Í gær var kveðinn upp dómur Héraðsdóms Reykjavíkur í máli nr. E-2571/2024. Málið laut að gildi ákvörðunar Persónuverndar, dags. 27. júní 2023 (mál nr. 2020061844), í máli vegna öryggisveikleika í upplýsingavefnum Heilsuveru, en það hófst í kjölfar tilkynningar frá Embætti landlæknis til stofnunarinnar um öryggisbrest þegar tveir einstaklingar höfðu getað opnað sér óviðkomandi gögn.

Í ljós kom að annars vegar gátu innskráðir notendur í mæðraverndarhluta Heilsuveru, sem fengið höfðu aðgang að sónarmynd hjá annaðhvort Heilbrigðisstofnun Suðurnesja eða Heilbrigðisstofnun Suðurlands, breytt tengistreng í vafra (parametrum) og þannig opnað viðhengi annarra einstaklinga í sjúkraskrárkerfi viðkomandi stofnunar. Fyrir lá að umræddur galli var á kerfinu frá árinu 2015 til 8. júní 2020. Þá lá fyrir að um ræddi um 200.000 viðhengi rúmlega 40.000 einstaklinga, t.d. sónarmyndir, hjarta- og heilalínurit, hjúkrunarbréf og sjúkraflutningaskýrslur, og voru persónauðkenni sjúklinga höfð til merkingar gagna.

Hins vegar gátu allir innskráðir notendur í skilaboðahluta Heilsuveru séð sér óviðkomandi samskipti með því að breyta vefslóð. Staðlað form samskipta í skilaboðahlutanum gerði ekki ráð fyrir persónuauðkennum sjúklinga en engu að síður gátu skilaboðin, eftir atvikum, verið persónugreinanleg, t.d. þegar viðkomandi höfðu ritað þar sjaldgæf eiginnöfn, kennitölur eða símanúmer. Þá lá fyrir að umræddur galli var á kerfinu frá 28. mars 2019 til 8. júní 2020.

Persónuvernd taldi ljóst að öryggi persónuupplýsinga hefði ekki verið nægilega tryggt, enda hefði ekki verið farið að kröfum um reglulegar öryggisprófanir. Viss atriði voru metin til málsbóta, þ. á m. þær öryggisráðstafanir sem viðhafðar voru í Heilsuveru að öðru leyti. Hins vegar voru önnur atriði metin íþyngjandi og má þar nefna viðkvæmt eðli upplýsinganna, fjölda hinna skráða og lengd þess tímabils sem öryggisveikleikarnir vörðu. Þá vísaði Persónuvernd til efnislega rangra og villandi skýringa sem borist hefðu frá Embætti landlæknis hvað snerti auðkenningu fyrrnefndra viðhengja í sjúkraskrárkerfum og var í ljósi þess og annarra atriða lögð á 12.000.000 króna sekt.

Í tengslum við fjárhæð sektar leit Héraðsdómur meðal annars til orðalags þess ákvæðis sem Persónuvernd taldi hafa þýðingu hvað snerti ágalla á skýringum til stofnunarinnar. Féllst hann á að líta bæri þann þátt málsins alvarlegum augum. Hins vegar taldi hann orðalag ákvæðisins, sem Persónuvernd vísaði til í því sambandi, ekki leggja sérstaka áherslu á samvinnu við stofnunina við rannsókn máls sem slíka heldur við það að bæta úr broti og draga úr skaðlegum áhrifum þess.

Með vísan til þessa og annarra þátta, sem Héraðsdómur áleit hafa vægi í málinu, var sektin lækkuð í 8.000.000 króna. Að öðru leyti var kröfum Embættis landlæknis hins vegar hafnað og ákvörðun Persónuverndar í þeim skilningi staðfest.