215 patienter fik afluret deres journaler: Sagen er meldt til politiet og Datatilsynet

24. juli 2020 kl. 09:553
215 patienter fik afluret deres journaler: Sagen er meldt til politiet og Datatilsynet
Illustration: Ole Bo Jensen, Imagebureauet​​.
En sygeplejerske har kigget i mange kendtes patientjournaler. Region Hovedstaden mener ikke, dataene er blevet misbrugt.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En nysgerrig sygeplejerske fra Region Hovedstaden har mellem maj 2017 og januar 2020 luret 336 gange i 215 patientjournaler.

Ifølge Region H er oplysningerne ikke blevet misbrugt, men sagen er blevet meldt til både Datatilsynet og politiet, der vil undersøge sagen nærmere. Det fremgår af en pressemeddelelse på Regionens hjemmeside.

Mange af opslagene er blevet lavet før indførelsen af den automatiske logopfølgning, der blev indført i efteråret 2019. Førhen var kontrollen manuel og baseret på stikprøver. Ansatte på hospitalerne har adgang til patientjournaler på tværs af hospitalerne, sådan at man hurtigt kan komme til oplysningerne i nødsituationer.

Kendisjournaler

Jyllands-Posten (kræver login) er kommet i besiddelse af et notat fra Region Hovedstadens it-afdeling, og her fremgår det, at opslagene er lavet i journaler, der tilhører kendte personer og politikere.

Artiklen fortsætter efter annoncen

Regionsrådet skulle den 10. juli være blevet informeret om sagen. Her kom det også frem, at sagen har udspillet sig på Bispebjerg og Frederiksberg Hospital.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
24. juli 2020 kl. 17:34

Tja. Ting som dette sker, har altid sket og vil altid ske. Det er vigtigt at finde en balance imellem praktisk tilgængelighed og tilstrækkelig nedlukning for uvedkommende.

Det er også derfor, at jeg - blandt mange andre - ofte og gerne taler om:

  1. nødvendigheden af tilstrækkelig logning og 2) tilstrækkelig opfølgning på logning

Så jeg er egentlig ikke overrasket over, at det er sket. Vi skal muligvis have en snak om, hvor længe at det har pågået, og dermed om der har været tilstrækkeligt tilsyn.

Det er lidt som med billetkontrol: vi kan godt designe mere sikre systemer, men det skal også fungere i praksis. Og så supplerer man i stedet op med billetkontrol. Her er det vigtigt, at kontrollen har mulighed for at kunne fungere (der skal logges), og at den sker (der skal følges op).

Det kan suppleres med "knus glasset" mekanik. At systemet gør opmærksom på, at opslaget er usædvanligt, og at hvis man fortsætter, så vil man sandsynligvis blive spurgt om det efterfølgende. Har man en god grund, er det bare et ekstra klik, og har man ikke, så vil det nok få de fleste til at tænke sig om to gange. Og det kunne jo være en ærlig tastefejl, og intet vist, intet afsløret.

Til gengæld savner jeg også en god forklaring på, hvorfor at det har taget så lang tid at få orienteret (og jeg bemærker også timingen ... det påkalder sig særskilt opmærksomhed). Måske fordi at det sætter et pinligt lys på, at kontrollen i praksis har været ikke-eksisterende i så lang tid, at det kunne falde tilbage på de øverste ansvarlige, og fordi vi helst ikke skulle få den tanke, at der kunne være tale om forsømmelighed fra samme. Syndebukken er fundet, ikke mere at se her (host!).

For alle ved at det sker, og ikke at have tilstrækkelige kontroller og tilstrækkelig opfølgning på plads i tide, vil efter min mening være at have udvist forsømmelighed.

2
24. juli 2020 kl. 12:39

Ja, du har ret. Og mange andre spørgsmål melder sig.

Hvorledes med underretning af regionspolitikere og offentlighed?

Hvorfor får Regionsrådet – og offentligheden – først besked nu? Et halvt år senere, midt i sommerferien?

Medarbejderen er fyret tilbage i januar.

Som vi har set med politiets offentliggørelse af den ene skandale efter den anden, af deres egne fejl, her, midt i sommerferien, er tidspunktet ikke nødvendigvis en tilfældighed.https://www.version2.dk/artikel/nye-dna-fejl-hos-politiet-nu-skal-5000-flere-sager-undersoeges-1091010

Således får sagen mindst mulig bevågenhed. Både fra medier, offentlighed og her også (sundheds)politikere på Christiansborg.

Mange har pt. mest af alt travlt med at holde ferie og slappe af. Lade op efter et krævende coronaforår. Det er tiltrængt og velfortjent. Så Regionen kan håbe på, at nyheden stille og roligt fordamper og blæser væk i en sommerbrise, fordi ingen orker at tage sig af det lige præcis nu.

Men jeg håber alligevel, at medierne bider sig fast. Og måske, at nogle af de berørte ”fremtrædende politikere” eller andre af de ”kendte personer” evt. ville gå sammen og gå i pressen eller på anden vis lægge pres.

At denne sag, på grund af sit omfang og ublu karakter (215 berørte personer), skaber opmærksomhed omkring og fokus på, hvor sårbart det er – vi er – med denne lettilgængelige adgang til store mængder af yderst følsomme oplysninger.

(Og nej, jeg tror ikke, at ulovlige opslag er udbredt blandt medarbejdere på hospitalerne, som jeg har stor respekt for. Men svage sjæle kan blive fristet af den lette tilgængelighed og svage kontrol).

1
24. juli 2020 kl. 11:05

Ritzau skriver om sagen:

Regionen vil den kommende tid - via e-boks - kontakte de borgere, som er blevet udsat for de uberettigede opslag.

Datatilsynet skriver i sin vejledning om håndtering af databrud følgende:

Den dataansvarlige skal underrette den registrerede uden unødig forsinkelse efter, at bruddet på persondatasikkerheden er påvist.

Databruddet blev opdaget for mere end et halvt år siden, så det virker umiddelbart som om, at regionen ikke lever op til dette krav.