Læge lækker patientnavne og diagnoser i desperation over mangelfuld it-sikkerhed

Politi og Datatilsyn undersøger sag med læges læk af patientdata og anklager om at patientdata er opbevaret på Google-kalendere.

En tidligere ansat læge og videnskabelig assistent på Glostrup Hospital har på sin blog publiceret navne og diagnoser på flere hundrede patienter fra hospitalet med blandt andet diagnoser som sklerose, migræne og betændelse i synsnerven.

Det fortæller TV2 Nyhederne.

TV 2 har talt med den tidligere læge, der fortæller, at han har lagt oplysningerne på patienter på nettet for at gøre opmærksom på en række problemer med datasikkerheden på Glostrup Hospital.

Problemer, han ifølge eget udsagn til TV 2 uden held har forsøgt at gøre en række myndigheder opmærksom på, siden hans ansættelse ophørte for over to år siden.

Konkret beskylder han blandt andet sin tidligere arbejdsplads for at have opbevaret personfølsomme oplysninger på en Google-kalender uden en databehandleraftale eller et logningssystem, som både er krævet af datatilsynet og ifølge hospitalets egne regler.

Der tegner sig et mønster af sjusk

Det er langtfra første gang, at hospitalerne er i søgelyset for lemfældig omgang med de meget private følsomme patientdata. Version2 omtalte i starten af maj en afgørelse fra Datatilsynet, hvor Gentofte Hospital blev kritiseret af tilsynet for ikke at leve op til persondatareglerne, herunder krav om, at sikkerheden hos anvendte databehandlere skal påses.

Læs også: Region Hovedstaden lever ikke op til krav om beskyttelse af persondata

I februar fortalte vi om en gennemgang af datasikkerheden hos forskere, hvor billedet var, at forskere alt for ofte ikke overholder juridiske og tekniske krav, der skal beskytte bl.a. følsomme sundhedsdata under forskningen.

Endelig i marts, hvor Datatilsynet fandt regionernes håndtering af EPJ-data hos underleverandører 'kritisabel' eller 'meget kritisabel', bl.a. fordi man forsømmer at indgå databehandleraftaler med alle leverandører og at sikre, at leverandørerne passer godt nok på vores data.

Læs også: Samtlige regioner får røffel af Datatilsynet for at svigte persondataregler

Regelbrud

Rigshospitalet, som Glostrup Hospital i dag hører under, erkender, at der har været et problem med den pågældende forskningsafdeling.

»Det ser ud til, at der har været nogle patientoplysninger i nogle Google-kalendere, og det er imod de regler, vi har. Jeg skal ikke kunne sige, hvorfor de har gjort det på den måde dengang. Det er ikke i orden. Det må man ikke,« siger Leif Panduro Jensen, centerdirektør på Finsencenteret på Rigshospitalet, til TV 2.

Rigshospitalet har fået lukket kalenderen og har desuden anmeldt den tidligere medarbejder til politiet for at offentliggøre personfølsomme data, som de mener, han har stjålet fra hospitalet.

Undersøges af Datatilsynet

Datatilsynet er nu gået ind i sagen, både i forhold til den pågældende læges persondatalæk men også for at undersøge hans anklager. Københavns Vestegns Politi bekræfter over for TV 2, at de efterforsker sagen. Politiet har i den forbindelse foretaget en række lukninger af hjemmesider i de seneste uger.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

Det er ikke fair overfor de pågældende patienter. Kunne det virkeligt ikke have været gjort på en anden måde? Kunne man ikke i et eller andet omfang have sløret navne/diagnoser og alligevel have fået sin pointe igennem?

I indslagene i medierne for et par dage siden om sagen fik man indtryk af, at det var en patient, der selv tilfældigt havde opdaget, at hendes oplysninger lå på internettet. Den ansvarlige overlæge på RH gav (så vidt jeg forstod) udtryk for, at sagen var et par år gammel, og at hospitalet havde været klar over det længe.
- I så fald - hvorfor opdager patienten det så nu?
- I så fald - har hospitalet så ikke givet de berørte patienter besked - som de, så vidt jeg ved, har pligt til? Åbenbart ikke.
- Det kunne være rart at få oplyst, hvilken forskningsafdeling, der er tale om, så andre patienter har mulighed for evt. at tjekke, om de har været udsat?

Sagen viser, at man stadig tager alt for let på datasikkerhed og privatliv i det offentlige. Hvorfor skulle det være anderledes i Sundhedsplatformen?

  • 3
  • 0
Günther Momsen

Når forskere skal bruge patientdata, har de sjældent brug for patientens navn og cpr-nummer og evt. adresse. Sundhedsstyrelsen kunne bestyre nogle surrogat nøgler (google, "surrogate key") i stedet for cpr-numre og navne, som også kunne bruges til sammenkøring af data. Fordelen ville også være, at man ikke umiddelbart kan se ens egen families data, f. eks.

  • 1
  • 0
Bjarne Nielsen

Sundhedsstyrelsen kunne bestyre nogle surrogat nøgler...

Det er en smule bedre, men kun en meget lille smule. Det er også kendt som pseudonymisering.

Og data er stadig personhenførbare, og derfor omfattet af persondatalovgivningen medmindre anden lovgivning siger andet (hvorfor orker jeg blive ved? - vore data er snart væg-til-væg dækket med undtagelser, og i særlig grad når det gælder sundhedsdata og "forskning").

  • 1
  • 0
Log ind eller Opret konto for at kommentere