Samarbejdet med Medicals Nordic, der har stået for kviktest flere steder i Danmark, men ikke har holdt folks følsomme sundhedsoplysninger fortrolige, er under pres.

Region Midtjylland, der har forhandlet kviktest-aftalen på vegne af alle regionerne, er nemlig i tvivl om, hvorvidt samarbejdet skal fortsætte.

Mandag morgen har Dorte Christensen, vicedirektør i indkøb og medicoteknik i Region Midtjylland, bedt SOS International, som bruger Medicals Nordic som underleverandør, om en redegørelse for datasikkerhedsbruddet, hvoraf første del netop er landet på Dorte Christensen bord her mandag formiddag.

»Jeg ved ikke endnu, om samarbejdet fortsætter. Vi er ikke færdige med afklaringen endnu. Jeg kan ikke sige noget, før vi er færdige med at kigge på redegørelsen. Det har jeg også meddelt SOS International,« siger Dorte Christensen.

I redegørelsen fremgår det, at der er blevet implementeret en ny og midlertidig rapporteringsstruktur, der lever op til GDPR-reglerne. Dorte Christensen kan dog fortsat ikke sige, om det er tilstrækkeligt i forhold til et fortsat samarbejde

»Jeg har bedt om yderligere information fra SOS International og har bedt om en vurdering af deres setup, som nogle it-kyndige skal kigge på, når den kommer.«

Samarbejdet om kviktest mellem regionerne og SOS International har fundet sted siden midt december. SOS International har dog netop vundet udbuddet til at skulle lave kviktest i fire ud af fem regioner fra 1. februar 2021.

Dorte Christensen er dog yderst utilfreds med den måde, som de personfølsomme data er blevet håndteret på hos SOS International og deres underleverandør Medicals Nordic.

»Det er dybt beklageligt og kritisabelt, at de ikke overholder aftaler og gældende lovgivning.«

Dorte Christensen, hvilke aftaler har I helt konkret haft?

»De skulle overholde gældende lovgivning inden for dataområdet. Det er en del af aftalen. Det gælder både i den aftale, vi har haft indtil nu, og i den nye aftale fra 1. februar.«

Hvem har ansvaret i den her sag?

»Det har SOS international.«

I har ikke noget ansvar?

»Vi har stillet som krav, at man overholder de persondataretslige regler. SOS International står til ansvar over for os, og det har de ikke levet op til.«

I en pressemeddelelse fra Region Midtjylland fra 19. januar står der ellers, at man havde sikret sig, at de overholdt databehandlingslovgivningen. Her er der tale om samarbejdet fra 1. februar.

Men SOS International har ikke kunnet overholde datalovgivningen i det allerede eksisterende samarbejde.

Hvordan har I helt konkret sikret jer, at SOS International/Medicals Nordic har kunnet overholde databehandlingslovgivningen?

»Fordi vi har indgået en aftale om databehandling. Men den app, de har brugt, overholder det ikke.«

Der står, at I har sikret det, hvordan det?

»Ved, at de skrev under på kontrakten og beskrev deres setup. Der var WhatsApp ikke beskrevet.«

Har I ført kontrol med, at datasikkerheden blev overholdt?

»Nej. Fordi, når vi skriver, at folk skal leve op til reglerne, så forventer vi også, de gør det, og så reagerer vi, så snart der er et problem.«

Så I venter, til problemet opstår, i stedet for at prøve at forebygge det?

»Det er et spørgsmål om, hvor store kontrolforanstaltninger man skal have.«

Og I har ingen?

»Ikke ud over, at vi i udbuddet har beskrevet, hvad de skal gøre. SOS International er et stort firma, vi forventede ikke, de ikke ville leve op til det.«

Den 1. februar træder den nye kontrakt i kraft, hvor SOS International skal kvikteste i fire ud af fem regioner. Hvilke krav har I til SOS International, hvis samarbejdet skal fortsætte?

»Vi skal have genoprettet tilliden, og vi skal være sikre på, at de har et system, hvor det ikke sker igen.

Hvordan vil I sikre jer, at det ikke sker igen?

»Vi kan gennemgå deres data-setup med dataeksperter.«

Hvad så med alle de her mange mennesker, som har fået delt deres oplysninger?

»Jeg går ud fra, jeg får en plan for, hvordan vi får ryddet op i det. Der kommer også en indberetning til Datatilsynet.«

Kan du forstå, hvis folk har mistet tillid og ikke tør lade sig teste fremover?

»Jeg forstår godt, hvis man er utryg ved at bruge systemet, og det skal vi være sikre på, at man ikke behøver at være.«

Kan du forsikre os om, at man fremover trygt kan lade sig teste, uden at ens oplysninger bliver delt?

»Jeg kan forsikre dem om, at vi vil have fuldt fokus på det her, og vi vil gøre alt det, vi overhovedet kan, for at sikre, at det ikke sker igen,« siger Dorte Christensen, vicedirektør i indkøb og medicoteknik i Region Midtjylland.