215 patienter fik afluret deres journaler: Sagen er meldt til politiet og Datatilsynet

Illustration: Ole Bo Jensen, Imagebureauet​​
En sygeplejerske har kigget i mange kendtes patientjournaler. Region Hovedstaden mener ikke, dataene er blevet misbrugt.

En nysgerrig sygeplejerske fra Region Hovedstaden har mellem maj 2017 og januar 2020 luret 336 gange i 215 patientjournaler.

Ifølge Region H er oplysningerne ikke blevet misbrugt, men sagen er blevet meldt til både Datatilsynet og politiet, der vil undersøge sagen nærmere. Det fremgår af en pressemeddelelse på Regionens hjemmeside.

Læs også: 1.490 uberettigede eller mistænkelige opslag i regionale patientjournaler på fire år

Mange af opslagene er blevet lavet før indførelsen af den automatiske logopfølgning, der blev indført i efteråret 2019. Førhen var kontrollen manuel og baseret på stikprøver. Ansatte på hospitalerne har adgang til patientjournaler på tværs af hospitalerne, sådan at man hurtigt kan komme til oplysningerne i nødsituationer.

Kendisjournaler

Jyllands-Posten (kræver login) er kommet i besiddelse af et notat fra Region Hovedstadens it-afdeling, og her fremgår det, at opslagene er lavet i journaler, der tilhører kendte personer og politikere.

Regionsrådet skulle den 10. juli være blevet informeret om sagen. Her kom det også frem, at sagen har udspillet sig på Bispebjerg og Frederiksberg Hospital.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Christian Schmidt Blogger

Ritzau skriver om sagen:

Regionen vil den kommende tid - via e-boks - kontakte de borgere, som er blevet udsat for de uberettigede opslag.

Datatilsynet skriver i sin vejledning om håndtering af databrud følgende:

Den dataansvarlige skal underrette den registrerede uden unødig forsinkelse efter, at bruddet på persondatasikkerheden er påvist.

Databruddet blev opdaget for mere end et halvt år siden, så det virker umiddelbart som om, at regionen ikke lever op til dette krav.

  • 22
  • 0
#2 Louise Klint

Ja, du har ret. Og mange andre spørgsmål melder sig.

Hvorledes med underretning af regionspolitikere og offentlighed?

Hvorfor får Regionsrådet – og offentligheden – først besked nu? Et halvt år senere, midt i sommerferien?

Medarbejderen er fyret tilbage i januar.

Som vi har set med politiets offentliggørelse af den ene skandale efter den anden, af deres egne fejl, her, midt i sommerferien, er tidspunktet ikke nødvendigvis en tilfældighed. https://www.version2.dk/artikel/nye-dna-fejl-hos-politiet-nu-skal-5000-f...

Således får sagen mindst mulig bevågenhed. Både fra medier, offentlighed og her også (sundheds)politikere på Christiansborg.

Mange har pt. mest af alt travlt med at holde ferie og slappe af. Lade op efter et krævende coronaforår. Det er tiltrængt og velfortjent. Så Regionen kan håbe på, at nyheden stille og roligt fordamper og blæser væk i en sommerbrise, fordi ingen orker at tage sig af det lige præcis nu.

Men jeg håber alligevel, at medierne bider sig fast. Og måske, at nogle af de berørte ”fremtrædende politikere” eller andre af de ”kendte personer” evt. ville gå sammen og gå i pressen eller på anden vis lægge pres.

At denne sag, på grund af sit omfang og ublu karakter (215 berørte personer), skaber opmærksomhed omkring og fokus på, hvor sårbart det er – vi er – med denne lettilgængelige adgang til store mængder af yderst følsomme oplysninger.

(Og nej, jeg tror ikke, at ulovlige opslag er udbredt blandt medarbejdere på hospitalerne, som jeg har stor respekt for. Men svage sjæle kan blive fristet af den lette tilgængelighed og svage kontrol).

  • 6
  • 1
#3 Bjarne Nielsen

Tja. Ting som dette sker, har altid sket og vil altid ske. Det er vigtigt at finde en balance imellem praktisk tilgængelighed og tilstrækkelig nedlukning for uvedkommende.

Det er også derfor, at jeg - blandt mange andre - ofte og gerne taler om:

1) nødvendigheden af tilstrækkelig logning og 2) tilstrækkelig opfølgning på logning

Så jeg er egentlig ikke overrasket over, at det er sket. Vi skal muligvis have en snak om, hvor længe at det har pågået, og dermed om der har været tilstrækkeligt tilsyn.

Det er lidt som med billetkontrol: vi kan godt designe mere sikre systemer, men det skal også fungere i praksis. Og så supplerer man i stedet op med billetkontrol. Her er det vigtigt, at kontrollen har mulighed for at kunne fungere (der skal logges), og at den sker (der skal følges op).

Det kan suppleres med "knus glasset" mekanik. At systemet gør opmærksom på, at opslaget er usædvanligt, og at hvis man fortsætter, så vil man sandsynligvis blive spurgt om det efterfølgende. Har man en god grund, er det bare et ekstra klik, og har man ikke, så vil det nok få de fleste til at tænke sig om to gange. Og det kunne jo være en ærlig tastefejl, og intet vist, intet afsløret.

Til gengæld savner jeg også en god forklaring på, hvorfor at det har taget så lang tid at få orienteret (og jeg bemærker også timingen ... det påkalder sig særskilt opmærksomhed). Måske fordi at det sætter et pinligt lys på, at kontrollen i praksis har været ikke-eksisterende i så lang tid, at det kunne falde tilbage på de øverste ansvarlige, og fordi vi helst ikke skulle få den tanke, at der kunne være tale om forsømmelighed fra samme. Syndebukken er fundet, ikke mere at se her (host!).

For alle ved at det sker, og ikke at have tilstrækkelige kontroller og tilstrækkelig opfølgning på plads i tide, vil efter min mening være at have udvist forsømmelighed.

  • 9
  • 0
Log ind eller Opret konto for at kommentere