Eins og fram kom í fréttum DV fyrr í dag hefur Persónuvernd sektað Embætti landlæknis um 12 milljónir króna vegna öryggisbrests á vefsvæðinu Heilsuvera.is sem uppgötvaðist í júní 2020 og einnig fyrir að veita villandi upplýsingar við rannsókn málsins. Embætti landlæknis mótmælir því hins vegar harðlega að hafa veitt Persónuvernd villandi upplýsingar og fullyrðir að persónulegar upplýsingar á Heilsuvera.is séu öruggar.
Persónuvernd hefur nú birt ákvörðun í málinu í heild sinni. Um tvíþættan öryggisbrest var að ræða en um það segir m.a. í ákvörðun Persónuverndar:
„Í skýringum embættis landlæknis segir að í því sem nefnt er tilvik A hafi samskipti heilbrigðisstarfsmanna og notenda Heilsuveru verið aðgengileg óviðkomandi frá árinu 2015 til 8. júní 2020. Allir sem hafi verið skráðir inn í Heilsuveru hafi getað nálgast samskiptin með því að breyta auðkennum í tengistrengjum. Auðkenni samskiptanna í tengistrengjum sé þannig háttað að ekki sé hægt að tengja þau við ákveðna einstaklinga. Því hafi ekki komið fram persónuupplýsingar notenda Heilsuveru, svo sem nöfn eða kennitölur, né annað sem gæti vísað á þá.“
„Í skýringum embættis landlæknis segir að það sem nefnt er tilvik B tengist breytingum sem gerðar hafi verið á Heilsuveru 28. mars 2019 þegar nýrri einingu, mæðravernd, hafi verið bætt við vefinn. Óviðkomandi hafi getað sótt 205.407 viðhengi, sem sum hafi innihaldið heilsufarsupplýsingar tengdar 41.390 einstaklingum. Viðhengin hafi verið vistuð á Heilbrigðisstofnun Suðurnesja og í þeim hafi verið myndir, pdf-skjöl og Word-skjöl. Einungis þeir einstaklingar, sem hafi verið skráðir inn í Heilsuveru og verið þátttakendur sem foreldrar í mæðravernd, hafi átt raunhæfan möguleika á að nálgast gögn sem ekki hafi tilheyrt þeim. Þá segir að yfirferð Syndis ehf. á færsluskrám hafi leitt í ljós að ekki hefðu fleiri óviðkomandi aðilar en þeir tveir sem gerðu vart við öryggisveikleikana sótt umrædd viðhengi.“
Fram kemur að þeir tveir aðilar sem gerðu vart við öryggisbrestinn séu menntaðir á sviði tölvunarfræði og það hafi krafist sérfræðiþekkingar af því tagi að uppgötva hann og færa sér í nyt. Markmið einstaklinganma hafi verið að kanna öryggi Heilsuveru en ekki að komast yfir upplýsingar sér óviðkomandi. Landlæknisembættið áréttar að greining hafi sýnt fram á að engir aðrir hafi komist yfir upplýsingar sér óviðkomandi og staðfest sé að öllum gögnum sem sótt voru hafi verið eytt.
Embættið ítrekar að enginn hafi getað nýtt sér öryggisbrestinn án þess að vera skráður inn á Heilsuveru með rafrænum skilríkjum og búa yfir nægilegri þekkingu. Skrár sýni að bara þessir tveir einstaklingar hafi séð sér óviðkomandi gögn. Því séu nánast hverfandi líkur á að öryggisbrestirnir hefðu getað orðið umfangsmeiri og embættið sé ósammála því að það hafi legið fyrir að heilsufarsupplýsingar 41.390 einstaklinga hafi verið aðgengilegar óviðkomandi aðilum.
Niðurstaða Persónuverndar er hins vegar sú að Embætti landlæknis, sem ábyrgðaraðili, hafi ekki tryggt öryggi persónuupplýsinga á Heilsuveru með þeim hætti sem áskilið er í lögum og reglugerðum.
Þegar kemur að þeim þætti málsins sem varðar upplýsingagjöf við rannsókn málsins segir í ákvörðun Persónuverndar að gögn hafi fengist í vettvangsheimsókn til Embættis landlæknis um þær upplýsingar sem mögulegt var að nálgast úr Heilsuveru vegna öryggisbrestsins. Persónuvernd segir að Landlæknisembættið hafi haldið því ranglega fram að þær upplýsingar sem voru aðgengilegar óviðkomandi aðilum hafi verið lítt persónugreinanlegar. Um tilvik A segir Persónuvernd:
„Í skýringum embættis landlæknis hefur því verið haldið fram að mjög hafi heyrt til undantekninga að í skilaboðahluta Heilsuveru hafi notendur getað nálgast upplýsingar sem rekja mátti til annarra notenda. Af gögnum sem skoðuð voru í vettvangsathugun, sbr. … má hins vegar ljóst telja að nokkuð algengt hafi verið að persónugreinanlegar upplýsingar kæmu fram í texta skilaboða, en skoðað var úrtak með 151 skilaboðaþræði þar sem í u.þ.b. níunda hverju tilviki, eða 17 sinnum, mátti persónugreina einstakling að mati Persónuverndar.“
Um tilvik B, öryggisbrest varðandi gögn úr mæðravernd, segir Persónuvernd einnig að Embætti Landlæknis hafi greint ranglega frá því hversu persónugreinanleg gögnin sem óviðkomandi höfðu aðgang að voru:
„Við umrædda vettvangsathugun kom hins vegar í ljós að viðhengi, sem valin voru til skoðunar af handahófi, voru öll merkt með persónuauðkennum. Hið sama á við um viðhengi sem Persónuvernd aflaði í kjölfar vettvangsathugunar, þ.e. sónarmyndir sem óviðkomandi gátu nálgast. Verður samkvæmt þessu að leggja til grundvallar að heyrt hafi til undantekninga að persónuupplýsingar væru ekki auðkenndar hlutaðeigandi einstaklingi.“
Persónuvernd segist líta það sem stofnunin kallar misvísandi upplýsingagjöf Landlæknisembættisins alvarlegum augum og það hafi áhrif á upphæð sektarinnar sem lögð var á.
Landlæknisembættið mótmælir þessum fullyrðingum Persónuverndar og segir í andmælum sínum að það hafi ekki haft aðgang að sjúkraskrárkerfum heilbrigðisstofnana og starfsmenn þess því ekki gert sér þegar í stað grein fyrir hversu persónugreinanleg gögnin voru. Það hafi á hverjum tíma veitt Persónuvernd skýringar í samræmi við bestu vitund og allar þær upplýsingar sem embættið hafði aðgang að.
Í greinargerð embættisins til Persónuverndar segir að þegar leið á málarekstur embættisins hafi umfang og eðli öryggisbrestsins komið endanlega í ljós en þær upplýsingar hafi ekki verið aðgengilegar hjá embættinu. Heilsuvera sé þannig uppbyggð að hún miðli gögnum og veiti aðgang að þeim hjá heilbrigðisstofnunum sem nýti sér hana við að veita þjónustu. Embætti landlæknis hafi ekki aðgang að þessum gögnum og heldur ekki stjórn á því hvernig gögn eru vistuð á heilbrigðisstofnunum eða hvort þau séu merkt einstaklingum.
Kjartan Hreinn Njálsson, aðstoðarmaður landlæknis, segir í skriflegu svari við fyrirspurn DV að af þessum sökum hafi ekki orðið ljóst fyrr en Persónuvernd lagði fyrir embættið að afla slíkra gagna, að fenginni heimild frá viðkomandi stofnun, hvers eðlis gögnin voru og sýnilegt hafi verið að gögnin voru meira persónugreinanleg en talið var fyrirfram.
Persónuvernd telur engu að síður, í ákvörðun sinni, að Landlæknisembættið hefði átt að vera búið að ganga úr skugga um hversu persónugreinanlegar upplýsingar í Heilsuveru voru.