Datatilsynet har politianmeldt kviktestudbyderen Medicals Nordic.
Tilsynet vurderer, at virksomheden ikke havde gennemført passende sikkerhedsforanstaltninger ved behandling af fortrolige oplysninger og helbredsoplysninger i forbindelse med COVID-19 tests. Det var sket uden, at Medicals Nordic havde etableret den fornødne sikkerhed omkring behandlingen af oplysningerne.
Delte oplysninger på WhatsApp
Datatilsynet blev i januar i år opmærksom på, at Medicals Nordic anvendte applikationen WhatsApp til transmission af fortrolige oplysninger og helbredsoplysninger om borgere, der blev testet i virksomhedens testcentre.
Datatilsynet indledte på den baggrund en sag af egen drift, der bl.a. skulle afklare, om Medicals Nordic havde gennemført passende organisatoriske og tekniske sikkerhedsforanstaltninger i forbindelse med transmission af borgernes oplysninger.
Datatilsynet fandt i den forbindelse, at Medicals Nordic i en række forhold ikke havde etableret passende sikkerhedsforanstaltninger.
Medarbejdere hos Medicals Nordic anvendte deres private telefoner til at transmittere fortrolige oplysninger om borgere til virksomhedens centrale administration gennem applikationen WhatsApp. I den forbindelse havde Medicals Nordic oprettet en WhatsApp-gruppe for hvert af de fire testcentre, som virksomheden drev.
Alle medarbejdere, der arbejdede i et testcenter, blev inviteret til den WhatsApp-gruppe, der hørte til testcenteret. Medlemmerne af de pågældende WhatsApp-grupper modtog alle de beskeder, som andre medarbejdere transmitterede i grupperne.
Det betød at medarbejdere, der efter Datatilsynets vurdering ikke havde et arbejdsbetinget behov for at behandle oplysninger – som andre medarbejdere skulle transmittere til den centrale administration – alligevel modtog oplysningerne, der bl.a. omfattede personnummer og helbredsoplysninger om borgere.
En utilstrækkelig adgangsstyring af grupperne medførte yderligere, at medarbejdere, der ikke længere var ansat, ikke blev fjernet fra WhatsApp-grupperne, hvorfor de fortsat kunne tilgå de oplysninger, der blev transmitteret i grupperne.
Stor bøde
Datatilsynet har med politianmeldelsen indstillet Charlottenlund Lægehus Medicals Nordic I/S til en bøde på 600.000 kr.
Tilsynet lægger bl.a. vægt på, at fortrolige oplysninger og helbredsoplysninger om et stort antal borgere er blevet behandlet usikkert og videregivet til uvedkommende, herunder medarbejdere, der ikke havde et arbejdsbetinget behov for at modtage oplysningerne. Ydermere er der også tale om medarbejdere, som ikke længere var ansat i virksomheden.