Datatilsynet udtaler kritik af styrelsen på fire områder:
- databehandleraftaler, og
- myndighedens kontrol med databehandlere
- uddybende sikkerhedsregler,
- myndighedens eget tilsyn
Sundhedsdata har ikke været i fare
Særligt peger Datatilsynet på, at Sundhedsdatastyrelsen ”for under halvdelen af de anvendte databehandlere har levet op til persondatalovens krav om indgåelse af skriftlig databehandleraftale”.
Det er vigtigt for Sundhedsdatastyrelsen at understrege, at for alle de områder, der berører borgernes sundhedsdata, for eksempel Det Fælles Medicinkort, Vævsanvendelsesregistret, Den Nationale Børnedatabase, Sygesikringsregistret mv., er de skriftlige databehandleraftaler på plads, og der bliver ført tilsyn med databehandlerne.
De databehandlere uden tilstrækkelige skriftlige databehandleraftaler, der henvises til i Datatilsynets udtalelse, er systemer udbudt af Moderniseringsstyrelsen til løn-, regnskab og personaleadministration.
Den kritik tager Sundhedsdatastyrelsen selvfølgelig til sig.
Datatilsynet peger dog i sin udtalelse på, at problemstillingen med de manglende databehandleraftaler for disse systemer er generel og fælles for en lang række statslige myndigheder. Moderniseringsstyrelsen er sammen med Datatilsynet ved at se på disse aftaler.
Derfor afventer Sundhedsdatastyrelsen resultaterne af dette arbejde, så det sikres, at der indgås korrekte og tilstrækkelige aftaler.
Uddybende sikkerhedsregler er på plads
For så vidt angår de uddybende sikkerhedsregler, hvor dataansvarlig myndighed bl.a. skal fastsætte og uddybe regler for, fx hvordan man behandler personlige oplysninger inden for myndighedens egne mure, så er disse regler og retningslinjer fastsat for Sundhedsdatastyrelsens vedkommende, og der er en praksis for at føre tilsyn hermed.
Dette har styrelsen desværre ikke kommunikeret korrekt til Datatilsynet. Det vil naturligvis ske i forbindelse med den redegørelse, som Datatilsynet har bedt styrelsen om at fremsende.
Sundhedsdatastyrelsens direktør, Lisbeth Nielsen, beklager kritikken og understreger, at sikkerheden omkring persondata og sikkerhedsbekendtgørelsen er øverst på dagsordenen for Sundhedsdatastyrelsen.