Lyntest-udbyder meldt til politiet
Medarbejdere brugte private telefoner til at sende fortrolige helbredsoplysninger
Datatilsynet har politianmeldt Charlottenlund Lægehus Medicals Nordic I/S (”Medicals Nordic”) for at have behandlet fortrolige oplysninger og helbredsoplysninger om borgere i forbindelse med COVID-19 tests, uden at virksomheden havde etableret den fornødne sikkerhed omkring behandlingen af oplysningerne.
Datatilsynet har indstillet Medicals Nordic I/S til en bøde på 600.000 kroner.
Det skriver Datatilsynet i en pressemeddelelse.
- Vi ser med stor alvor på sagen, fordi det drejer sig om følsomme oplysninger. Når man bliver betroet at behandle borgernes helbredsoplysninger, følger der et ansvar med for at passe rigtig godt på dem, og det har man altså ikke gjort i dette tilfælde, siger Allan Frank, jurist og it-sikkerhedsspecialist i Datatilsynet.
Brugte WhatsApp
Datatilsynet blev i januar 2021 opmærksom på, at Medicals Nordic anvendte applikationen WhatsApp til transmission af fortrolige oplysninger og helbredsoplysninger om borgere, der blev testet i virksomhedens testcentre.
Datatilsynet indledte på den baggrund en sag af egen drift, der bl.a. skulle afklare, om Medicals Nordic havde gennemført passende organisatoriske og tekniske sikkerhedsforanstaltninger i forbindelse med transmission af borgernes oplysninger.
Datatilsynet fandt i den forbindelse, at Medicals Nordic i en række forhold ikke havde etableret passende sikkerhedsforanstaltninger.
Utilstrækkelige sikkerhedsforanstaltninger
Medarbejdere hos Medicals Nordic anvendte deres private telefoner til at transmittere fortrolige oplysninger om borgere til virksomhedens centrale administration gennem applikationen WhatsApp.
I den forbindelse havde Medicals Nordic oprettet en WhatsApp-gruppe for hvert af de fire testcentre, som virksomheden drev.
Alle medarbejdere, der arbejdede i et testcenter, blev inviteret til den WhatsApp-gruppe, der hørte til testcenteret.
Modtog beskederne
Medlemmerne af de pågældende WhatsApp-grupper modtog alle de beskeder, som andre medarbejdere transmitterede i grupperne.
Det betød at medarbejdere, der efter Datatilsynets vurdering ikke havde et arbejdsbetinget behov for at behandle oplysninger - som andre medarbejdere skulle transmittere til den centrale administration - alligevel modtog oplysningerne, der blandt andet omfattede personnummer og helbredsoplysninger om borgere.
En utilstrækkelig adgangsstyring af grupperne medførte yderligere, at medarbejdere, der ikke længere var ansat, ikke blev fjernet fra WhatsApp-grupperne, hvorfor de fortsat kunne tilgå de oplysninger, der blev transmitteret i grupperne.