Da anden bølge af covid-19 epidemien ramte Danmark, var situationen alvorlig. Og det var den stadig, da Statens Serum Institut (SSI) satte sin ekspertgruppe til at lave matematiske modeller for danskernes gøren og laden med hjælp fra en lang række personfølsomme oplysninger. Hvem gør hvad hvornår? Hvem er i risikogruppen, hvordan ser deres sygdomshistorik ud? De matematiske modeller er siden blev mødt med masser af kritik for at ramme forkert, men SSI forsøgte at trække på så mange datasæt som muligt. Og så hurtigt som muligt. Situationen var alvorlig.
Men trods situationens alvor var SSIs omgang med personfølsomme oplysninger alt for lemfældig, og det var den, selvom SSI selv vurderede, at indhentning og deling af personfølsomme oplysninger indebar en væsentlig risiko for de mennesker, hvis oplysninger blev trukket ud og delt i ekspertgruppen. Derfor er Datatilsynes kritik af SSI – trods situationens alvor – alvorlig. Særligt fordi SSI er en institution med mange års erfaring i behandling af personfølsomme oplysninger.
»Datatilsynet har ved valget af sanktion i skærpende retning lagt vægt på behandlingens karakter og omfang, og at SSI som rutineret aktør på området må forventes at have betydelig erfaring med løsning af databeskyttelsesretlige problemstillinger, som de i sagen omhandlende,« skriver Datatilsynet i afgørelsen.
I strid med fire paragraffer
Centralt i kritikken står tre punkter.
SSIs ekspertgruppe gik i gang med at indhente og behandle personfølsomme oplysninger uden databehandlingsaftaler, og der gik fem uger, før de kom på plads.
SSI kunne på forhånd se, at der var væsentlig risiko ved at indhente og dele personfølsomme oplysninger, men fik ikke lavet en risikovurdering og konsekvensanalyse, inden databehandlingen gik i gang.
Og da SSI kunne se, at ovenstående ikke kunne komme på plads, inden databehandlingen gik i gang, undlod SSI at kontakte Datatilsynet.
»På ovenstående baggrund finder Datatilsynet, at der samlet set er grundlag for at udtale alvorlig kritik af, at SSI’s behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 28, stk. 3, artikel 32, stk. 1, artikel 35, stk. 1, og artikel 36, stk. 1.,« skriver Datatilsynet.
Som formildende omstændighed lægger Datatilsynet vægt på situationens alvor, og at SSI har bistået Datatilsynet med »opklaring af sagens fakta«.
»Datatilsynet har i formildende retning lagt vægt på, at behandlingen er sket i forbindelse med en krisesituation, at der forelå en væsentlig samfundsinteresse i den hurtige effektuering af behandlingen, og at SSI – dog – har gjort sig overvejelser om den foreløbige fravigelse af de databeskyttelsesretlige regler og – i et vist omfang – har forsøgt at afhjælpe fravigelserne. Herudover har SSI, efterfølgende foretaget organisatoriske tilpasninger til databeskyttelsesforordningens overholdelse samt bistået Datatilsynet ved opklaring af sagens fakta,« skriver Datatilsynet i afgørelsen.
SSI skriver på sin hjemmeside, at der ikke er registreret læk af personoplysninger, og at SSI fremadrettet vil være i dialog med Datatilsynet »for at sikre, at der fremadrettet er en passende sikkerhed.«
