi alfarið hafnað að á það atriði reyni. Staðreyndin sé enda sú að ávallt hafi verið lögð gríðarleg áhersla á það við uppsetningu Heilsuveru, svo og stillingar og vinnslu persónuupplýsinga í kerfinu, að kröfum umrædds ákvæðis sé fullnægt. Segir jafnframt að gera verði kröfu um að stjórnvald, sem hyggst beita sektum, rökstyðji með skýrum hætti í hverju meint brot eiga að hafa falist svo að hægt sé að gæta andmælaréttar með fullnægjandi hætti, en það hafi ekki verið gert í máli þessu.
Í framhaldi af þessu er fjallað um sjónarmið tengd boðaðri sektarfjárhæð. Segir í því sambandi að ákveði Persónuvernd, gegn andmælum embættis landlæknis, að leggja á sekt geti engan veginn verið réttlætanlegt að hún nemi 15.000.000 króna, en tvær hæstu sektirnar, sem stofnunin hafi beitt til þessa, hafi annars vegar numið 7.500.000 króna og hins vegar 5.000.000 króna. Því hafi verið lýst í ákvörðun um fyrrnefndu sektina, dags. 23. nóvember 2021 (mál nr. 2020092288), að vinnsluheimild hafi skort, að meginreglur hafi ekki verið uppfylltar, að fræðsla hafi verið ófullnægjandi, að ekki hafi verið gripið til fullnægjandi öryggisráðstafana og að ekki hafi verið gerður vinnslusamningur við vinnsluaðila. Auk þess hafi sérstaklega verið litið til þess að 226.158 einstaklingar hafi fengið ófullnægjandi fræðslu í tengslum við vinnsluna og hafi því verið um mjög stóran hóp skráðra einstaklinga að ræða. Þá hafi komið fram í ákvörðun um síðarnefndu sektina, dags. 3. maí 2022 (mál nr. 2021040879), að vinnsluheimild hafi skort, að brotið hafi verið gegn meginreglum og að persónuupplýsingar hafi verið fluttar til þriðja lands án fullnægjandi ráðstafana. Hafi jafnframt verið sérstaklega litið til þess að hinir skráðu voru börn og að unnið var með viðkvæmar persónuupplýsingar.
Tekið er fram í bréfi embættis landlæknis að í því máli sem hér er til umfjöllunar færi um sekt samkvæmt 2. mgr. 46. gr. persónuverndarlaga. Sektarrammi samkvæmt því ákvæði sé helmingur af sektarramma sem við eigi um brotin sem framangreind tvö mál lutu að, þ.e. samkvæmt 3. mgr. 46. gr. laganna. Með hliðsjón af því fáist engan veginn séð að boðuð sektarfjárhæð nú fái samrýmst meðalhófs- og jafnræðisreglum stjórnsýslulaga. Er í því sambandi vikið að ákvörðun Persónuverndar, dags. 29. apríl 2021 (mál nr. 2020010355), þar sem fjallað var um tilvik þar sem sjá mátti upplýsingar sér óviðkomandi með því að breyta tengistreng með sama hætti og í því sem nefnt er tilvik B. Bent er á að eins og fram kemur í umræddri ákvörðun sóttu tveir einstaklingar upplýsingar um samtals 424 börn á Íslandi og í Svíþjóð og að lögð var á sekt að fjárhæð 3.500.000 króna. Jafnframt segir að umfangið vegna umrædds öryggisveikleika í Heilsuveru sé engan veginn sambærilegt eða jafnumfangsmikið og í þessu máli, enda hafi utanaðkomandi þar eingöngu sótt upplýsingar um níu einstaklinga. Tekið er fram í því sambandi að sannanlega hafi upplýsingarnar verið viðkvæmari en í eldra málinu, en á móti komi að þar hafi verið um að ræða viðkvæman flokk skráðra einstaklinga. Þá fái Embætti landlæknis ekki séð að önnur atvik réttlæti nú næstum fimm sinnum hærri sektarfjárhæð.
Að svo búnu er farið yfir þau einstöku atriði sem líta ber til við beitingu viðurlagaheimilda Persónuverndar í ljósi 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðar (ESB) 2016/679. Hvað snertir eðli og alvarleika brots (1. tölul. lagaákvæðisins) er áréttað það sem fyrr greinir um að hér reyni á sektarramma samkvæmt 2. mgr. 46. gr. laganna en ekki 3. mgr. sömu greinar. Tekið er fram að jafnvel þótt vísað sé til 6. tölul. 1. mgr. 8. gr. laganna, sbr. f-lið 1. mgr. 5. gr. reglugerðarinnar og 1. tölul. 3. mgr. 46. gr. laganna, verði meintur skortur á fullnægjandi öryggisráðstöfunum ekki talinn fela í sér alvarlegt brot, enda hefði það þá enga þýðingu að fella meint brot undir hinn vægari sektarramma, sbr. 1. tölul. 2. mgr. 46. gr. laganna og 32. gr. reglugerðarinnar, sbr. einnig 1. mgr. 27. gr. laganna. Jafnframt segir að öryggisbrestur hafi aðeins staðið yfir í 5 klst. og 4 mínútur og er því mótmælt að miða beri tímalengd við það hversu lengi öryggisveikleikar, sem skráður notendur gátu tæknilega misnotað, voru til staðar, sbr. umfjöllun embættis landlæknis um hugtakið öryggisbrest sem rakið er hér framar.
Að auki er vísað til þess tilgangs vinnslu persónuupplýsinga í Heilsuveru að veita notendum heilbrigðisþjónustu, þ.e. öllum almenningi í landinu, rafrænt aðgangi að slíkri þjónustu hjá veitendum hennar. Embætti landlæknis sé falið það hlutverk að tryggja rafræn samskipti milli þessara aðila og jafnframt að stuðla að hagkvæmri nýtingu þeirra takmörkuðu auðlinda sem heilbrigðiskerfið býr yfir. Tilgangurinn með rafvæðingu mæðraverndar hafi meðal annars verið sá að tryggja öryggi verðandi mæðra með því að stuðla að því að nauðsynlegar upplýsingar væru alltaf aðgengilegar þeim sem veita þeim þjónustu og einnig verðandi foreldrum sjálfum. Rafrænum samskiptum sé þannig komið í öruggari farveg, ásamt því að dregið sé úr álagi á heilbrigðisstofnanir og vistun nauðsynlega upplýsinga í sjúkraskrá tryggð. Þá verði ekki hjá því komist að benda á að starfsemi embættis landlæknis sé ekki hagnaðardrifin og feli í sér þjónustu í almannaþágu sem sé mikilvæg öllum almenningi í landinu. Hafi slíkt almennt orðið til lækkunar á mögulegri sektarfjárhæð í framkvæmd Persónuverndar, en það hvers vegna umræddir öryggisveikleikar í Heilsuveru voru nýttur af utanaðkomandi, þ.e. til þess eingöngu að sannreyna veikleikana, eigi að leiða til hins sama.
Tekið er fram að umfang öryggisbrests eigi að taka mið af því sem fyrr greinir um afmörkun embættis landlæknis á tímalengd brestsins, svo og þeim fjölda einstaklinga sem utanaðkomandi sóttu upplýsingar um. Í þessu sambandi er sú afstaða jafnframt áréttuð að ekki beri að líta til þess hvað hefði getað gerst vegna umrædds öryggisveikleika. Er því mótmælt að um hafi rætt sjúkraskrárupplýsingar tuga þúsunda einstaklinga, enda hafi upplýsingar sannanlega ekki verið aðgengilegar óviðkomandi aðilum á því tímabili sem veikleikinn var til staðar, jafnvel þó svo að hann hafi gert óviðkomandi hægara um vik með að misnota kerfið til að nálgast upplýsingar annarra. Í þessu felist að meta beri umfang öryggisbrests svo að tveir einstaklingar hafi skoðað samtals níu skjöl sem tilheyrt hafi níu einstaklingum og verði að meta það embætti landlæknis til málsbóta hversu takmarkaður bresturinn var. Þá beri að meta það embættinu til málsbóta að enginn skráður einstaklingur hafi orðið fyrir tjóni.
Varðandi það hvort brot hafi verið framið af ásetningi eða gáleysi (2. tölul. 1. mgr. 47. gr. laga nr. 90/2018) er það sagt óumdeilt að enginn skráður einstaklingur hafi orðið fyrir tjóni. Í tengslum við aðgerðir til að draga úr tjóni skráðra einstaklinga (3. tölul. ákvæðisins) er jafnframt tekið fram að embætti landlæknis hafi umsvifalaust gripið til aðgerða til að takmarka líkur á tjóni vegna umrædds öryggisbrests, en veikleiki í Heilsuveru hafi verið lagfærður samdægurs og utanaðkomandi sérfræðingar fengnir til að tryggja að gripið hefði verið til fullnægjandi ráðstafana.
Hvað snertir ábyrgð með tilliti til tæknilegra og skipulagslegra ráðstafana (4. tölul. lagaákvæðisins) segir að úttekt hafi verið gerð á Heilsuveru áður en skilaboðavirkni var virkjuð og hafi komið fram að allar heimildir til uppflettinga byggðu á kennitölum notenda. Fyrir mistök hafi sú virkni ekki verið útfærð með þeim hætti í því sem nefnt er tilvik A og hafi sama högun og þar verið endurnýtt þegar mæðraverndarhluta var bætt við, sbr. það sem nefnt er tilvik B. Mögulegt sé að ítarlegri úttekt hefði fangað veikleikann, en það verði ekki fullyrt með óyggjandi hætti. Hins vegar hafi öryggi persónuupplýsinga verið meginhönnunarforsenda Heilsuveru og þar byggt á meginmarkmiðum embættis landlæknis um öryggi net- og upplýsingakerfa í heilbrigðisþjónustu, þ. á m. um að allar upplýsingar í net- og upplýsingakerfum þeirra sem veita heilbrigðisþjónustu séu verndaðar á viðunandi hátt fyrir öllum ógnum, innri sem ytri, hvort sem þær stafi af ásetningi, óhöppum eða slysni.
Nánar segir í þessu sambandi að á meðal aðgerða embættis landlæknis til að tryggja öryggi upplýsinga í Heilsuveru sé notkun þriggja laga högunar þar sem vefur, vefþjónustur og gagnagrunnur séu hýst á þremur mismunandi netþjónum með eldveggjum á milli, en sú högun tryggi öryggi upplýsinga eins og best verði á kosið gagnvart innbrotum og torveldi mjög að óviðkomandi komist í gögn kerfisins; að Heilsuvera sjálf geymi mjög takmarkað magn gagna og dulkóði jafnframt öll persónugreinanleg atriði, en byggt sé á upplýsingum sem sóttar séu með dulkóðuðum samskiptum um lokað heilbrigðisnet (Heklu) í sjúkraskrárkerfi þeirra sem veita heilbrigðisþjónustu, þ.e. í gáttir sem þeir reki; að öll samskipti tækja notenda við vefþjóna Heilsuveru séu dulkóðuð og byggi á viðurkenndum búnaðarskilríkjum; að Heilsuveru sé valin hýsing með útboði hjá öflugustu hýsingaraðilum landsins, en núverandi hýsingaraðili, Origo hf., sé með vottun um að fara eftir ISO-27001-öryggisstaðlinum; að kerfið sé varið með mjög öflugum innbrotavörnum, ásamt því að haft sé strangt eftirlit með tilraunum til innbrota, en það eftirlit hafi meðal annars borið kennsl á prófanir sem Syndis ehf. hafi gert fyrir ráðuneyti netöryggismála og sem engir opinberir aðilar hafi orðið varir við; og að aðgerðaskráning í Heilsuveru sé mjög ítarleg og allar aðgerðir skráðar, en það hafi gert það að verkum að eingöngu þeir sem greindu frá umræddum veikleika hafi nýtt sér hann.
Í tengslum við það hvort fyrri brot eigi að hafa áhrif (5. tölul. 1. mgr. 47. gr. laga nr. 90/2018) er tekið fram að ekki reyni á nein slík brot sem máli skipti. Varðandi umfang samvinnu við Persónuvernd (6. tölul. ákvæðisins) segir jafnframt að þegar öryggisbrestur var tilkynntur til Persónuverndar hafi ekki legið fyrir allar upplýsingar um eðli hans og umfang, svo sem um mögulegan fjölda einstaklinga sem bresturinn kynni að geta haft áhrif á. Aðaláherslan af hálfu embættis landlæknis hafi verið sú að sinna lögbundinni tilkynningarskyldu til Persónuverndar og leggja eftir bestu vitund mat á fjölda einstaklinga og skráa sem bresturinn gat mögulega haft áhrif á. Í framhaldinu hafi upplýsingum verið miðlað til Persónuverndar eftir því sem betra yfirlit hafi fengist, en í ljós hafi komið á síðari stigum að umfang öryggisbrestsins hafi verið miklu mun minna en í fyrstu hafi verið ætlað, en í ljós hafi komið að engir aðrir en þeir sem tilkynntu um umræddan öryggisveikleika hefðu nýtt sér hann.
Vísað er til umfjöllunar í andmælaréttarbréfi frá Persónuvernd, dags. 12. maí 2023, þess efnis að veittar hafi verið misvísandi og efnislega rangar skýringar við meðferð málsins. Þessu mótmælir embætti landlæknis harðlega og segir að skýringar þess hafi ávallt tekið mið af bestu fyrirliggjandi upplýsingum. Þegar liðið hafi á málarekstur Persónuverndar og frekari skýringa og gagna hafi verið óskað hafi umfang og eðli öryggisbrestsins endanlega komið í ljós, en upplýsingar þar að lútandi hafi ekki verið fyrirliggjandi hjá embætti landlæknis og vinnsluaðila. Ástæða þess sé uppbygging Heilsuveru, en svo sem fyrr greinir séu gögn ekki geymd í kerfinu sjálfu heldur hjá viðkomandi heilbrigðisstofnunum, þó að undanskildum skilaboðum sem vistuð séu miðlægt til að tryggja aðgengi notenda og skilvirkni kerfisins. Þá segir að skilaboðin teljist til sjúkraskrárupplýsinga og séu heilbrigðisstofnanirnar því ábyrgðaraðilar þeirra með sama hætti og að öðrum gögnum. Hafi embætti landlæknis ekki heimild til að afla sér aðgangs að gögnum sem vistuð séu hjá stofnununum, né heldur stjórn á því hvernig þau séu vistuð og hvort þau séu merkt einstaklingum eður ei. Því hafi embættið ekki verið í aðstöðu til að kanna slíkt ítarlega eins og Persónuvernd hafi verið upplýst um í fyrri hluta vettvangsathugunar 31. janúar 2021. Í samræmi við ósk, sem þar hafi komið fram frá stofnuninni, hafi embættið aflað sýnishorna af umræddum gögnum og þá talið að eingöngu væri um að ræða sónarmyndir. Við skoðun skjala að beiðni Persónuverndar hafi hins vegar komið í ljós að svo hafi ekki verið, sem og að hjá viðkomandi heilbrigðisstofnun hafi verið fylgt þeirri venju að merkja öll viðhengi í sjúkraskrárkerfi með nafni og kennitölu viðkomandi sjúklings áður en þau voru skönnuð. Hafi ekki verið búist við því og hafi embætti landlæknis upplýst Persónuvernd um það í síðari hluta vettvangsheimsóknar 8. mars 2023, en samkvæmt því hafi skýringar embættisins aldrei verið efnislega misvísandi og rangar heldur byggðar á fyrirliggjandi upplýsingum hverju sinni. Þá hafi verið eðlilegt að þær tækju breytingum við nánari skoðun sem embætti landlæknis hafi verið ómögulegt að gera að eigin frumkvæði. Að auki vísar embætti landlæknis til umfjöllunar í áðurnefndu andmælaréttarbréfi, þess efnis að tafir hafi orðið á veitingu aðgangs að gögnum í þágu rannsóknar málsins, þ.e. á fyrrgreindum sónarmyndum. Áréttað er í því sambandi að það sé ekki á færi embættisins að nálgast umrædd gögn að eigin frumkvæði. Þá er því mótmælt að tafir hafi orðið á afhendingu umbeðinna sónarmynda, enda hafi það verið skilningur embættis landlæknis og fulltrúa Origo hf. við vettvangsathugun að afhendingar slíkra mynda gerðist ekki þörf þar sem fram hefði komið við athugunina að þær væru persónugreinanlegar. Því hafi í fyrstu eingöngu verið afhent sýnishorn af annars konar viðhengjum, en auk þess hafi erindum Persónuverndar verið svarað eins fljótt og auðið var og í þeim tilvikum sem það gerðist síðar en farið var fram á í bréfum stofnunarinnar hafi það ávallt verið innan framlengds svarfrests sem stofnunin hafi fallist á að veita. Ýmsar ástæður hafi verið fyrir þörf á frestun, svo sem að bréf Persónuverndar hafi borist þegar flestir starfsmenn voru í sumarleyfi og í að ljós hafi komið að ábyrgur starfsmaður Persónuverndar hafi verið það einnig þegar upprunalegur svarfrestur var liðinn. Enn fremur megi líta til þess að frestanir á tímasetningu vettvangsathugunar hafi verið tilkomnar vegna veikinda og leyfa starfsmanna embættis landlæknis, auk þess sem Persónuvernd hafi sjálf frestað fyrri hluta athugunarinnar vegna óviðráðanlegra aðstæðna. Þá megi benda á að beiðni um gögn í nóvember 2022 hafi borist eftir hefðbundinn skrifstofutíma á fimmtudegi og svara óskað fyrir hádegi á þriðjudegi, auk gagna sem embætti landlæknis hafi ekki haft tök á að nálgast.
Tekið er fram í þessu sambandi að þegar öryggisbrests hafi orðið vart hafi verið gripið til mjög harkalegra aðgerða og Heilsuvera tekin niður á meðan veikleikar í kerfinu voru greindir og lagfærðir. Því er lýst að þetta eigi að vera metið embætti landlæknis í hag og segir að það fæli í sér skýrt brot gegn meðalhófsreglu stjórnsýsluréttar að meta það sem íþyngjandi að ekki hafi verið full vitneskja um eðli og umfang öryggisbrests í upphafi og hann reynst vera síður alvarlegur en útlit var fyrir. Þá segir að það fæli einnig í sér brot á meðalhófi að láta drátt á svörum og afhendingu gagna leiða til mikillar hækkunar sektar. Erfitt sé að sjá að slíkt hafi haft einhver áhrif á framgang málsins, en tæp tvö ár hafi liðið milli svara sem embætti landlæknis hafi veitt Persónuvernd í ágúst 2020 þar til andmælaréttarbréf í tengslum við beitingu sektarheimildar hafi borist því í júní 2022. Þar sem umræddur veikleiki í Heilsuveru hafi verið lagfærður samdægurs hafi engin yfirstandandi öryggisógn kallað á að málsmeðferð yrði hröð tveimur árum síðar.
Hvað snertir flokka persónuupplýsinga sem brot hefur áhrif á (7. tölul. 1. mgr. 47. gr. laga nr. 90/2018) er vísað til þess að samkvæmt fyrrnefndu bréfi Persónuverndar, dags. 12. maí 2023, sé um að ræða sjúkraskrárupplýsingar tugþúsunda einstaklinga. Þessu er alfarið mótmælt og áréttað það sem fyrr greinir um að öryggisbresturinn hafi aðeins náð til níu einstaklinga. Jafnframt segir að þó svo að Persónuvernd teldi að líta verða til alvarlegri brests sem hefði getað orðið, gegn andmælum embættis landlæknis, sé alls óvíst hvort viðkomandi einstaklingar hefðu allir verið persónugreinanlegir. Að auki er vísað til þess að samkvæmt áðurnefndu bréfi hafi um einn af hverjum níu tiltekinna skilaboðaþráða, sem skoðaðir voru við vettvangsathugun, verið persónugreinanlegir. Í tengslum við það atriði er tekið fram að um hafi rætt skilaboð send á tímum Covid-19-faraldursins og hafi notkun á Heilsuveru þá verið nokkuð breytt og aukin að umfangi frá sem áður var. Þannig byggi Persónuvernd hér aðeins á mjög takmörkuðu úrtaki af skilaboðum sem send voru tiltekinn dag í kringum þann tíma sem öryggisbresturinn uppgötvaðist og séu ópersónugreinanleg svör um neikvæðar Covid-19-skimanir ekki með í úrtakinu. Þá sé óljóst hvort þau skilaboð sem Persónuvernd metur sem persónugreinanleg skilaboð hafi verið verið það í raun og veru, enda liggi ekki fyrir yfirlit yfir mat Persónuverndar. Megi í því sambandi líta til nýlegs dóms Evrópudómstólsins frá 23. apríl 2023 í máli nr. T-557/20, en samkvæmt þeim dómi verði, við mat á hvort um persónugreinanlegar upplýsingar sé ræða, að líta til þess hversu líklegt sé að aðili sem fær gögn í hendur geti persónugreint þau.
Varðandi það hvernig Persónuvernd var gert viðvart um brot (8. tölul. 1. mgr. 47. gr. laga nr. 90/2018) er það sagt óumdeilt að embætti landlæknis hafi tilkynnt um öryggisbrestinn til Persónuverndar. Um fylgni við fyrirmæli um ráðstafanir til úrbóta (9. tölul. ákvæðisins) segir að Persónuvernd hafi ekki gefið embættinu slík fyrirmæli, enda hafi það að eigin frumkvæði gripið til nauðsynlegra aðgerða til að koma í veg fyrir skaðlegar afleiðingar öryggisbrests. Í tengslum við fylgni við viðurkenndar hátternisreglur eða viðurkennt vottunarfyrirkomulag (10. tölul. ákvæðisins) segir að engar hátternisreglur hafi verið samþykktar sem við eigi í málinu. Þá segir um aðra íþyngjandi og mildandi þætti, svo sem hagnað sem orðið hafi af broti (11. tölul. ákvæðisins), að embætti landlæknis hafi ekki hagnast af umræddum öryggisbresti, auk þess sem áréttað er að í ljósi meðalhófsreglu stjórnsýslulaga sé boðuð sekt álitin allt of há og ekki í samræmi við fyrri sektarákvarðanir Persónuverndar.
Í lok bréfs embættis landlæknis er tekið fram að það hafi verulegar áhyggjur af því fordæmi sem Persónuvernd kunni hér að setja, ekki síst með hliðsjón af því að um hafi rætt mjög afmarkaðan öryggisbrest vegna aðgangs tveggja tölvunarfræðinga að mjög afmörkuðum gögnum. Þeir hafi eytt þeim strax og tilkynnt embættinu um veikleikann. Alþekkt sé, hérlendis sem erlendis, að sérfræðingar sem þessir leiti að veikleikum, hvort sem er samkvæmt beiðni eða óumbeðnir, og tilkynni ábyrgðaraðilum um þá. Stórfyrirtæki séu því oft á tíðum með sérstakt fyrirkomulag til að óska eftir slíkum ábendingum gegn greiðslu (e. bug bounty). Algjörlega sé ljóst að með sektarákvörðun í þessu máli kynni slíkt að verða mjög erfitt, auk þess sem ábyrgðaraðilar gætu farið að hræðast það að tilkynna öryggisbresti til Persónuverndar. Það sé sannarlega ekki tilgangurinn með persónuverndarlöggjöfinni.
Að auki er tekið fram að embætti landlæknis leggi gríðarlega áherslu á það í allri starfsemi sinni að unnið sé með gögn og persónugreinanlegar upplýsingar í samræmi við gildandi löggjöf, þ.m.t. á sviði persónuverndar. Öllum ábendingum um hvað betur megi fara sé því tekið fagnandi, en embættið sé ekki sammála þeirri niðurstöðu Persónuverndar að það hafi brotið gegn persónuverndarlöggjöfinni með þeim hætti að það réttlæti þá sektarfjárhæð sem boðuð hefur verið.
II.
Niðurstaða
1.
Gildissvið – Ábyrgðaraðili
Fyrir liggur að í því sem nefnt er tilvik A voru samskipti heilbrigðistarfsmanna og notenda Heilsuveru aðgengileg óviðkomandi frá árinu 2015 til 8. júní 2020. Er því ljóst að ástand það sem hér er til skoðunar var að hluta til í gildistíð laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, en þau lög voru leyst af hólmi 15. júlí 2018 með lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga sem lögfestu jafnframt persónuverndarreglugerðina, (ESB) 2016/679, eins og hún var aðlöguð og tekin upp í EES-samninginn. Þar sem þær reglur laga um persónuvernd sem á reynir í tilviki A hafa ekki breyst efnislega verður leyst úr því á grundvelli reglugerðarinnar og laga nr. 90/2018.
Gildissvið laga nr. 90/2018 og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna og 1. mgr. 2. gr. reglugerðarinnar, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.
Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.
Mál þetta lýtur að öryggisveikleikum sem ollu öryggisbresti á vefsvæði þar sem einstaklingum er veittur aðgangur að upplýsingum sínum úr heilbrigðiskerfinu. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 og reglugerð (ESB) 2016/679 er nefndur ábyrgðaraðili. Ábyrgðaraðili er einstaklingur, lögaðili, stjórnvald eða annar aðili sem ákveður, einn eða í samvinnu við aðra, tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 6. tölul. 3. gr. laganna og 7. tölul. 4. gr. reglugerðarinnar. Í því sambandi reynir hér á hver beri ábyrgð á að tryggja öryggi persónuupplýsinga í Heilsuveru. Fyrir liggur að embætti landlæknis gegnir þar miðlægu hlutverki í samræmi við 4. gr. reglugerðar nr. 550/2015 um sjúkraskrár, sbr. 1. mgr. 24. gr. laga nr. 55/2009 um sama efni, en um það má vísa til tilkynningar um „Mínar síður“ á Heilsuveru sem Persónuvernd barst 24. janúar 2018 (nr. S8538, mál nr. 2018010115 hjá stofnuninni) frá embættinu á grundvelli 31. gr. þágildandi persónuverndarlaga, nr. 77/2000. Eins og hér háttar til telst því embættið vera ábyrgðaraðili að umræddri vinnslu.
2.
Reglur um öryggi og öryggisbresti
Öll vinnsla persónuupplýsinga verður að samrýmast meginreglum 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Samkvæmt 6. tölul. lagaákvæðisins og f-lið ákvæðis reglugerðarinnar skulu persónuupplýsingar unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt.
Um öryggi persónuupplýsinga er nánar fjallað í 32. gr. reglugerðarinnar, sbr. 1. mgr. 27. gr. laganna. Samkvæmt 1. mgr. ákvæðis reglugerðarinnar skal ábyrgðaraðili með hliðsjón af nýjustu tækni, kostnaði við framkvæmd og eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga, gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi miðað við áhættuna, svo sem geta tryggt viðvarandi trúnað, samfellu, tiltækileika og álagsþol vinnslukerfa og -þjónustu (b-liður) og taka upp ferli til að prófa og meta reglulega skilvirkni tæknilegra og skipulagslegra ráðstafana til að tryggja öryggi vinnslunnar (d-liður). Þegar viðunandi öryggi er metið skal einkum hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, t.d. að upplýsingar verði birtar eða að aðgangur verði veittur að þeim í leyfisleysi, sbr. 2. mgr. 32. gr. reglugerðarinnar.
Að auki er mælt fyrir um það í 25. gr. reglugerðarinnar, sbr. 24. gr. laganna, að gera skuli ráðstafanir til að tryggja innbyggða og sjálfgefna persónuvernd. Nánar kemur fram í 1. mgr. ákvæðis reglugerðarinnar að með hliðsjón af sömu atriðum og nefnd eru í 1. mgr. 32. gr. reglugerðarinnar skal ábyrgðaraðili, bæði þegar ákveðnar eru aðferðir við vinnslu og þegar vinnslan sjálf fer fram, gera viðeigandi tæknilegar og skipulagslegar ráðstafanir, svo sem notkun gerviauðkenna, sem hannaðar eru til að framfylgja meginreglum um persónuvernd, svo sem lágmörkun gagna, með skilvirkum hætti og fella nauðsynlegar verndarráðstafanir inn í vinnsluna til að uppfylla kröfur reglugerðarinnar og vernda réttindi skráðra einstaklinga. Þá segir í 2. mgr. 25. gr. reglugerðarinnar að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja að sjálfgefið sé að einungis þær persónuupplýsingar séu unnar sem nauðsynlegar eru vegna tilgangs vinnslunnar hverju sinni. Gildi sú skylda um það hversu miklum persónuupplýsingum er safnað, að hvaða marki unnið er með þær, hversu lengi þær eru varðveittar og um aðgang að þeim. Skuli einkum tryggja að það sé sjálfgefið að persónuupplýsingar verði ekki gerðar aðgengilegar ótakmörkuðum fjölda fólks án íhlutunar viðkomandi einstaklings.
Hugtakið öryggisbrestur er skilgreint í 11. tölul. 3. gr. laganna og 12. tölul. 4. gr. reglugerðarinnar, þ.e. sem brestur á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga eða þess að þær glatist, breytist, verði birtar eða aðgangur verði veittur að þeim í leyfisleysi. Ef öryggisbrestur verður við meðferð persónuupplýsinga skal ábyrgðaraðili tilkynna um hann til Persónuverndar nema ólíklegt sé að bresturinn leiði til áhættu fyrir réttindi og frelsi einstaklinga, sbr. 2. mgr. 27. gr. laganna, sbr. 1. mgr. 33. gr. reglugerðarinnar. Þá skal ábyrgðaraðili tilkynna skráðum einstaklingi um öryggisbrest án ótilhlýðilegrar tafar ef líklegt er að bresturinn leiði af sér mikla áhættu fyrir réttindi og frelsi einstaklinga, sbr. 3. mgr. 27. gr. laganna, sbr. 1. mgr. 34. gr. reglugerðarinnar.
Þegar ábyrgðaraðili verður var við öryggisbrest er mikilvægt að hann grípi strax til viðeigandi aðgerða til að koma í veg fyrir frekara tjón eða áhættu í kjölfar öryggisbrestsins, ásamt því að hugað sé að því hvernig sé hægt að fyrirbyggja að sambærilegur öryggisbrestur verði aftur. Við mat á því hvaða ráðstafanir séu viðeigandi þarf ábyrgðaraðili meðal annars að líta til 32. gr. reglugerðarinnar.
Það að ábyrgðaraðili grípi til viðeigandi og fullnægjandi aðgerða dregur úr líkum á því að Persónuvernd leggi á sektir samkvæmt 46. gr. laganna, sbr. 83. gr. reglugerðarinnar. Jafnframt er ljóst að sé ekki farið að skyldu til að tilkynna um öryggisbrest aukast líkurnar á sektarálagningu.
3.
Niðurstaða um öryggi
Fyrir liggur að öryggisveikleiki innan Heilsuveru leiddi til þess að eftir innskráningu á vefsvæðið var unnt að eiga við svonefnda parametra í skilaboðahluta þess til að sjá sér óviðkomandi skilaboð (þ.e. með því að hægrismella á tölvumús til að nálgast kóða á tiltekinni síðu á vefsvæðinu og breyta honum svo til að sjá aðra síðu á svæðinu). Jafnframt liggur fyrir að verðandi mæður, sem skráðar voru í mæðraverndarhluta Heilsuveru hjá Heilbrigðisstofnun Suðurnesja og Heilbrigðisstofnun Suðurlands, gátu breytt vefslóð sónarmyndar sem þeim var veittur aðgangur að úr sjúkraskrárkerfi til að sjá aðrar myndir innan kerfisins, þ.e. viðhengi sem þar voru vistuð.
Fram hefur komið að tveir notendur vefsvæðisins nálguðust upplýsingar annarra notenda á grundvelli umræddra veikleika, en í því fólst öryggisbrestur í skilningi 11. tölul. 3. gr. laga nr. 90/2018 og 12. tölul. 4. gr. reglugerðar (ESB) 2016/679. Þá hefur komið fram að nálgast mátti upplýsingar um sér óviðkomandi einstaklinga vegna veikleikans í skilaboðahluta Heilsuveru allt frá 2015 til 8. júní 2020, svo og að ákveðnir notendur gátu sótt viðhengi úr sjúkraskrárkerfum, sem ekki tilheyrðu þeim, frá september 2019 til sama dags, þ.e. 8. júní 2020.
Í skýringum embættis landlæknis hefur því verið haldið fram að mjög hafi heyrt til undantekninga að í skilaboðahluta Heilsuveru hafi notendur getað nálgast upplýsingar sem rekja mátti til annarra notenda. Af gögnum sem skoðuð voru í vettvangsathugun, sbr. 4. kafla í I. hluta hér að framan, má hins vegar ljóst telja að nokkuð algengt hafi verið að persónugreinanlegar upplýsingar kæmu fram í texta skilaboða, en skoðað var úrtak með 151 skilaboðaþræði þar sem í u.þ.b. níunda hverju tilviki, eða 17 sinnum, mátti persónugreina einstakling að mati Persónuverndar. Tekið skal fram að niðurstöður neikvæðra COVID-19-skimana voru ekki hér á meðal, en ljóst er að þær voru ekki rekjanlegar til einstaklinga. Hins vegar skal einnig tekið fram að í umræddum 17 tilvikum, þar sem upplýsingar teljast hafa verið persónugreinanlegar, komu fram atriði, ein og sér eða ásamt öðrum, sem velþekkt er að rekja má til tiltekinna einstaklinga, svo sem sjaldgæft eiginnafn, símanúmer eða kennitala, sbr. nánari lýsingu í 4. kafla I. hluta. Telur Persónuvernd því rekjanleika upplýsinganna ekki vera sérstakt vafaatriði, en auk þess er engin ástæða til að ætla að umrætt úrtak sé á einhvern hátt ódæmigert hvað snertir persónugreinanlegar upplýsingar í skilaboðaþráðum.
Einnig hefur því verið haldið fram í skýringum embættis landlæknis að til undantekninga hafi heyrt að viðhengi, sem aðgengileg urðu óviðkomandi, hafi mátt tengja við þann einstakling sem þau lutu að. Við umrædda vettvangsathugun kom hins vegar í ljós að viðhengi, sem valin voru til skoðunar af handahófi, voru öll merkt með persónuauðkennum. Hið sama á við um viðhengi sem Persónuvernd aflaði í kjölfar vettvangsathugunar, þ.e. sónarmyndir sem óviðkomandi gátu nálgast. Verður samkvæmt þessu að leggja til grundvallar að heyrt hafi til undantekninga að persónuupplýsingar væru ekki auðkenndar hlutaðeigandi einstaklingi.
Í þessu sambandi er til þess að líta að upplýsingar um heilsufar eru viðkvæmar persónuupplýsingar, sbr. b-lið 3. tölul. 3. gr. laga nr. 90/2018 og 1. mgr. 9. gr. reglugerðar (ESB) 2016/679. Njóta slíkar upplýsingar sérstakrar verndar samkvæmt persónuverndarlöggjöfinni og felur aðgangur óviðkomandi að þeim í sér alvarlega áhættu fyrir réttindi og frelsi skráðra einstaklinga.
Með hliðsjón af því hlutverki sem upplýsingavefur Heilsuveru sinnir er afar brýnt að gerðar séu viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja öryggi við meðferð persónuupplýsinganna, sbr. 1. mgr. 27. gr. laga nr. 90/2018 og nánari ákvæði 1. mgr. 32. gr. reglugerðar (ESB) 2016/679. Eins og hér háttar til reynir þá einkum á ráðstafanir til að tryggja viðvarandi trúnað, sbr. b-lið síðarnefnda ákvæðisins, og til að prófa og meta reglulega skilvirkni öryggisráðstafana, sbr. d-lið sama ákvæðis. Þá telur Persónuvernd að í ljósi viðkvæms eðlis umræddra upplýsinga hafi sérstaklega reynt á innbyggða og sjálfgefna persónuvernd, sbr. 24. gr. laganna og 25. gr. reglugerðarinnar, m.a. hvað snertir afmörkun á aðgangi að upplýsingum, sbr. 2. mgr. ákvæðis reglugerðarinnar, svo sem sérstaklega var bent á í andmælaréttarbréfi, dags. 12. maí 2023. Fyrir liggur hins vegar að vegna veikleika í Heilsuveru gátu notendur nálgast upplýsingar um óviðkomandi einstaklinga um alllangt skeið eins og fyrr er lýst.
Að mati Persónuverndar tryggði embætti landlæknis því ekki öryggi persónuupplýsinga á upplýsingavef Heilsuveru með þeim hætti sem áskilið er í ákvæðum b- og d-liðar 1. mgr. 32. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 27. gr. laga nr. 90/2018. Jafnframt var innbyggð og sjálfgefin persónuvernd ekki tryggð með fullnægjandi hætti, sbr. 25. gr. reglugerðarinnar og 24. gr. laganna, auk þess sem í ljósi ónægs upplýsingaöryggis var brotið gegn f-lið 1. mgr. 5. gr. reglugerðarinnar og 6. tölul. 1. mgr. 8. gr. laganna eins og hér háttar til.
4.
Sjónarmið um beitingu viðurlaga
Kemur næst til skoðunar hvort beita skuli embætti landlæknis stjórnvaldssektum, sbr. 46. gr. laga nr. 90/2018, sbr. einnig 83. gr. reglugerðar (ESB) 2016/679. Eins og fram kemur í 1. mgr. 46. gr. laganna getur Persónuvernd meðal annars lagt stjórnvaldssekt á hvern þann ábyrgðaraðila eða vinnsluaðila samkvæmt 4. mgr. ákvæðisins sem brýtur gegn einhverju þeirra ákvæða reglugerðarinnar sem talin eru upp í 2. og 3. mgr. þess.
Nánar tiltekið kemur hér til skoðunar hvort leggja skuli sekt á embætti landlæknis fyrir brot sem beinist annars vegar gegn b- og d-lið 1. mgr. 32. gr. og 25. gr. reglugerðarinnar, sbr. sektarheimild í 1. mgr. og 1. tölul. 2. mgr. 46. gr. laganna og a-lið 4. mgr. 83. gr. reglugerðarinnar, og hins gegn f-lið 1. mgr. 5. gr. reglugerðarinnar, sbr. sektarheimild í 1. mgr. og 1. tölul. 3. mgr. 46. gr. laganna og a-lið 5. mgr. 83. gr. reglugerðarinnar. Hvað snertir það atriði að sama brotið falli undir tvær sektarheimildir í senn skal tekið fram að þegar ófullnægjandi upplýsingaöryggi telst sérlega alvarlegt, svo sem í ljósi viðkvæms eðlis upplýsinga, telur Persónuvernd að auk 32. gr. og 25. gr. reglugerðarinnar, sbr. og viðeigandi sektarheimild, virkist meginreglan um upplýsingaöryggi samkvæmt f-lið 1. mgr. 5. gr. reglugerðarinnar og þar með sú sektarheimild sem hún á undir.
Við ákvörðun um álagningu og fjárhæð sektar ber að líta til 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðarinnar. Eru þar talin upp atriði sem ýmist geta verið hlutaðeigandi til málsbóta eða honum í óhag og verður hér fjallað um þau sem á reynir í máli þessu.
a. Eðli, umfang og tilgangur vinnslu
Samkvæmt 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. a-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvers eðlis, hversu alvarlegt og hversu langvarandi brot var, með tilliti til eðlis, umfangs og tilgangs vinnslu, auk fjölda skráðra einstaklinga sem fyrir því urðu og hversu alvarlegu tjóni þeir urðu fyrir.
Ljóst er að hér var um að ræða öryggisveikleika sem snertu víðtækar viðkvæmar persónuupplýsingar um mikinn fjölda einstaklinga yfir nokkuð langt tímabil. Gátu allir, sem aðgang höfðu að Heilsuveru, í u.þ.b. fimm ár nálgast skilaboð sér óviðkomandi í skilaboðahluta vefsins, auk þess sem um u.þ.b. tíu mánaða skeið mátti nálgast viðhengi úr sjúkraskrárkerfum á Heilbrigðisstofnun Suðurlands og Heilbrigðisstofnun Suðurnesja. Sá hópur sem opnað gat þessi viðhengi afmarkaðist hins vegar við verðandi mæður sem sóttu þjónustu á umræddum tveimur heilsugæslustöðum, en eins og fram kemur í skýringum embættis landlæknis fæðast tæplega tvö hundruð börn á Suðurlandi og Suðurnesjum á ári. Þá liggur ekki fyrir að einstaklingar hafi orðið fyrir tjóni vegna veikleikanna. Í því sambandi skal þó tekið fram að ekki verður litið fram hjá þeim alvarlegu afleiðingum sem veikleikar sem þessir geta haft í för með sér, svo sem í ljósi möguleika til að sækja mikið magn upplýsinga með þar til gerðri forritun.
b. Huglæg afstaða
Samkvæmt 2. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr b-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvort brot hafi verið framið af ásetningi eða gáleysi.
Fyrir liggur að umræddur öryggisveikleiki stafaði af gáleysi. Skal jafnframt tekið fram að hann varð við vinnslu persónuupplýsinga úr heilbrigðiskerfinu, þ. á m. í því skyni að veita einstaklingum aðgang að upplýsingum úr sjúkraskrárkerfum. Bar því að sýna sérstaka aðgæslu.
c. Aðgerðir til að draga úr tjóni skráðra einstaklinga
Samkvæmt 3. tölul. 1. mgr. 47. gr. laga nr. 90/2018, c-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þeirra aðgerða sem gripið hefur verið til í því skyni að draga úr tjóni skráðra einstaklinga.
Í því sambandi hefur það vægi að embætti landlæknis brást strax við þegar öryggisbrestsins varð vart og girti fyrir skaðlegar afleiðingar hans. Þá tilkynnti embættið öryggisbrestinn til Persónuverndar og gekkst fyrir tæknilegri úttekt til að ganga úr skugga um að einstaklingar hefðu ekki orðið fyrir tjóni.
d. Umfang ábyrgðar með tilliti til tæknilegra og skipulagslegra ráðstafana
Samkvæmt 4. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hversu mikla ábyrgð ábyrgðaraðili eða vinnsluaðili ber með tilliti til tæknilegra og skipulagslegra ráðstafana.
Eins og rakið er í 1. kafla hér að framan gegnir embætti landlæknis miðlægu hlutverki hvað snertir öryggi persónuupplýsinga í Heilsuveru. Þá hefur embættið að öðru leyti haft yfirumsjón með miðlægum upplýsingakerfum innan heilbrigðiskerfisins í ljósi 4. gr. reglugerðar nr. 550/2015 um sjúkraskrár, sbr. 1. mgr. 24. gr. laga nr. 55/2009 um sama efni. Á embættinu hvílir því mikil ábyrgð í tengslum við öryggi í slíkum kerfum og lítur Persónuvernd umrædda öryggisveikleika alvarlegum augum í ljósi þess, en grundvallaratriði er að ekki sé unnt að sjá gögn um sér óviðkomandi einstaklinga með slíkum hætti og raun varð á.
Jafnframt verður hins vegar að líta til skýringa embættis landlæknis á þeim öryggisráðstöfunum sem viðhafðar eru í Heilsuveru hvað varðar öryggi persónuupplýsinga almennt, en þar má nefna dulkóðun í samskiptum, hýsingu hjá aðila með vottun samkvæmt öryggisstaðlinum ISO-27001, innbrotavarnir og aðgerðaskráningu. Má meðal annars telja ljóst að með aðgerðaskráningunni hafi mátt draga úr afleiðingum ólögmæts aðgangs að gögnum vegna umræddra öryggisveikleika, m.a. þar sem rekjanleiki á uppflettingum getur flýtt fyrir nauðsynlegum viðbrögðum.
e. Umfang samvinnu við Persónuvernd
Samkvæmt 6. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. f-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679,ber að líta til umfangs samvinnu við Persónuvernd til þess að bæta úr broti og draga úr skaðlegum áhrifum þess.
Eins og lýst er í c-lið hér að framan hefur embætti landlæknis að eigin frumkvæði gripið til nauðsynlegra aðgerða til að koma í veg fyrir skaðlegar afleiðingar af umræddum öryggisbresti. Hvað snertir samvinnu við Persónuvernd ber hins vegar að líta til tafa sem urðu á veitingu aðgangs að gögnum í þágu rannsóknar málsins, svo og misvísandi og efnislega rangra skýringa sem stofnuninni bárust. Vísast í því sambandi til umfjöllunar í 3. kafla hér að framan og 2.-4. og 6. kafla I. hluta ákvörðunar þessarar. Eins og sjá má af þeirri yfirferð sem þessir kaflar hafa að geyma var því upphaflega lýst að meðal annars hefði opnast fyrir aðgang óviðkomandi að viðhengjum með upplýsingum um tugi þúsunda einstaklinga, þ. á m. myndum, pdf-skjölum og Word-skjölum. Síðan var hins vegar gefið til kynna að þessi aðgangur hefði í raun ekki verið jafnvíðtækur og leit út fyrir í fyrstu og fullyrti embætti landlæknis í bréfi til Persónuverndar að aðeins í undantekningartilvikum hefði verið um persónugreinanleg skjöl að ræða. Þá var því bætt við að skjölin hefðu tengst mæðravernd og að viðhengi sem skoðuð hefðu verið í þessu sambandi hefðu reynst vera ópersónugreinanleg. Hafði Persónuvernd óskað sýnishorna af viðhengjum án þess þó að þau væru send stofnuninni og var ákveðið að gera vettvangsathugun sem fram fór í tvennu lagi þar sem umbeðin gögn voru upphaflega ekki til reiðu. Í ljós kom við athugunina að ekki var eingöngu um að ræða gögn tengd mæðravernd, en jafnframt voru viðhengi úr sjúkraskrárkerfi, sem valin voru til skoðunar af handahófi, öll með persónuauðkennum. Voru sónarmyndir ekki á meðal viðhengjanna sem sýnd voru þó svo að fyrir lægi ósk Persónuverndar þar að lútandi, en slíkir myndir voru sendar stofnuninni síðar og voru allar auðkenndar hinni verðandi móður.
Í ljósi þessa verður talið ósennilegt að við skoðun á umræddum viðhengjum, sem staðið hefði verið að með eðlilegum hætti, hefðu aðeins getað fundist ópersónugreinanleg gögn. Embætti landlæknis hefur í því sambandi bent á að það hefur ekki beinan aðgang að viðhengjunum, enda eru þau ekki vistuð í Heilsuveru. Skal tekið fram í því sambandi að gera mátti þá kröfu engu að síður að það gerði sér grein fyrir auðkenningu þeirra, sbr. og f-lið hér á eftir. Þá skal tekið fram að Persónuvernd lítur þær misvísandi og efnislega röngu skýringar sem hér hafa verið raktar, svo og ítrekaðar tafir á að verða við gagnabeiðnum, alvarlegum augum.
f. Flokkar persónuupplýsinga
Samkvæmt 7. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. g-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvaða flokka persónuupplýsinga brot hafði áhrif á.
Í því sambandi vísast til þess að hér ræðir um heilsufarsupplýsingar sem njóta verða sérstakrar verndar, sbr. og a-lið og 3. kafla hér að framan. Þá verður það að teljast sérlega alvarlegt að meðal annars var unnt að nálgast upplýsingar úr sjúkraskrárkerfum án viðhlítandi heimildar, en til öryggis í slíkum kerfum verður að gera sérlega strangar kröfur, sbr. bæði fyrrnefnd ákvæði um upplýsingaöryggi í persónuverndarlöggjöfinni og sérákvæði í lögum nr. 55/2009 um sjúkraskrár.
Hvað snertir auðkenningu á þeim sjúkraskrárgögnum sem hér um ræðir, og hvort embætti landlæknis gat haft stjórn á henni, skal tekið fram að við veitingu aðgangs að viðhengjum í slíkum kerfum ætti embættið að athuga hvort um persónugreinanleg gögn er að ræða, enda er það grundvallaratriði við mat á viðunandi öryggisstigi.
g. Aðrir íþyngjandi og mildandi þættir
Samkvæmt 11. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. k-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til annarra íþyngjandi eða mildandi þátta sem varða kringumstæður máls, svo sem hagnaðar sem fékkst eða taps sem komist var hjá, með beinum eða óbeinum hætti, vegna brots.
Hvað þetta varðar skal tekið fram að ekki reynir hér á sjónarmið um hagnað eða tap, enda er embætti landlæknis opinber stofnun sem ekki er rekin í hagnaðarskyni heldur til að sinna hlutverki sem löggjafinn hefur afmarkað. Þetta hlutverk felur í sér víðtæka vinnslu viðkvæmra persónuupplýsinga og ber embætti landlæknis ríka ábyrgð á að tryggja fullnægjandi öryggi við þá vinnslu. Jafnframt ber hins vegar að taka sérstakt tillit til þess almannaþjónustuhlutverks sem embættið gegnir, en það er meðal annars til þess fallið að lækka þá sektarfjárhæð sem ákvörðuð er. Þá má líta til þess að það sem nefnt hefur verið tilvik A, þ.e. möguleiki á að nálgast sér óviðkomandi upplýsingar í skilaboðahluta Heilsuveru, stóð að miklu leyti yfir áður en núgildandi persónuverndarlöggjöf tók gildi og þar með heimild Persónuverndar til að leggja á stjórnvaldssektir.
5.
Niðurstaða um álagningu og fjárhæð sektar
Eins og rakið er í 3. kafla hér að framan liggur fyrir að embætti landlæknis braut gegn f-lið 1. mgr. 5. gr., 25. gr. og b- og d-lið 1. mgr. 32. gr. reglugerðar (ESB) 2016/679. Kemur fram í 1. mgr., 1. tölul. 2. mgr. og 1. tölul. 3. mgr. 46. gr. laga nr. 90/2018, sbr. 2. mgr., a-lið 4. mgr. og a-lið 5. mgr. 83. gr. reglugerðarinnar, að brot gegn þessum ákvæðum geta varðað stjórnvaldssektum.
Við ákvörðun sektarfjárhæðar ber sérstaklega að líta til viðkvæms eðlis þeirra upplýsinga sem hér um ræðir, umfangs þeirra, svo og misvísandi og efnislega rangra skýringa sem borist hafa frá embætti landlæknis. Jafnframt verður hins vegar að líta til aðgerða embættisins til að koma í veg fyrir skaðleg áhrif öryggisbrests, almannaþjónustuhlutverks embættisins og öryggisráðstafana í Heilsuveru. Má í ljósi þessara atriða telja efni til nokkurrar lækkunar stjórnvaldssektar frá því sem gert var ráð fyrir í andmælaréttarbréfi 12. maí 2023 og þykir stjórnvaldssekt að því virtu vera hæfilega ákveðin 12.000.000 króna.
Á k v ö r ð u n a r o r ð:
Embætti landlæknis tryggði ekki öryggi persónuupplýsinga í skilaboðahluta vefsvæðisins Heilsuveru með fullnægjandi hætti frá 2015 til 8. júní 2020, sbr. f-lið 1. mgr. 5. gr., 25. gr. og b- og d-liði 1. mgr. 32. gr. reglugerðar (ESB) 2016/679, sbr. 6. tölul. 1. mgr. 8. gr., 24. gr. og 1. mgr. 27. gr. laga nr. 90/2018. Embættið braut gegn sömu ákvæðum frá september 2019 til 8. júní 2020 við veitingu aðgangs í mæðraverndarhluta Heilsuveru að gögnum í sjúkraskrárkerfum Heilbrigðisstofnunar Suðurnesja og Heilbrigðisstofnunar Suðurlands.
Sekt að fjárhæð 12.000.000 króna er lögð á embætti landlæknis. Sektina skal greiða í ríkissjóð innan tveggja mánaða frá dagsetningu ákvörðunar þessarar, sbr. 6. mgr. 46. gr. laga nr. 90/2018.
Persónuvernd, 27. júní. 2023,
Ólafur Garðarsson
formaður
Björn Geirsson Árnína Steinunn Kristjánsdóttir
Vilhelmína Haraldsdóttir Þorvarður Kári Ólafsson