Land­læknir sektaður vegna öryggis­brests í Heilsu­veru

Úr­skurður Per­sónu­verndar var birtur á vef stofnunarinnar á ellefta tímanum í morgun. Vísir hefur sent Perónuvernd fyrirspurn vegna málsins. Um er að ræða annað skiptið á stuttum tíma sem Per­sónu­vernd fjallar um öryggis per­sónu­upp­lýsinga á vegum em­bættis land­læknis. Fyrir helgi komst stofnunin að þeirri niður­stöðu að Em­bættið hefði ekki tryggt öryggi per­sónu­upp­lýsinga í lyfja­á­vísana­gátt með við­eig­andi hætti.

Enginn hafi mis­notað öryggis­veik­leikann

Í til­kynningu Em­bættis land­læknis kemur fram að þann 8. júní 2020 hafi upp­götvast al­var­legur öryggis­veik­leiki í af­mörkuðum hluta mæðra­verndar og sam­skipta­hluta á Mínum síðum á vef­svæðinu Heilsu­vera.is sem er í um­sjón Em­bættis land­læknis en þróað og rekið af upp­lýsinga­fyrir­tækinu Origo.

Innan við klukku­stund eftir að til­kynnt hafi verið um veik­leikann hafi Origo stað­reynt til­vist hans og lokað Heilsu­veru. Segir land­læknir að á um fimm klukku­tímum hafi verið gerðar breytingar á kerfinu sem lag­færðu veik­leikann, þær yfir­farnar og stað­festar af öryggis­fyrir­tækinu Syndis og kerfinu að því loknu komið aftur í notkun.

„Em­bætti land­læknis harmar að framan­greindur öryggis­veik­leiki skyldi hafa verið til staðar og skorast ekki undan á­byrgð hvað það varðar. Brugðist var strax og fum­laust við veik­leikanum um leið og vit­neskja barst um hann. Strax í kjöl­farið á at­vikinu var með ítar­legri greiningu stað­reynt að enginn mis­notaði öryggis­veik­leikann þann tíma sem hann var til staðar og að per­sónu­upp­lýsingar not­enda Heilsu­veru hafi ekki lent í höndum ó­við­komandi aðila.“

Hafna því að hafa veitt Per­sónu­vernd mis­vísandi upp­lýsingar

Þá segist em­bættið í til­kynningu sinni hafa til­kynnt Per­sónu­vernd sam­dægurs um eðli og um­fang öryggis­brestsins í sam­ræmi við fyrir­mæli laga og á grund­velli fyrir­liggjandi upp­lýsinga á þeim tíma. Per­sónu­vernd hafi í kjöl­farið hafið at­hugun á málinu.

Í á­kvörðun Per­sónu­verndar, þremur árum síðar, hafi verið komist að þeirri niður­stöðu að em­bættið hefði ekki tryggt öryggi per­sónu­upp­lýsinga á hluta vef­svæðis Heilsu­veru með full­nægjandi hætti.

„Í öllum sam­skiptum em­bættisins í tengslum við málið hefur em­bættið upp­lýst Per­sónu­vernd um alla þætti málsins af heilindum og sam­kvæmt bestu að­gengi­legum upp­lýsingum á hverjum tíma. Hafnar em­bættið al­farið þeim stað­hæfingum sem fram koma í á­kvörðun Per­sónu­verndar að starfs­menn em­bættisins hafi gefið Per­sónu­vernd mis­vísandi og villandi upp­lýsingar við með­ferð málsins.“

Persónuupplýsingar séu tryggar

Á­réttar em­bættið aftur að enginn hafi nýtt sér öryggis­veik­leikann. Em­bættið hafi í kjöl­farið lagt frekari á­herslu á þessa þætti með ítar­legri og tíðari öryggis­út­tektum og bættum ferlum við upp­færslur og við­bætur. Mínar síður á Heilsu­vera.is séu eins öruggar og mögu­legt er og öryggi heilsu­fars­upp­lýsinga Ís­lendinga tryggt.

Em­bættið segist ætla að fara ítar­lega yfir for­sendur og niður­stöðu á­kvörðunar Per­sónu­verndar á næstu dögum. Em­bættið hefur verið sektað um tólf milljónir króna vegna þessa.

Úrskurður Persónuverndar.

Fréttin hefur verið uppfærð með úrskurði Persónuverndar.