Embætti landlæknis krefst ógildingar á úrskurði Persónuverndar frá því í fyrra en málið snýr að öryggisveikleika á Heilsuveru.
Persónuvernd lagði stjórnvaldssekt að upphæð 12.000.000 króna, á embætti landlæknis vegna öryggisveikleika í upplýsingavefnum Heilsuveru þann 27. júlí árið 2023. Hafði þá embættið tilkynnt um öryggisbrest er tveir einstaklingar náðu sér í gögn sér óviðkomandi.
Embætti landlæknis sendi rétt í þessu frá sér fréttatilkynningu þar sem embættið krefst ógildingar á úrskurði Persónuverndar. Embættið telur ákvörðunina efnislega ranga, samkvæmt tilkynningunni og að meðferð Persónuverndar á málinu ekki „samboðna þeim reglum sem eru til grundvallar íslensku réttarríki,“ eins og það er orðað í fréttatilkynningunni.
Ennfremur segir í tilkynningunni að standi ákvörðun Persónuverndar óhögguð, meðal annars til þess fallin að grafa undan öryggismenningu og persónuvernd á landinu og fæla annars ábyrga aðila frá því að tilkynna um öryggisbresti og atvik sem snerta öryggi upplýsingakerfa. Embættið segir einnig að ákvörðunin hafi „veikt stöðu stofnana þjóðfélagsins sem reka og hafa umsjón með mikilvægum upplýsingakerfum og dregið úr mikilvægu hlutverki Persónuverndar sem er að standa vörð um persónuupplýsingar landsmanna.“
Þá gerir embætti landlæknis alvarlegar og margvíslegar athugasemdir við málsmeðferð og starfshætti Persónuverndar í málinu. Segist embættið ekki skorast undan ábyrgð í málinu enda hafi verið tekið á því um leið og það kom upp.
Hér má lesa fréttatilkynninguna í heild sinni:
Fréttatilkynning 22. apríl 2024
Embætti landlæknis hefur ákveðið að krefjast þess fyrir Héraðsdómi Reykjavíkur að ógild verði með dómi ákvörðun Persónuverndar dags. 27. júlí 2023. Telur embættið ákvörðunina vera efnislega ranga. Málið tekur til öryggisveikleika í upplýsingakerfinu Heilsuveru.
Embættið telur meðferð Persónuverndar á umræddu máli ekki samboðna þeim reglum sem eru til grundvallar íslensku réttarríki.
Þá er ákvörðun Persónuverndar, standi hún óhögguð, m.a. til þess að fallin að grafa undan öryggismenningu og persónuvernd hér á landi og fæla annars ábyrga aðila frá því að tilkynna um öryggisbresti og atvik er varða öryggi upplýsingakerfa. Þetta getur veikt stöðu stofnana þjóðfélagsins sem reka og hafa umsjón með mikilvægum upplýsingakerfum og dregið úr mikilvægu hlutverki Persónuverndar sem er að standa vörð um persónuupplýsingar landsmanna.
Embætti landlæknis gerir margvíslegar og alvarlegar athugasemdir við starfshætti og málsmeðferð Persónuverndar í málinu. Þar á meðal telur embættið að bæði form- og efnisannmarkar séu á ákvörðun Persónuverndar, forsendur ákvörðunarinnar séu rangar og að rannsókn málsins af hálfu Persónuverndar hafi verið ófullnægjandi. Að auki byggi sektarákvörðun á ólögmætum og ómálefnalegum sjónarmiðum. Þá telur embætti landlæknis mikilvægt að fá umfjöllun dómstóla um ýmis þau atriði persónuverndarlaga sem uppi eru í þessu máli og máli skipta bæði fyrir embætti landlæknis og almennt séð.
Embættið skorast ekki undan ábyrgð hvað varðar umræddan öryggisveikleika. Við honum var brugðist með skjótum og fumlausum hætti og með ítarlegri greiningu. Þá var staðreynt að enginn misnotaði öryggisveikleikann og að þær afmörkuðu persónuupplýsingar notenda Heilsuveru sem öryggisveikleikinn náði til lentu ekki í höndum einstaklinga sem reyndu að nýta þær í ólögmætum tilgangi. Þannig leiddi öryggisveikleikinn til minniháttar öryggisbrests sem Persónuvernd var tilkynnt um samdægurs.