Embætti landlæknis krefst ógildingar á ákvörðun Persónuverndar um að leggja stjórnvaldssekt á embættið vegna öryggisveikleika í Heilsuveru. Þetta kemur fram í tilkynningu.

Persónuvernd komst að þeirri niðurstöðu í júli á síðasta ári að embættið hefði brotið gegn persónuverndarlöggjöfinni. Persónuvernd gagnrýndi í ákvörðun sinni viðbrögð Landlæknis við málinu og sagði embættið hafa gefið misvísinda og efnislega rangar skýringar við rannsóknina.  Málið má rekja til þess að landlæknir tilkynnti persónuvernd um öryggisbrest eftir að tveir einstaklingar náðu að sjá gögn sér óviðkomandi á Heilsuveru. Persónuvernd taldi landlækni ekki hafa tryggt öryggi persónuupplýsinga með fullnægjandi hætti. Öryggisbresturinn hafi snert víðtækar viðkvæmar persónuupplýsingar um mikinn fjölda einstaklinga yfir nokkuð langt tímabil. Allir sem höfðu aðgang að Heilsuveru gátu í um fimm ár nálgast skilaboð sem voru þeim óviðkomandi og í um 10 mánaða skeið nálgast viðhengi úr sjúkraskrárkerfum á Heilbrigðisstofnunum Suðurlands og Suðurnesja. Þó ekki væri séð að einstaklinga hafi orðið fyrir tjóni þá var brotið metið alvarlegt. Var sekt að fjárhæð 12 milljónir króna lögð á landlækni.

Landlæknir telur ákvörðun Persónuverndar efnislega ranga og ætla að leita með málið fyrir Héraðsdóm Reykjavíkur og krefjast ógildingar. Er það álit landlæknis að meðferð Persónuverndar á málinu sé ekki samboðin þeim reglum sem liggi til grundvallar íslensku réttarríki. Eins telur embættið að Persónuvernd hafi með ákvörðun sinni grafið undan persónuvernd í landinu og fælt þá sem fari með mikilvæg upplýsingakerfi frá því að tilkynna um atvik og öryggisbresti. Gerir landlæknir alvarlegar athugasemdir við starfshætti og málsmeðferð Persónuverndar.

Ekki er embættið sátt með pillur Persónuverndar í ákvörðun um viðbrögð embættisins við málinu. Rannsókn hafi verið ófullnægjandi og ákvörðun um sekt byggð á ólögmætum og ómálefnalegum sjónarmiðum.

„Embættið skorast ekki undan ábyrgð hvað varðar umræddan öryggisveikleika. Við honum var brugðist með skjótum og fumlausum hætti og með ítarlegri greiningu. Þá var staðreynt að enginn misnotaði öryggisveikleikann og að þær afmörkuðu persónuupplýsingar notenda Heilsuveru sem öryggisveikleikinn náði til lentu ekki í höndum einstaklinga sem reyndu að nýta þær í ólögmætum tilgangi. Þannig leiddi öryggisveikleikinn til minniháttar öryggisbrests sem Persónuvernd var tilkynnt um samdægurs.“

Sjá einnig: Persónuvernd sektar Landlæknisembættið – Sakar embættið um að veita villandi upplýsingar

Embætti landlæknis hefur ákveðið að krefjast þess fyrir Héraðsdómi Reykjavíkur að ógild verði með dómi ákvörðun Persónuverndar dags. 27. júlí 2023.  Telur embættið ákvörðunina vera efnislega ranga. Málið tekur til öryggisveikleika í upplýsingakerfinu Heilsuveru.

Embættið telur meðferð Persónuverndar á umræddu máli ekki samboðna þeim reglum sem eru til grundvallar íslensku réttarríki.

Þá er ákvörðun Persónuverndar, standi hún óhögguð, m.a. til þess að fallin að grafa undan öryggismenningu og persónuvernd hér á landi og fæla annars ábyrga aðila frá því að tilkynna um öryggisbresti og atvik er varða öryggi upplýsingakerfa. Þetta getur veikt stöðu stofnana þjóðfélagsins sem reka og hafa umsjón með mikilvægum upplýsingakerfum og dregið úr mikilvægu hlutverki Persónuverndar sem er að standa vörð um persónuupplýsingar landsmanna.

Embætti landlæknis gerir margvíslegar og alvarlegar athugasemdir við starfshætti og málsmeðferð Persónuverndar í málinu. Þar á meðal telur embættið að bæði form- og efnisannmarkar séu á ákvörðun Persónuverndar, forsendur ákvörðunarinnar séu rangar og að rannsókn málsins af hálfu Persónuverndar hafi verið ófullnægjandi. Að auki byggi sektarákvörðun á ólögmætum og ómálefnalegum sjónarmiðum. Þá telur embætti landlæknis mikilvægt að fá umfjöllun dómstóla um ýmis þau atriði persónuverndarlaga sem uppi eru í þessu máli og máli skipta bæði fyrir embætti landlæknis og almennt séð.

Embættið skorast ekki undan ábyrgð hvað varðar umræddan öryggisveikleika. Við honum var brugðist með skjótum og fumlausum hætti og með ítarlegri greiningu. Þá var staðreynt að enginn misnotaði öryggisveikleikann og að þær afmörkuðu persónuupplýsingar notenda Heilsuveru sem öryggisveikleikinn náði til lentu ekki í höndum einstaklinga sem reyndu að nýta þær í ólögmætum tilgangi. Þannig leiddi öryggisveikleikinn til minniháttar öryggisbrests sem Persónuvernd var tilkynnt um samdægurs.