215 patienter fik afluret deres journaler: Sagen er meldt til politiet og Datatilsynet

Ritzau skriver om sagen:

Regionen vil den kommende tid - via e-boks - kontakte de borgere, som er blevet udsat for de uberettigede opslag.

Datatilsynet skriver i sin vejledning om håndtering af databrud følgende:

Den dataansvarlige skal underrette den registrerede uden unødig forsinkelse efter, at bruddet på persondatasikkerheden er påvist.

Databruddet blev opdaget for mere end et halvt år siden, så det virker umiddelbart som om, at regionen ikke lever op til dette krav.

Ja, du har ret. Og mange andre spørgsmål melder sig.

Hvorledes med underretning af regionspolitikere og offentlighed?

Hvorfor får Regionsrådet – og offentligheden – først besked nu? Et halvt år senere, midt i sommerferien?

Medarbejderen er fyret tilbage i januar.

Som vi har set med politiets offentliggørelse af den ene skandale efter den anden, af deres egne fejl, her, midt i sommerferien, er tidspunktet ikke nødvendigvis en tilfældighed. https://www.version2.dk/artikel/nye-dna-fejl-hos-politiet-nu-skal-5000-f...

Således får sagen mindst mulig bevågenhed. Både fra medier, offentlighed og her også (sundheds)politikere på Christiansborg.

Mange har pt. mest af alt travlt med at holde ferie og slappe af. Lade op efter et krævende coronaforår. Det er tiltrængt og velfortjent. Så Regionen kan håbe på, at nyheden stille og roligt fordamper og blæser væk i en sommerbrise, fordi ingen orker at tage sig af det lige præcis nu.

Men jeg håber alligevel, at medierne bider sig fast. Og måske, at nogle af de berørte ”fremtrædende politikere” eller andre af de ”kendte personer” evt. ville gå sammen og gå i pressen eller på anden vis lægge pres.

At denne sag, på grund af sit omfang og ublu karakter (215 berørte personer), skaber opmærksomhed omkring og fokus på, hvor sårbart det er – vi er – med denne lettilgængelige adgang til store mængder af yderst følsomme oplysninger.

(Og nej, jeg tror ikke, at ulovlige opslag er udbredt blandt medarbejdere på hospitalerne, som jeg har stor respekt for. Men svage sjæle kan blive fristet af den lette tilgængelighed og svage kontrol).

Tja. Ting som dette sker, har altid sket og vil altid ske. Det er vigtigt at finde en balance imellem praktisk tilgængelighed og tilstrækkelig nedlukning for uvedkommende.

Det er også derfor, at jeg - blandt mange andre - ofte og gerne taler om:

1) nødvendigheden af tilstrækkelig logning og 2) tilstrækkelig opfølgning på logning

Så jeg er egentlig ikke overrasket over, at det er sket. Vi skal muligvis have en snak om, hvor længe at det har pågået, og dermed om der har været tilstrækkeligt tilsyn.

Det er lidt som med billetkontrol: vi kan godt designe mere sikre systemer, men det skal også fungere i praksis. Og så supplerer man i stedet op med billetkontrol. Her er det vigtigt, at kontrollen har mulighed for at kunne fungere (der skal logges), og at den sker (der skal følges op).

Det kan suppleres med "knus glasset" mekanik. At systemet gør opmærksom på, at opslaget er usædvanligt, og at hvis man fortsætter, så vil man sandsynligvis blive spurgt om det efterfølgende. Har man en god grund, er det bare et ekstra klik, og har man ikke, så vil det nok få de fleste til at tænke sig om to gange. Og det kunne jo være en ærlig tastefejl, og intet vist, intet afsløret.

Til gengæld savner jeg også en god forklaring på, hvorfor at det har taget så lang tid at få orienteret (og jeg bemærker også timingen ... det påkalder sig særskilt opmærksomhed). Måske fordi at det sætter et pinligt lys på, at kontrollen i praksis har været ikke-eksisterende i så lang tid, at det kunne falde tilbage på de øverste ansvarlige, og fordi vi helst ikke skulle få den tanke, at der kunne være tale om forsømmelighed fra samme. Syndebukken er fundet, ikke mere at se her (host!).

For alle ved at det sker, og ikke at have tilstrækkelige kontroller og tilstrækkelig opfølgning på plads i tide, vil efter min mening være at have udvist forsømmelighed.