17/12/2021 - Vacciner og GDPR

Sundhedsstyrelsen erkender GDPR-fejl på deres hjemmeside


Indstillingerne bliver nu ændret på hjemmesiden, der giver overblik over vaccinesteder. Det sker efter K-NEWS konstaterede fejl ved de cookies og det samtykke, man som borger blev afkrævet for at få adgang til Danmarkskortet på hjemmesiden, der skulle gøre tilgangen til vaccinen nem og effektiv.

En ekspert på området kalder det en type fejl, der formentlig er langt flere af, og som skyldes at myndighederne er vant til at agere i ‘fredstid’, og ikke i en ‘krigstid’ som nu.

Tekst: Dan Poulsen


Billedet: Udsnit fra Sundhedsstyrelsens kort med vaccinestedsoverblik samt beskeden om et forkert samtykkekrav på sst.dk

 

Efter K-NEWS har spurgt ind til cookieindstillingerne på den hjemmeside, der viser, hvor du som borger hurtigt og effektivt kan få vaccinestik - ikke mindst relevant i denne uge efter regeringen søndag intensiverede vaccinationsindsatsen og blandt andet ændrede på fristen for, hvor tidligt det tredje boosterstik kan gives - har myndigheden gennemgået indstillinger på deres site, og en ændring er nu sat igang.

Vi skrev om baggrunden for vores spørgsmål til Sundhedsstyrelsen under overskriften

‘Frivilligt samtykke mangler, hvis du vil have boosteroverblik’.

Torsdag eftermiddag har vi modtaget svar fra webredaktør hos Sundhedsstyrelsen, Daniel Hermansen, efter han har undersøgt baggrunden for det, vi beskriver.
Og der er tale om en fejl i indstillingerne på deres site, der nu vil blive rettet.

Han skriver:

"Tak for din henvendelse vedr. cookies og samtykke for at få adgang til Danmarkskortet med vaccinationsmuligheder. Danmarkskortet er et kort, som vi har indlejret på vores hjemmeside. Vi har gennemgået indstillingerne for kortet på ny, og vi har erfaret, at kortet ikke afsætter cookies. Vi er via hjælp fra vores leverandør ved at justere indstillingerne i vores system, der håndterer cookies, så kortet fremover kan ses uden, at man som bruger skal acceptere funktionelle cookies".

Jeg vil slet ikke være overrasket, hvis der ved Sundhedsstyrelsen er en lang liste over ting, man ikke har fået fulgt op på pt

Bertel Torp, CTO, Ulobby

 

Dermed altså bekræftet, at der var tale om en fejl, der gjorde myndigheden ikke GDPR-compliant. Og dem er der formentlig flere af, som vi vender tilbage til.

Som vi også skrev i artiklen onsdag, er der masser af den slags fejl. Nogle er graverende, andre mindre. Men alle handler de om, hvordan databehandlere høster med samtykke - eller mangel på samme - og varetager databehandlingen. Et emne vi på K-NEWS skriver løbende om - senest i vores dækning af en konflikt, der involverer det irske datatilsyn, hele EU og Facebooks indhentning af samtykke, der kritiseres af Max Schrems som undergravende for det fundamentale i GDPR. En historie vi arbejder videre med.

 

Den pæne ende af skalaen i krigstid

Sundhedsstyrelsens fejl hører i denne omgang til de mildere ifølge Bertel Torp, CTO og medstifter af Ulobby, som vi tidligere på ugen bad kigge cookievejen til ‘adgang til Danmarkskortet med vaccinationsmuligheder’ efter i sømmene.

Han nåede, ligesom vi gjorde på K-NEWS, frem til, at det var opsat på en måde, så der skulle gives samtykke til flere cookies end nødvendigt. Ikke kun ’nødvendige’ skulle accepteres, men også ‘funktionelle’.

“Min personlige vurdering er at det både teknisk og principielt burde være tilstrækkeligt at give samtykke til "nødvendige cookies" for at se indholdet.”

Og derpå nedtoner han alvoren men udpeger kort efter nogle overordnede og mere bekymrende træk i myndighedernes ageren på nettet.

“I min optik er det en mild forseelse og jeg ser ingen indikation på, at SST ikke har respekteret borgernes privatliv i forbindelse med implementeringen af kortet. I forhold til cookies er den fejl, jeg ser oftest, at cookies bliver brugt uden at bede om samtykke. I dette tilfælde er der tale om det omvendt - at SST beder om samtykke men ikke bruger cookies. Begge dele er selvfølgelig fejl, men jeg synes det er bedre at spørge om lov, end det er at gøre noget uden at have spurgt”.

Men derefter siger Bertel Torp.

“Jeg vil slet ikke være overrasket, hvis der ved Sundhedsstyrelsen er en lang liste over ting, man ikke har fået fulgt op på pt. Jeg forestiller mig, at de i "fredstid" kun laver et par kampagner om året, og at de nu er i "krigstid", hvor de er presset af dels at skulle producere meget mere webindhold og dels af, at det indhold skal opdateres med en uhørt høj frekvens.”

Altså - tillader vi os på K-NEWS at opsummere - anser Bertel Torp det for mere end sandsynligt, at myndighederne slet ikke er gearet til den epidemi-'krigstid' Danmark er i, når det altså gælder GDPR og datalovgivning, og at det derfor i udrulningen af de løbende ændringer og tiltag først og fremmest kommer til at handle om hastighed over almindelig sikring af privacy og databeskyttelse.

Pointerne fra Bertel Torp vender vi tilbage til en af de kommende dage her på K-NEWS.

Jeg forestiller mig at de i "fredstid" kun laver et par kampagner om året, og at de nu er i "krigstid", hvor de er presset

 

Del denne fra K-NEWS

Skal vi holde dig opdateret?

Få besked om nye artikler og podcast direkte i din mailboks ved at tilmelde dig herunder.

Vi indsamler ikke data om dig – og journalistikken, vi leverer, er gratis.

Nyhedsmail. Ja tak