Persónuvernd hefur lagt þriggja milljóna króna stjórnvaldssekt á SÁÁ vegna öryggisbrests sem átti sér stað haustið 2018. Öryggisbresturinn varð með þeim hætti að starfsmaður, sem hætti störfum hjá samtökunum árið áður, átti að fá afhenta kassa með persónulegum gögnum.
Við afhendinguna fékk hann hins vegar einnig í hendur verulegt magn sjúklingaupplýsinga, en þar á meðal voru innritunarbækur með nöfnum um 3.000 sjúklinga og ítarlegar sjúkraskrárupplýsingar um 252 einstaklinga.
Fyrst var fjallað um málið á mbl.is í júlí á síðasta ári. Þá lýsti Hjalti Þór Björnsson, starfsmaður SÁÁ til þriggja áratuga, því í samtali við blaðamann að hann hefði fengið gögnin send heim til sín úr höfuðstöðvum SÁÁ ásamt fleiri persónulegum munum.
Arnþór Jónsson, formaður SÁÁ, sór fyrir það í samtali við blaðamann og sakaði Hjalta um að hafa sjálfur tekið gögnin með sér heim. Sagði hann SÁÁ vita ekki um hvaða gögn væri að ræða.
Persónuvernd kvað upp sektarákvörðun sína í dag. Var það mat stofnunarinnar að afhending sjúkraskrárgagnanna væri afleiðing af skorti á tæknilegum og skipulagslegum ráðstöfunum af hálfu samtakanna til að tryggja öryggi persónuupplýsinga.
Við ákvörðun sektarinnar var meðal annars litið til þess að um viðkvæmar persónuupplýsingar var að ræða og umfangs þeirrar vinnslu sem um ræddi. Á hinn bóginn var einnig litið til þess að um er að ræða samtök sem vinna að almannaheillum, starfa ekki í fjárhagslegum tilgangi og leggja sjálfsaflafé til heilbrigðisþjónustu sem er opin almenningi.
Þá var litið til þess að mikil umbótavinna hafði verið unnin innan SÁÁ til að uppfylla kröfur persónuverndarlöggjafar, en hún hófst áður en öryggisbresturinn komst upp. Að teknu tilliti til þessara þátta var samtökunum gert að greiða 3.000.000 króna stjórnvaldssekt.