En tidligere ansat læge og videnskabelig assistent på Glostrup Hospital har på sin blog publiceret navne og diagnoser på flere hundrede patienter fra hospitalet med blandt andet diagnoser som sklerose, migræne og betændelse i synsnerven.
TV 2 har talt med den tidligere læge, der fortæller, at han har lagt oplysningerne på patienter på nettet for at gøre opmærksom på en række problemer med datasikkerheden på Glostrup Hospital.
Problemer, han ifølge eget udsagn til TV 2 uden held har forsøgt at gøre en række myndigheder opmærksom på, siden hans ansættelse ophørte for over to år siden.
Konkret beskylder han blandt andet sin tidligere arbejdsplads for at have opbevaret personfølsomme oplysninger på en Google-kalender uden en databehandleraftale eller et logningssystem, som både er krævet af datatilsynet og ifølge hospitalets egne regler.
Der tegner sig et mønster af sjusk
Det er langtfra første gang, at hospitalerne er i søgelyset for lemfældig omgang med de meget private følsomme patientdata. Version2 omtalte i starten af maj en afgørelse fra Datatilsynet, hvor Gentofte Hospital blev kritiseret af tilsynet for ikke at leve op til persondatareglerne, herunder krav om, at sikkerheden hos anvendte databehandlere skal påses.
I februar fortalte vi om en gennemgang af datasikkerheden hos forskere, hvor billedet var, at forskere alt for ofte ikke overholder juridiske og tekniske krav, der skal beskytte bl.a. følsomme sundhedsdata under forskningen.
Endelig i marts, hvor Datatilsynet fandt regionernes håndtering af EPJ-data hos underleverandører 'kritisabel' eller 'meget kritisabel', bl.a. fordi man forsømmer at indgå databehandleraftaler med alle leverandører og at sikre, at leverandørerne passer godt nok på vores data.
Regelbrud
Rigshospitalet, som Glostrup Hospital i dag hører under, erkender, at der har været et problem med den pågældende forskningsafdeling.
»Det ser ud til, at der har været nogle patientoplysninger i nogle Google-kalendere, og det er imod de regler, vi har. Jeg skal ikke kunne sige, hvorfor de har gjort det på den måde dengang. Det er ikke i orden. Det må man ikke,« siger Leif Panduro Jensen, centerdirektør på Finsencenteret på Rigshospitalet, til TV 2.
Rigshospitalet har fået lukket kalenderen og har desuden anmeldt den tidligere medarbejder til politiet for at offentliggøre personfølsomme data, som de mener, han har stjålet fra hospitalet.
Undersøges af Datatilsynet
Datatilsynet er nu gået ind i sagen, både i forhold til den pågældende læges persondatalæk men også for at undersøge hans anklager. Københavns Vestegns Politi bekræfter over for TV 2, at de efterforsker sagen. Politiet har i den forbindelse foretaget en række lukninger af hjemmesider i de seneste uger.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
