Stjórnvaldssektin með þeim hærri í sögu Persónuverndar Margrét Helga Erlingsdóttir skrifar 3. júlí 2023 14:52 Alma Möller landlæknir segir starfsfólk embættisins hafi komið fram af heilindum og hafnar því að það hafi gefið misvísandi upplýsingar við vinnslu málsins. Það hafi gefið bestu mögulegu upplýsingar sem tiltækar voru á hverjum tíma. Landlæknisembættinu hefur verið gert að greiða um tólf milljónir króna í sekt fyrir að hafa ekki tryggt öryggi persónuupplýsinga á hluta vefsvæðis Heilsuveru með fullnægjandi hætti. Úrskurður Persónuverndar var birtur í dag en málið sjálft er um þriggja ára gamalt. Í tilkynningu frá Persónuvernd segir að Embætti landlæknis hefði tilkynnt um öryggisbrest þegar tveir einstaklingar náðu að sjá sögn sem þeim voru óviðkomandi. Annars vegar var það vegna veikleika í skilaboðahluta Heilsuveru sem fól í sér að með breytingu á tengistreng gat innskráður notandi nálgast óviðkomandi skilaboð sem gátu verið persónugreinanleg. Hins vegar var það vegna veikleika sem gerði innskráðum notendum í mæðraverndarhluta Heilsuveru, sem fengið höfðu aðgang að sónarmynd úr sjúkraskrárkerfi annarrar af tveimur heilbrigðisstofnunum, kleift að sjá viðhengi annarra einstaklinga í sjúkraskrárkerfi viðkomandi stofnunar með breytingu á vefslóð. „Það er óumdeilt að það var til staðar öryggisveikleiki í afmörkuðum hlutum Heilsuveru. Við lítum það auðvitað alvarlegum augum og hörmum það en á það ber að líta að það var strax brugðist við og það var búið að lagfæra þennan veikleika og yfirfara hann af öryggisaðila fimm klukkutímum eftir að hann uppgötvaðist,“ segir Alma Möller landlæknir. Viss atriði voru metin til málsbóta, þar á meðal þær öryggisráðstafanir sem viðhafðar eru í Heilsuveru almennt en í úrskurði segir að í ljósi viðkvæms eðlis upplýsinganna hafi ákvörðun um sektarálagningu verið tekin. „Það fóru engar persónuupplýsingar til óviðkomandi aðila. Þetta voru vinveittir aðilar, ef svo má segja, sem uppgötvuðu þennan öryggisbrest og tilkynntu hann. Þannig að það hlaust enginn skaði af, sem betur fer.“ Þá segir í úrskurði að starfsfólk Landlæknisembættisins hafi gefið Persónuvernd misvísandi og efnislega ranga skýringu við rannsókn málsins. Því hafnar embættið. „Málið, það lá ekkert ljóst fyrir frá fyrstu byrjun. Þetta eru náttúrulega rúm þrjú ár síðan og svo komu atriði í ljós við síðari rannsókn þannig að við vorum alltaf að gefa upplýsingar miðað við þær forsendur sem við höfðum á hverjum tíma og að sjálfsögðu hefur embættið ekki reynt að villa um fyrir persónuvernd með nokkrum hætti,“ segir Alma. Alma kvaðst ekki geta sagt til um það á þessari stundu hvort embættið muni leita til dómstóla vegna málsins en að á næstu dögum muni embættið fara ítarlega yfir forsendur og niðurstöðu ákvörðunarinnar. Alma fullyrðir að heilsufarsupplýsingar landsmanna á heilsuveru séu nú eins öruggar og mögulegt sé. Upphæð stjórnvaldssektarinnar er fremur há en Helga Sigríður Þórhallsdóttir, sviðsstjóri eftirlits hjá Persónuvernd, segir það vera í ljósi þess hversu viðkvæmar persónuupplýsingarnar eru sem undir eru í málinu. „Þessi sekt er vissulega há í samanburði við fyrri sektir Persónuverndar,“ segir Helga og bætir við. „Við ákvörðun fjárhæðarinnar var horft bæði í þá þætti sem voru íþyngjandi og líka þau atriði sem metin voru til málsbóta, en sem dæmi um hið síðarnefnda má nefna að embætti landlæknis brást hratt við þegar veikleikinn uppgötvaðist og svo var litið til þeirra öryggisráðstafana sem almennt eru viðhafðar í Heilsuveru. Á hinn bóginn vegur þungt í þessu tilviki að hér var um að ræða bæði víðtækar og viðkvæmar persónuupplýsingar sem náðu til mikils fjölda einstaklinga yfir langt tímabil, og þær voru ekki nægilega vel varðar fyrir aðgangi óviðkomandi aðila. Persónuvernd ber einnig að líta til umfangs samvinnu við stofnunina við álagningu sekta og þar höfðu jafnframt áhrif misvísandi og efnislega rangar skýringar sem bárust Persónuvernd á meðan á rannsókninni stóð, eins og nánar er rakið í ákvörðuninni,“ segir Helga. Persónuvernd Heilbrigðismál Tengdar fréttir Landlæknir sektaður vegna öryggisbrests í Heilsuveru Embætti landlæknis harmar að alvarlegur öryggisveikleiki hafi verið til staðar í afmörkuðum hluta mæðraverndar og samskiptahluta á Mínum síðum á vefsvæðinu Heilsuvera.is. Embættið hefur sent frá sér tilkynningu þar sem staðhæfingum Persónuverndar um að embættið hafi gefið misvísandi og villandi upplýsingar við meðferð málsins er hafnað. Embættið er sektað um tólf milljónir króna vegna málsins. 3. júlí 2023 10:13 Landlæknir tryggði ekki öryggi upplýsinga í lyfjagátt Persónuvernd hefur komist að þeirri niðurstöðu að embætti landlæknis hefði ekki tryggt öryggi persónuupplýsinga í lyfjaávísanagátt með viðeigandi hætti. Byggðist það á skorti á rekjanleika uppflettinga í gáttinni. Þrátt fyrir ábyrgð lyfjabúða er sjálfstæð skylda talin hvíla á embættinu sem rekur gáttina. 30. júní 2023 12:06 Mest lesið Grunaður hraðbankaþjófur nennti ekki með austur nóttina örlagaríku Innlent Mannskæð skotárás í skóla í Bandaríkjunum Erlent Glímdi við veikindi fyrir andlátið sem breyttu persónuleika hans Innlent Ekki séð neitt þessu líkt á sínum fjörutíu ára ferli Innlent Til skoðunar að flytja Sjálfstæðisflokkinn úr Valhöll Innlent Stefna Open AI vegna sjálfsvígs sonarins Erlent Supu hveljur á fundi með ráðherra á Egilsstöðum Innlent Er við góða líkamlega heilsu en heilinn að „bregðast honum“ Erlent Gátu ekki opnað hraðbankann þrátt fyrir ítrekaðar tilraunir Innlent Raðsundlaugarkúkari gengur laus í Oulu Erlent Fleiri fréttir Hafna „órökstuddum fullyrðingum“ Sigurðar Inga Þyrlan kölluð út vegna slasaðs manns í Gemludal Menningarráðherra skipaði son heilbrigðisráðherra í formannsstörf Vara við svikapóstum í þeirra nafni Bylting framundan en Landspítalinn þurfi að hlaupa hraðar Faðir plokksins kenndi ráðherra að plokka Gátu ekki opnað hraðbankann þrátt fyrir ítrekaðar tilraunir Kári Stefánsson í beinni, erfiður hraðbanki og Dönum ekki skemmt Óttuðust um ferðamenn sem sátu fastir í Markarfljóti Glímdi við veikindi fyrir andlátið sem breyttu persónuleika hans Hraðbankaþjófur játar sök Framlengja gæsluvarðhald yfir leiðbeinandanum um fjórar vikur Supu hveljur á fundi með ráðherra á Egilsstöðum Grunaður hraðbankaþjófur nennti ekki með austur nóttina örlagaríku Með mikla áverka og mjög kaldur þegar hann fannst Móðirin áfram í haldi og húsleit á Írlandi Til skoðunar að flytja Sjálfstæðisflokkinn úr Valhöll Losun Íslands jókst á öllum sviðum og langt í land með skuldbindingar Bylting í heilbrigðisþjónustu og áróður Bandaríkjamanna Vilja halda leiðbeinandanum áfram bak við lás og slá Kynna drög að nýrri stefnu í heilbrigðismálum Ekki séð neitt þessu líkt á sínum fjörutíu ára ferli Innbrot og slagsmál í miðborginni Segir dóminn áfellisdóm yfir seinagangi lögreglu í kynferðisbrotamálum Málafjöldi tvöfaldast milli ára: „Hálfur milljarður farinn nú þegar“ Heilbrigðisráðuneytið færir sig um set Enginn vilji taka ábyrgð á því hvenær eigi að loka Reynisfjöru Minntust þess ekki að hafa brennt tösku fyrir Stefán Blackburn Sakar eftirlitsaðila um að framfylgja ekki leigubílalögum Játaði Hamraborgarmálið, grunaður í hraðbankamálinu og vitni í Gufunesmálinu Sjá meira
Í tilkynningu frá Persónuvernd segir að Embætti landlæknis hefði tilkynnt um öryggisbrest þegar tveir einstaklingar náðu að sjá sögn sem þeim voru óviðkomandi. Annars vegar var það vegna veikleika í skilaboðahluta Heilsuveru sem fól í sér að með breytingu á tengistreng gat innskráður notandi nálgast óviðkomandi skilaboð sem gátu verið persónugreinanleg. Hins vegar var það vegna veikleika sem gerði innskráðum notendum í mæðraverndarhluta Heilsuveru, sem fengið höfðu aðgang að sónarmynd úr sjúkraskrárkerfi annarrar af tveimur heilbrigðisstofnunum, kleift að sjá viðhengi annarra einstaklinga í sjúkraskrárkerfi viðkomandi stofnunar með breytingu á vefslóð. „Það er óumdeilt að það var til staðar öryggisveikleiki í afmörkuðum hlutum Heilsuveru. Við lítum það auðvitað alvarlegum augum og hörmum það en á það ber að líta að það var strax brugðist við og það var búið að lagfæra þennan veikleika og yfirfara hann af öryggisaðila fimm klukkutímum eftir að hann uppgötvaðist,“ segir Alma Möller landlæknir. Viss atriði voru metin til málsbóta, þar á meðal þær öryggisráðstafanir sem viðhafðar eru í Heilsuveru almennt en í úrskurði segir að í ljósi viðkvæms eðlis upplýsinganna hafi ákvörðun um sektarálagningu verið tekin. „Það fóru engar persónuupplýsingar til óviðkomandi aðila. Þetta voru vinveittir aðilar, ef svo má segja, sem uppgötvuðu þennan öryggisbrest og tilkynntu hann. Þannig að það hlaust enginn skaði af, sem betur fer.“ Þá segir í úrskurði að starfsfólk Landlæknisembættisins hafi gefið Persónuvernd misvísandi og efnislega ranga skýringu við rannsókn málsins. Því hafnar embættið. „Málið, það lá ekkert ljóst fyrir frá fyrstu byrjun. Þetta eru náttúrulega rúm þrjú ár síðan og svo komu atriði í ljós við síðari rannsókn þannig að við vorum alltaf að gefa upplýsingar miðað við þær forsendur sem við höfðum á hverjum tíma og að sjálfsögðu hefur embættið ekki reynt að villa um fyrir persónuvernd með nokkrum hætti,“ segir Alma. Alma kvaðst ekki geta sagt til um það á þessari stundu hvort embættið muni leita til dómstóla vegna málsins en að á næstu dögum muni embættið fara ítarlega yfir forsendur og niðurstöðu ákvörðunarinnar. Alma fullyrðir að heilsufarsupplýsingar landsmanna á heilsuveru séu nú eins öruggar og mögulegt sé. Upphæð stjórnvaldssektarinnar er fremur há en Helga Sigríður Þórhallsdóttir, sviðsstjóri eftirlits hjá Persónuvernd, segir það vera í ljósi þess hversu viðkvæmar persónuupplýsingarnar eru sem undir eru í málinu. „Þessi sekt er vissulega há í samanburði við fyrri sektir Persónuverndar,“ segir Helga og bætir við. „Við ákvörðun fjárhæðarinnar var horft bæði í þá þætti sem voru íþyngjandi og líka þau atriði sem metin voru til málsbóta, en sem dæmi um hið síðarnefnda má nefna að embætti landlæknis brást hratt við þegar veikleikinn uppgötvaðist og svo var litið til þeirra öryggisráðstafana sem almennt eru viðhafðar í Heilsuveru. Á hinn bóginn vegur þungt í þessu tilviki að hér var um að ræða bæði víðtækar og viðkvæmar persónuupplýsingar sem náðu til mikils fjölda einstaklinga yfir langt tímabil, og þær voru ekki nægilega vel varðar fyrir aðgangi óviðkomandi aðila. Persónuvernd ber einnig að líta til umfangs samvinnu við stofnunina við álagningu sekta og þar höfðu jafnframt áhrif misvísandi og efnislega rangar skýringar sem bárust Persónuvernd á meðan á rannsókninni stóð, eins og nánar er rakið í ákvörðuninni,“ segir Helga.
Persónuvernd Heilbrigðismál Tengdar fréttir Landlæknir sektaður vegna öryggisbrests í Heilsuveru Embætti landlæknis harmar að alvarlegur öryggisveikleiki hafi verið til staðar í afmörkuðum hluta mæðraverndar og samskiptahluta á Mínum síðum á vefsvæðinu Heilsuvera.is. Embættið hefur sent frá sér tilkynningu þar sem staðhæfingum Persónuverndar um að embættið hafi gefið misvísandi og villandi upplýsingar við meðferð málsins er hafnað. Embættið er sektað um tólf milljónir króna vegna málsins. 3. júlí 2023 10:13 Landlæknir tryggði ekki öryggi upplýsinga í lyfjagátt Persónuvernd hefur komist að þeirri niðurstöðu að embætti landlæknis hefði ekki tryggt öryggi persónuupplýsinga í lyfjaávísanagátt með viðeigandi hætti. Byggðist það á skorti á rekjanleika uppflettinga í gáttinni. Þrátt fyrir ábyrgð lyfjabúða er sjálfstæð skylda talin hvíla á embættinu sem rekur gáttina. 30. júní 2023 12:06 Mest lesið Grunaður hraðbankaþjófur nennti ekki með austur nóttina örlagaríku Innlent Mannskæð skotárás í skóla í Bandaríkjunum Erlent Glímdi við veikindi fyrir andlátið sem breyttu persónuleika hans Innlent Ekki séð neitt þessu líkt á sínum fjörutíu ára ferli Innlent Til skoðunar að flytja Sjálfstæðisflokkinn úr Valhöll Innlent Stefna Open AI vegna sjálfsvígs sonarins Erlent Supu hveljur á fundi með ráðherra á Egilsstöðum Innlent Er við góða líkamlega heilsu en heilinn að „bregðast honum“ Erlent Gátu ekki opnað hraðbankann þrátt fyrir ítrekaðar tilraunir Innlent Raðsundlaugarkúkari gengur laus í Oulu Erlent Fleiri fréttir Hafna „órökstuddum fullyrðingum“ Sigurðar Inga Þyrlan kölluð út vegna slasaðs manns í Gemludal Menningarráðherra skipaði son heilbrigðisráðherra í formannsstörf Vara við svikapóstum í þeirra nafni Bylting framundan en Landspítalinn þurfi að hlaupa hraðar Faðir plokksins kenndi ráðherra að plokka Gátu ekki opnað hraðbankann þrátt fyrir ítrekaðar tilraunir Kári Stefánsson í beinni, erfiður hraðbanki og Dönum ekki skemmt Óttuðust um ferðamenn sem sátu fastir í Markarfljóti Glímdi við veikindi fyrir andlátið sem breyttu persónuleika hans Hraðbankaþjófur játar sök Framlengja gæsluvarðhald yfir leiðbeinandanum um fjórar vikur Supu hveljur á fundi með ráðherra á Egilsstöðum Grunaður hraðbankaþjófur nennti ekki með austur nóttina örlagaríku Með mikla áverka og mjög kaldur þegar hann fannst Móðirin áfram í haldi og húsleit á Írlandi Til skoðunar að flytja Sjálfstæðisflokkinn úr Valhöll Losun Íslands jókst á öllum sviðum og langt í land með skuldbindingar Bylting í heilbrigðisþjónustu og áróður Bandaríkjamanna Vilja halda leiðbeinandanum áfram bak við lás og slá Kynna drög að nýrri stefnu í heilbrigðismálum Ekki séð neitt þessu líkt á sínum fjörutíu ára ferli Innbrot og slagsmál í miðborginni Segir dóminn áfellisdóm yfir seinagangi lögreglu í kynferðisbrotamálum Málafjöldi tvöfaldast milli ára: „Hálfur milljarður farinn nú þegar“ Heilbrigðisráðuneytið færir sig um set Enginn vilji taka ábyrgð á því hvenær eigi að loka Reynisfjöru Minntust þess ekki að hafa brennt tösku fyrir Stefán Blackburn Sakar eftirlitsaðila um að framfylgja ekki leigubílalögum Játaði Hamraborgarmálið, grunaður í hraðbankamálinu og vitni í Gufunesmálinu Sjá meira
Landlæknir sektaður vegna öryggisbrests í Heilsuveru Embætti landlæknis harmar að alvarlegur öryggisveikleiki hafi verið til staðar í afmörkuðum hluta mæðraverndar og samskiptahluta á Mínum síðum á vefsvæðinu Heilsuvera.is. Embættið hefur sent frá sér tilkynningu þar sem staðhæfingum Persónuverndar um að embættið hafi gefið misvísandi og villandi upplýsingar við meðferð málsins er hafnað. Embættið er sektað um tólf milljónir króna vegna málsins. 3. júlí 2023 10:13
Landlæknir tryggði ekki öryggi upplýsinga í lyfjagátt Persónuvernd hefur komist að þeirri niðurstöðu að embætti landlæknis hefði ekki tryggt öryggi persónuupplýsinga í lyfjaávísanagátt með viðeigandi hætti. Byggðist það á skorti á rekjanleika uppflettinga í gáttinni. Þrátt fyrir ábyrgð lyfjabúða er sjálfstæð skylda talin hvíla á embættinu sem rekur gáttina. 30. júní 2023 12:06