Persónuvernd ákvað í byrjun maí að sekta Sjúkratryggingar Íslands um tvær milljónir króna, en greint er frá þessari ákvörðun á vefsíðu Persónuverndar í dag.

Málið varðar úttekt sem Persónuvernd gerði á stöðu öryggismála hjá Sjúkratryggingum. Úttektin fór fram í október árið 2021 og var úttektarákvörðun tillkynnt Sjúkratryggingum seinasta sumar.

Meðal annars fann Persónuvernd tvo öryggisveikleika sem þóttu svo alvarlegir þeir gæfu tilefni til sektarálagningar. Úr þessum veikleikum hafði þó verið bætt þegar úttektarákvörðun var tekin seinasta sumar, en engu að síður taldi Persónuvernd tilefni til að leggja á sekt í ljósi alvarleika veikleikanna nú þegar málinu var lokað.

Þessi atriði vöruðu annars vegar skort á margþátta auðkenningu til aðgangs starsfmanna og veitenda heilbrigðisþjónustu að upplýsingakerfum með heilbrigðisupplýsingum og hins vegar að notkun raungagna í þróunar- og prófunarkerfi.

Ábyrgð Sjúkratrygginga væri rík í ljósi lögbundins hlutverks stofnunarinnar, en hjá henni fer fram miðlæg vinnsla heilsufarsupplýsinga sem telur til landsins alls, eða til mikils fjölda einstaklinga. Ekki hafi verið um ásetning að ræða og hafi Sjúkratryggingar sýnt mikinn samstarfsvilja við rekstur málsins. Brugðist var við fyrirmælum Persónuverndar með fullnægjandi hætti og eins ber að geta þess að stofnunin er ekki rekin í hagnaðarskyni heldur gegnir hún almannaþjónustuhlutverki.

Í ljósi sjónarmiða um upplýsingaöryggi ákvað Persónuvernd að birta ekki sektarákvörðunina eða úttektarákvörðunina frá því í fyrra. Tveggja milljón króna sekt hefur verið lögð á Sjúkratryggingar og telst málinu nú lokið.