Leverandør lækker data om 220 psykiatriske patienter - smides nu på porten

Illustration: Region Syddanmark
Data om 220 psykiatriske patienter - i enkelte tilfælde også diagnosedata - har ligget ubeskyttet på mailkonto.

Oplysninger om 220 psykiatriske patienters navne, emailadresse og tilknytning til såkaldt internetpsykiatri har ligget ukrypteret på en mail-konto i perioder på ni dage.

Det oplyser Region Syddanmark, der tilbyder behandling over nettet, i en pressemeddelelse.

I enkelte tilfælde har der også været oplysninger om selvmordtanker i de åbne mails.

Fejlen skyldes, at leverandøren af internetbehandlinger, CCBT, har sendt en kopi af mails til patienterne, der er i behandling via internettet, til den ubeskyttede mail-adresse, der fungerer som testkonto.

Brøden er så alvorlig, at Region Syddanmark prompte afbryder samarbejdet med CCBT.

»Sikkerhedsbristen betyder, at CCBT klart har overtrådt den aftale CCBT har med Region Syddanmark, fordi leverandøren utilsigtet har videregivet personoplysninger. Regionen afbryder derfor aftalen med CCBT hurtigst muligt,« skriver regionen i medddelelsen.

'Meget skuffet'

Lægefaglig direktør i Psykiatrien i Region Syddanmark, Anders Meinert Pedersen, siger:

»Det er en fejl, som ikke må ske. Jeg beklager, at CCBT´s kontraktbrud kan skabe utryghed hos vores patienter. Jeg er meget skuffet over, at CCBT har brudt den tillid, som skal være til stede i behandlingen af personoplysninger. Vi afbryder derfor samarbejdet med CCBT, så hurtigt det kan lade sig gøre, uden at vores patienter kommer i klemme,« siger han.

Regionen understreger, at CPR-numre og mere detaljerede behandlingsdata ikke er lækket. Og lækket har kun stået på i ni dage, da de mails, der blev sendt til den ubeskyttede konto, blev slettet automatisk efter ni dage.

Det fremgår ikke, om uvedkommende har fået adgang til oplysningerne, men regionen anfører at evt. utilsigtet adgang krævede, at man vidste, hvilken side data lå på for at finde dem.

Online behandling siden 2015

Baggrunden for miseren er, at psykiatrien i Region Syddanmark siden 2015 har tilbudt patienter med angst behandling via internettet i behandlingsprogrammet FearFighter. I forbindelse med behandlingen sender programmet automatisk mails til patienterne om for eksempel, hvor langt de er i programmet.

Sikkerhedsbristen omfatter de brugere, der har anvendt onlineprogrammet FearFighter i perioden 1. november 2016 til den 23. juni 2018. Regionen opdagede fejlen den 14. juni, og kontaktede straks CCBT, som fik rettet deres fejl pr. 23. juni.

Udover internetpatienter har 78 hjælpere/pårørende, som internetpatienterne kunne tilknytte i FearFighter, også modtaget mails fra FearFighter

Fejlen er rettet, og de berørte patienter er blevet underrettet. Region Syddanmark har også anmeldt sagen til Datatilsynet.

CCBT leverer også internetprogrammet NoDep til internetpsykiatrien. NoDep er ikke omfattet af sikkerhedsbristen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jakob Skov

Det er godt at man tager konsekvenser af at noget ikke må ske, men igen savnes en dybere evaluering af behovet for at dataene deles til at begynde med.

At have et program der automatisk sender oplysninger som kan være uønskede at sprede for den enkelte bruger af servicen er en service man bør tage fat ved fra starten:

Hvor vigtig er delingen af de specifikke informationer?
Står det mål med risiko og eventuel skadevirkning ved udslip?

Der hvor min primære anke ligger: Er delingen i nærheden af at være i tråd med den definition af "tavshedspligt" man efterlever? Hvis tavshedspligt udelukkende er en løs garanti om en persons fremtidige brug af stemmebåndet, hvor data fra møder sejler videre rundt i systemet, skal vi ikke bare afskaffe begrebet, thi da er det uden reel værdi som tillids-skaber i mødet mellem den enkelte borger og "systemet"?

Anne-Marie Krogsbøll

Denne hændelse er kun starten på en tsunami af lignende hændelser, for kommuner og regioner satser i den grad på denne type hjemmebehandling - af økonomiske grunde. Jeg har forsøgt at få aktindsigt i forskellige lignende apps - det er ikke let.

Desværre er psykiatriske patienter nok lette ofre, da de oftest ikke har det store overskud til at beskytte sig selv. Der findes i hvert fald allerede en del apps af denne type - netop indenfor det psykiatriske område. Og jeg har mistanke om, at de fleste af dem i deres brugertingelser har indskrevet retten til at opsamle og videregive data til forskningsbrug. Hvilket de færreste patienter nok opdager - for hvor grundigt læser man typisk den slags betingelser? Nej, vel?

Kjeld Flarup Christensen

Der mangler noget i den her fortælling. Der må stikke mere under hvorfor samarbejdet afbrydes.

Hvis vi har et godt produkt, helt igennem testet og stabilt. Og så sker der en enkelt bommert, og patienterne er for evigt afskåret fra et godt tilbud, måske afbryder man af principielle årsager andre samarbejder med samme firma der ikke har været udsat for fejl.

Nej vel, det lyder ikke seriøst.

Fejl sker. Spørgsmålet er hvordan firmaet tager hånd om fejlen og redegør for den. Og ikke mindst sikrer, at den slags ikke sker igen.
Spørgsmålet er også om der er andre tilfælde af sikkerhedsbrister.

Endelig kan man jo heller ikke udelukke at regionen i forvejen havde et anstrengt forhold til leverandøren eller produktet, og derfor blot brugte det som en undskyldning.

Joakim Ditlevesen

Det er godt at man tager konsekvenser af at noget ikke må ske, men igen savnes en dybere evaluering af behovet for at dataene deles til at begynde med.

Hvad er det, du ikke forstår? Det er tale om online behandling, hvor borgere/patienter vel sagtens skriver ind med deres problemer, og så modtager behandling via email. Nogle mails bliver så sendt videre til en testkonto.

Denne type behandling forudsætter, at borgere/patienter deler oplysninger online. Det kan være en god årsag til dette, hvis man har angst, og ikke tør gå udenfor en dør. Det er ikke noget mærkeligt ved det her, andet end at de vælger at sende mails videre.

Bjarne Nielsen

Hvad er det, du ikke forstår? Det er tale om online behandling, hvor borgere/patienter vel sagtens skriver ind med deres problemer, og så modtager behandling via email. Nogle mails bliver så sendt videre til en testkonto.

Jakob må svare for sig selv, men jeg må sige, at det netop er præcist dette, som jeg ikke forstår. Alm. mail er helt uegnet til den slags kommunikation, og det er tydeligt at almindelige borgere ikke forstår de risici, som det indebærer. Og det gælder nok også for mange professionnelle, hvis de ikke lige netop har sat sig ind i, hvordan mail faktisk virker.

Det er nemt at gøre dette til en sag om de ni dage på en testmail konto, men jeg synes sandelig også at beskrivelsen af resten af dette setup rejser flere spørgsmål end det besvarer - spørgsmål som godt kan få en til at tvivle på, om de har forstået, hvad de har gang i. Jeg håber virkelig ikke at det virker, som man skulle tro ud fra beskrivelsen.

Bjarne Nielsen

Fejl sker.

Ja, og det virker ikke til, at man har taget det forhold seriøst nok. Jo farligere det, som man arbejder med er, jo vigtigere er det, at man minimerer mulighederne for fejl. Og designer det, så impact minimeres, når fejl sker.

Her virker det til, at der helt mangler et sikkerhedsdesign. Hvad laver produktionsdata i et testsystem? Hvad laver en testkonti i et produktionssystem. Hvordan kan data for flere personer komme på afveje på den måde på en gang? Hvorfor gik der ni dage?

Og når de spørgsmål melder sig, så bliver vi nødt til at spørge om data og systemer i det hele taget er sikre? Er der f.eks. tænkt på fysisk sikkerhed?

Vi taler ikke om noget så ligegyldigt som den hemmelige opskrift på Coca-cola, men om voldsomt følsomme oplysninger om udsatte personer. Noget folk kan finde på at tage deres eget liv over, ikke bare en fiks ide til at tjene flere penge.

Jakob Skov

I så fald er jeg ikke sikker på at min anke er forstået som ment. :-)
Det er fint at samarbejde med patienter og det kan gøres online under de rigtige foranstaltninger (Ultimativt er spørgsmålet op til en løsning psykiater og patient begge er trygge ved i situationen. Når man kræver at et fælles program bruges opstår problemet at alle patienter og psykiatere altid skal være trygge ved det!).
I denne sag er det uklart om det udelukkende er en kode-kriger fejl eller en tanke-torsk i forhold til at tilrette et engelsk forløb til en dansk kontekst.

Men hvorom alting er: Ultimativt er sundhedsansvarlig (her regionen)
ansvarlig for konkrete behandlinger (her Fearfighter). Jeg gør opmærksom på nogen væsentlige dilemmaer som bør overvejes før de hyrer en leverandør så man undgår at skulle sige "Det må ikke ske!"(i denne sag er data sandsynligvis ikke spredt vidt og bredt, men situationen danner baggrund for de principielle overvejelser).

Kjeld Flarup Christensen

Hvad laver produktionsdata i et testsystem? Hvad laver en testkonti i et produktionssystem. Hvordan kan data for flere personer komme på afveje på den måde på en gang?


Jeg har flere gange set den slags kode. Det man gør er at hver gang der sendes en mail til kunden, sender man en mail til sin egen test konto. Det er godt at debugge med, ligger mailen på testkontoen er der stor sandsynlighed for at den også ligger hos kunden, hvis kundens mail ellers virker. For så vidt sker der ofte ikke noget ved at have det i produktionssystemer, det er stort forskelligt fra en log fil.

Men FOR H.......
Man bruger altså interne mail konti's til den slags.

Hvorfor gik der ni dage?


Det var faktisk først efter anden gennemlæsning at jeg forstod den helt korrekt.
Fejlen har formodentligt været der siden 2015.
De 9 dage er den tid en mail ligger på testkontoen inden de automatisk slettes!

Kjeld Flarup Christensen

Lige en ting mere
"Regionen afbryder derfor aftalen med CCBT hurtigst muligt."

Ville de også afbryde samarbejdet hvis det f.eks. var CSC (nu DXC)?

Da jeg arbejdede for Viptel vidste vi, at vi bare ikke måtte lave fejl.
Ved selv den mindste fejl, ville en kunde bare smide os på porten, for sådan en lille virksomhed har sikkert ikke styr på noget som helst.

Men hvis TDC kvajer sig fuldstændigt, så trækker folk blot på skuldrene.
De store laver sikkert også så komplicerede kontrakter, at de har ret til at kvaje sig fuldstændigt uden at blive stillet til ansvar!

Det er derfor jeg gerne ville vide, om der er mere i den historie.

Anne-Marie Krogsbøll

Det man gør er at hver gang der sendes en mail til kunden, sender man en mail til sin egen test konto.


Det er muligt, at jeg misforstår, hvad du mener her, Kjeld Flarup Rasmussen, men i denne sammenhæng indebærer det, du beskriver, vel, at man for at fejlfinde sender patientens kommunikation videre til en it-mand? Det er måske acceptabelt i mange andre sammenhænge - men mht. en psykiatrisk (eller anden) patients kommunikation med sin behandler er det på ingen måde acceptabelt. Jeg tør vædde næsten hvad som helst på, at patienten typisk tror, at det kun er ham/hende og behandleren, som ser kommunikationen. Det er en form for brud på tavshedspligten, og vil kunne opleves som et kæmpe tillidsbrud - som i nogle tilfælde vil kunne være fatalt.

Ville vi selv fortælle noget som helst privat til vores behandler, hvis vi vidste, at en it-mand potentielt sad og læste med?

Hvorfor foregår kommunikationen egentligt ikke krypteret?

Anne-Marie Krogsbøll

Tilføjelse:
I denne sammenhæng ser der godt nok ud til, at der er tale om automatiserede mails, ikke direkte betroelser. Men de automatiserede mails fremkommer jo sandsynligvis ved, at brugeren/patienten melder en eller anden form for data ind - som jo vil videregive ret detaljerede oplysninger om tanker, symptomer mm. Disse tanker/symptomer vil typisk opleves som meget private, og er ikke - selv i spørgeskemaform - ment for andres øjne.

Mht. til min umiddelbare skepsis ift. disse apps, så benægter jeg ikke, at de kan være hjælpsomme i nogle tilfælde. Men faren er dels, at de bliver en billig erstatning for psykologisk behandling, også i situationer, hvor personlig kontakt ville være bedre. Dels, at der efter min bedste overbevisning er for mange faremomenter og uafklarede områder ift. privatliv og datasikkerhed. Læs f.eks. FearFighters privatlivspolitik, hvoraf følgende bl.a. fremgår:

"we cannot guarantee the security of information disclosed by you online, and you must assume the entire risk for using the website. "

"In the event that CCBT is or is proposed to be sold or integrated into another business, your details may be disclosed to our prospective purchaser’s advisers and subsequently to the new owners."

"Use of Clinical Data.
The information that you enter into CCBT is completely confidential and will not be made available to anyone, except in the following circumstances:
•Monitoring of your progress through the website. It will be clear when entering information, which information will be available.
•We may require access to this data to help support you to use the website.
•We may provide access to a third party contracted by us, to help to support you use the website. Before disclosing Personal and Clinical Data to a third party, we contractually require the third party to take adequate precautions to protect that data and to comply with applicable law."

Og hvad sagde jeg ovenfor mht. forskning?:

"Anonymous data collected through this website.
CCBT reserves the right to anonymise (modify to render anonymous) any data collected from you. Once rendered anonymous these data may be used by CCBT to support research activities, provided that your identity is kept anonymous at all times and cannot be derived from the anonymised data.
Also, summaries of anonymous Personal and Clinical Data (for example average scores of all users on questionnaires) will be used to improve the service, and may be used in publications or presentations at conferences or on the website to indicate the effectiveness of the service. This anonymous data will consist solely of summary information and will not include any personal information that can be used to identify the users of the service. Your use of the service implies consent for the use of summary data in this way. In addition to the information we collect as described above, we use technology to collect anonymous information about the use of our website. For example, our web server automatically logs which pages of our website our visitors view, their IP addresses and which web browsers our visitors use. This technology does not identify you personally, it simply enables us to compile statistics about our visitors and their use of our website. Our website contains hyperlinks to other pages on our website. We may use technology to track how often these links are used and which pages on our website our visitors choose to view. Again this technology does not identify you personally – it simply enables us to compile statistics about the use of these hyperlinks."

I hvilken grad er patienterne blevet orienterede om disse privatlivsrisici i en form, som man faktisk har en chance for at forstå og forholde sig til? hvordan ser regionens informationsmateriale til patienterne mon ud? (Jeg orker ikke lige at bede om aktindsigt - er der ikke en anden, der gider? Det kunne garanteret være interessant at se, hvad man har bildt patienterne ind.)

Og i hvilken grad er det regionen selv, der har adgang til disse data til forskningsbrug? Jeg bliver forbavset, hvis ikke Ipsych eller en anden lignende forskningsbagmand har adgang til disse data, og er i gang med at forske i dem. Og i hvilken grad udsættes de opsamlede data for registersamkøringer? Skal man opgive cpr-nummer? Navn? I givet fald: Hvorfor?
Og hvis man har fulgt lidt med de senere år, så ved man, at det der med anonymisering, det ofte er lidt en fis i en hornlygte.....

Her kommer min manglende tekniske forståelse ind, men hvordan kan de f.eks. hævde, at de logger IP-adresser, og samtidig hævde anonymitet?

Der nævnes også andre interessante ting i privatlivspolitikken - bl.a. "Analytics"....og "Cookies"....

http://fearfighter.cbtprogram.com/privacy-policy/

Anne-Marie Krogsbøll

En tilføjelse mere:

Der findes faktisk oplysninger på regionens hjemmeside:
http://www.psykiatrienisyddanmark.dk/wm492075

Det er et kæmpe projekt med tråde ud mange steder - og det er en skandale og meget bekymrende, at noget sådant kan ske i et sådant projekt:
http://www.psykiatrienisyddanmark.dk/wm492087
http://www.psykiatrienisyddanmark.dk/wm492074

I hvilken grad mon Monsenso og Context Consulting, som er private forskningspartnere, mon får adgang til data?

Jeg kunne rigtigt godt tænke mig at se informationsmaterialet til patienterne.

Kjeld Flarup Christensen

Ville vi selv fortælle noget som helst privat til vores behandler, hvis vi vidste, at en it-mand potentielt sad og læste med?


Giv mig systemadministrator adgang til et EPJ system og jeg kan læse alt i din journal.
Det er hammersvært at sikre IT systemer mod en systemadministrator som har adgang til selve operativsystemet.

Derfor burde det være et lovkrav, at IT folk er omfattet af den samme tavshedspligt som alt andet sundhedspersonale.

I forbindelse med Se og Hør sagen, var det f.eks. ikke oplagt at tys tys kilden ikke måtte videregive de oplysninger han videregav. Så der er lang vej hjem juridisk!

Bjarne Nielsen

Det er hammersvært at sikre IT systemer mod en systemadministrator som har adgang til selve operativsystemet.

Men ikke umuligt. Man bør starte med funktionsadskillelse og auditering. Kryptering af data-at-rest, adgangsmonitoring og dual-control og compartmentalization. Need-to-know, og security-by-design. Auditering, opfølgning og konsekvens. Etc. etc. Ubekvemt i dagligdagen og krævende yderligere ressourcer, bestemt. Men langt fra umuligt, og under givne omstændigheder helt nødvendigt.

Derfor burde det være et lovkrav, at IT folk er omfattet af den samme tavshedspligt som alt andet sundhedspersonale.

Bestemt. Og det har altid undret mig, at der fra lovgivningsside er væsentlig skrappere sanktioner, hvis man afslører listen over, hvem som næste gang skal hente citronmåne hos Politiet (som ganske givet er klassificeret Til Tjenestebrug, fordi der står navne på betjente mv.), end hvis man gør det samme med sundhedsoplysninger.

I forbindelse med Se og Hør sagen, var det f.eks. ikke oplagt at tys tys kilden ikke måtte videregive de oplysninger han videregav. Så der er lang vej hjem juridisk!

Det var jeg ikke klar over. Men under alle omstændigheder, så ville jeg starte et helt andet sted, for jeg tror ikke, at det havde gjort det store indtryk på tys-tys-kilden uanset.

For sikkerheden sejlede efter sigende:

Det betyder helt konkret, at Se og Hørs tys-tys-kilde formentlig uopdaget har ændret opsætningen af OPC-systemet, som dankortet kører på. Af revisionen, som revisionsfirmaet PriceWaterhouseCooper lavede sammen med intern revision i Nets, fremgår det videre, at for mange med forskellige stillingsbetegnelser har haft adgang til at ændre i dankortsystemet.

(kilde: BT, maj, 2014)

Jeg mener endda at have hørt, at man havde betydelig sikkerhed omkring de datafelter, som betyder noget for betalingskort-leverandørens forretning, men ingen sikkerhed på de datafelter, som betyder noget for kunderne. Hvorfor? Jo, fordi at det kan true forretningen, hvis det første bliver kompromitteret, men det andet allerhøjest kræver at en informationschef tager mørkt jakkesæt på, anlægger passende bedemandsagtig gestik, og siger undskyld.

Sikkerhed starter med kulturen, og vil man påvirke kulturen i en virksomhed, så skal man starte med at gøre virksomheden selv, og de, som er kulturbærende i den, ansvarlige.

Men alt dette er snakken udenom, for hvis vi skal komme tilbage til selve sagen, så tyder alt på, at man end ikke har gjort sig det besvær at komme på niveau med en gennemsnitlig sysadm for et gennemsnitligt EPJ system.

Bjarne Nielsen

CCBT reserves the right to anonymise (modify to render anonymous) any data collected from you.

... og ...

Also, summaries of anonymous Personal and Clinical Data (for example average scores of all users on questionnaires) will be used to improve the service

Jeg bliver altid træt i masken, når man skelner imellem anonymisering og aggregering. Så er data stadigt på individ-niveau, og så er der stadig tale om persondata. Og så er der i bedste fald kun tale om obfuskering.

For vi ved fra efterhånden adskillige eksempler, at re-identifikation er langt nemmere end man skulle tro (og især meget nemmere end man bilder sig selv ind, hvis man har egen-interesse i disse persondata). Tænk bare på de talrige eksempler, hvor man har troet så meget på sin anonymisering, at man har udstillet data offentligt, men hvor individer og deres persondata kort efter er blevet re-identificeret.

Og nej, aggregering er ikke i sig selv en tilstrækkelig betingelse - der er flere ting her, som kan gå galt. Men det er en nødvendig betingelse. Medmindre altså at man ikke snakker om "anonym i juridisk forstand" <host>

Kjeld Flarup Christensen

for jeg tror ikke, at det havde gjort det store indtryk på tys-tys-kilden uanset


Det ville jo ikke blot være tys tys kilden som ville blive ramt. Se og Hør undskyldte sig jo til dels med at de ikke vidste han ikke havde lov til at videregive disse oplysninger.

En lovændring ville gøre det klart for alle parter at det her bare er forbudt, og bliver man taget bliver det en kort retssag, med en prompte dom!

Jan Heisterberg

Som oplyst skyldes den fatale fejl en sammenblanding af produktion og test. Som nævnt af andre, så er det generelt en no-no, og i personfølsomme systemer er NO-NO.

Men det rejser et generelt, akademisk spørgsmål: findes der en standard, en vejledning, en retningslinie for design og drift af sådanne systemer ?
Eksempel: det er jo lettere at "videresende" en skærmkopi, en transaktion, eet eller andet, når der sker fejl. Den nævnte standard kunne jo sige: "det må som absolut hovedregel IKKE ske; og er det tvingende nødvendigt (fordi e.g. en fejl ikke kan genskabes), så kræver det særligt autoriserede personer, logning, kontrol af sletning osv.".

Er "vi" faktisk i den situation, at der IKKE findes en standard, en best practices, og hvor hver eneste af de mange små og store SW huse og udviklere SELV må opfinde egne regler ?
Hvis det er tilfældet, så er det da et mirakkel, at der ikke sker (opdages) flere kompromiterende situationer ?

Uanset om der er flere årsager, så forekommer det mig som en passende sanktion at fyre leverandøren. Det kan måske virke præventivt i "branchen".

P.S.: Min tandlæges SW system til bookninger og andet anvender FORTSAT ikke kryptering - hvor smart er det mon ?

Kjeld Flarup Christensen

Som oplyst skyldes den fatale fejl en sammenblanding af produktion og test. Som nævnt af andre, så er det generelt en no-no, og i personfølsomme systemer er NO-NO.


Alle har råd til et test system - men ikke alle har råd til et produktionssystem.

Det det helt sikkert er problemet her, er at man ikke har haft realistiske test data nok, og derfor har tyet til den slags metoder for at holde øje med om systemet fungerede som det skulle når det kom i drift.

Sagt på en anden måde. Systemet var sikkert prissat så billigt, at der ikke var råd til er produktionssystem.

P.S.: Min tandlæges SW system til bookninger og andet anvender FORTSAT ikke kryptering - hvor smart er det mon ?


Hvis der bruges CPR nummer på en webside, så er det en No Go.
Jeg får da også ukrypterede mails, om mine tandlæge tider.
Der er måske ikke noget odiøst, i at jeg går til tandlæge.

Men så er der ukrypterede mails om at lægerne på månen har en besked jeg kan læse på deres server. Vær så artig, så ved alle der lytter med hvilken læge jeg bruger og at jeg måske er syg.

Der kommer også ukrypterede mails om at Region Midt har e-post til mig. Der er formodentligt 75% chance for, at det er en mail fra et hospital. Så ved alle der lytter med at jeg måske er alvorligt syg.

Log ind eller Opret konto for at kommentere