Landlæknisembættið hefur sent frá sér tilkynningu. Í henni segir:

„Þann 8. júní 2020 uppgötvaðist alvarlegur öryggisveikleiki í afmörkuðum hluta mæðraverndar og samskiptahluta á Mínum síðum á vefsvæðinu Heilsuvera.is sem er í umsjón embættis landlæknis en þróað og rekið af upplýsingafyrirtækinu Origo. Innan við klukkustund eftir að tilkynnt var um veikleikann hafði Origo staðreynt tilvist hans og lokað Heilsuveru. Á um fimm klukkustundum voru gerðar breytingar á kerfinu sem lagfærðu veikleikann, þær yfirfarnar og staðfestar af öryggisfyrirtækinu Syndis. Að því loknu var kerfinu komið aftur í notkun.“

Embættið harmar að öryggisveikleikinn hafi verið til staðar og segist ekki skorast undan ábyrgð. Brugðist hafi verið strax og fumlaust við veikleikanum um leið og vitneskja barst um hann. Strax í kjölfarið á atvikinu hafi með ítarlegri greiningu verið staðreynt að enginn hafi misnotað öryggisveikleikann þann tíma sem hann var til staðar og að persónuupplýsingar notenda Heilsuveru hafi ekki lent í höndum óviðkomandi.

Persónuvernd sakaði Landlækisembættið um að afvegaleiða sig

Landlæknisembættið tilkynnti málið samdægurs til Persónuverndar og segir síðarnefndu stofnunina nú hafa skilað niðurstöðum sínum, þremur árum síður. Svo virðist sem að Landlæknisembættið sé ekki sátt við ákvörðun Persónuverndar:

„Í ákvörðun Persónuverndar, nú þremur árum síðar, var komist að þeirri niðurstöðu að embætti landlæknis hefði ekki tryggt öryggi persónuupplýsinga á hluta vefsvæðis Heilsuveru með fullnægjandi hætti. Í öllum samskiptum embættisins í tengslum við málið hefur embættið upplýst Persónuvernd um alla þætti málsins af heilindum og samkvæmt bestu aðgengilegum upplýsingum á hverjum tíma. Hafnar embættið alfarið þeim staðhæfingum sem fram koma í ákvörðun Persónuverndar að starfsmenn embættisins hafi gefið Persónuvernd misvísandi og villandi upplýsingar við meðferð málsins.“

Embætti landlæknis áréttar í tilkynningunni að enginn hafi nýtt sér öryggisveikleikann til að komast yfir upplýsingar um einstaklinga eða heilsufar þeirra í Heilsuveru. Eftir þetta hafi embættið lagt enn meiri áherslu að bæta alla ferla sem viðkoma öryggi persónuuuplýsinga. Fullyrðir embættið að Mínar síður á Heilsuvera.is séu eins öruggar og mögulegt er og að öryggi heilsufarsupplýsinga Íslendinga sé eins tryggt og hægt er á vefsvæðinu.

Segir í tilkynningunni að samkvæmt ákvörðun Persónuverndar sé embætti landlæknis sektað um tólf milljónir króna. Embættið ætlar sér að fara ítarlega yfir forsendur og niðurstöðu ákvörðunar Persónuverndar á næstu dögum.

Þess ber að geta að ákvörðun Persónuverndar sem Landlæknisembættið vísar til hefur ekki verið gerð aðgengileg á vef stofnunarinnar.

Uppfært 11:06: Úrdráttur úr ákvörðun Persónuverndar hefur verið gerður aðgengilegur.