Opdateret kl. 11:53. En auktion over møbler og andre effekter i Region Syddanmark er endt i et alvorligt læk af følsomme persondata. I bl.a. arkivskabe gemte der sig patientjournaler, som ikke blev fjernet før salg.
Det skriver Jyllands-Posten.
De følsomme data er kommet i hænderne på mindst to borgere under auktionen:
»Indtil videre har vi kendskab til cirka 140 opslag til journaler med navn, cpr-nummer og afdeling, som vi fik udleveret fra køberen via auktionshuset i går. Der lå også tre hele journaler med beskrivelser af patientforløb. Derudover har vi i aftes været i kontakt med en anden køber, som efter eget skøn har fået udleveret 400-500 journaler og omslag til journaler, som lå i et arkivskab,« siger direktør på Lillebælt Sygehus Dorte Crüger til Jyllands-Posten.
Hun tilføjer, at hun er »frygtelig ked af og flov over, at det har kunnet ske«.
Miseren skete i forbindelse med, at Give Sygehus lukkede 1. januar i år, og der derfor blev holdt auktion over tilbageværende inventar.
Det er et privat firma, der har stået for auktionen på vegne af sygehuset.
»Men det fritager os ikke fra, at det selvfølgelig er os, der har ansvaret for, at tingene er i orden og bliver håndteret korrekt. Længere er den ikke,« siger Dorte Crüger til Jyllands-Posten.
Sygehus Lillebælt oplyser i en pressemeddelelse (PDF), som er tilsendt Version2, at man dels er ved at kortlægge omfanget og dels er i gang med at indsamle de pågældende papirer, journalomslag og journaler, så de kan blive håndteret korrekt. De borgere, hvis oplysninger har været tilgængelige for andre, vil blive kontaktet af sygehuset i løbet af de kommende dage.
Sagen bliver anmeldt til Datatilsynet via virk.dk inden for den krævede frist på 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet, lyder det videre.
Myndigheder kan ifølge Databeskyttelsesloven pålægges en bøde på op til 4 procent af dens driftsbevilling – dog med et loft på 16 millioner kroner - hvis lovens bestemmelser overtrædes.
Region Syddanmark meldte i juni ud, at man ville fremskynde en række initiativer, der skulle beskytte regionens it-systemer og sundhedsdata endnu bedre end i dag.
»Det er vigtigt for os i Digitaliseringsudvalget, at der er styr på sikkerheden omkring borgernes og patienternes data – og vi følger området tæt. - Det er vigtigt for os i Digitaliseringsudvalget, at der er styr på sikkerheden omkring borgernes og patienternes data – og vi følger området tæt,« lød det dengang fra formanden for Digitaliseringsudvalget i Region Syddanmark, Mette Bossen Linnet (V), i en pressemeddelelse.
Sanktionér. Nu.
(Ikke mere snak).
Statuér et eksempel. Kom i sving.
Det er så sløset og imod alle principper i GDPR at det bør koste regionen 16 millioner.
Selvom det er alvorligt at der er nogen som har glemt at sikkerhedsmakulere nogle fysiske journaler og at det selvfølgelig har en GDPR relevans, så har jeg lidt svært at se relevansen for V2 - et IT medie.
Også lidt spøjst at byline her blot er /hm mens at Henning godt vil stå frem med navns nævnelse i fbm de mere lødige artikler :-)
/Claus
Sanktioner hjælper ikke i Staten - regningen sendes blot videre til brugerne : borgerne i form af nedskæringer og andre forringelser.
I stedet bør man gå efter de ansvarlige, personligt. Dvs. stille dem personligt til ansvar og lade straffen ramme dem som personer og ikke kommunen/regionen/staten.
Gad vide hvor dette inventar har været opbevaret i mellemtiden og hvem der har haft adgang til det. i alt den tid.
Mvh,
.... om, hvad der sker med pc-er, servere og harddiske, når de er udtjente......?
Jeg mener også at fængselsstraf i grove eller ved gentagne foreteelse er vejen frem.
Man kan jo starte med en betinget dom, og mulighed for lave en evt tidsbestemt anmærkninger som i børneattester, som betyder at de ansvarlig, herunder ledelse og politiker ikke kan få job i det offentlige, eller er valgbar.
Den samme argumentation, om at det rammer andre og ikke de ansvarlige gælder også for det private.
Hvor meget var det lige at Nokias administrerende direktør tjente på først at gøre Nokia ned, også efterfølgende at sælge stumperne.
Hvor meget er det lige at CEO i Danske Bank får med i sit fritstilles, efter han har barberet 15-25% af aktieværdien, samt risiko for yderlige store bøder i fremtiden. Han har jo tjent store på penge på aktieoptioner som var kunstig høje på grund af svindel og hvidvask ?
"Vedr om Hospitals IT udstyr sælges."
Der er helt klare procedurer for dette.
Et hospital bruger normalt PCerne op, dvs de sælges ikke til skrothandlere, som der tjener penge på at eksportere dem til Afrika, hvor de efter endt tjeneste ender på et bål.
Det som købes for offentlige midler, det skal bruges op, og genindvindes.
Min egen proces dengang var at skrottet udstyr røg i et bur, og endte hos en elektronik skrotvirksomhed som makulerer og genindvinder metal, plast, og ædelmetaller.
Harddiske blev altid udtaget af mine medarbejdere, og opbevaret under lås indtil de blev sendt med i særlig mindre container, når skrotbilen hentede til makulering. Jeg modtog altid en mail med aflæste stregkoder for hver disk de havde dumpet i makulatoren.
Super pinligt dengang et af Danmarks største hospitaler pludselig var i avisen, med billeder af afrikanere der afbrændte IT udstyr for at få fat i kobberet, og der sad så tydelige tyveri sikringsmærker fra virksomheden.
Det skete ikke på min vagt.
Thomas Hansen:
Det lyder godt med den grundige procedure - er det rigtigt forstået, at du har arbejdet i sygehusvæsnet?
Men når du er grundig, skyldes det så en personlig indsats fra din side, eller er det fordi, der faktisk findes helt præcise procedurer i sundhedsvæsnet for, hvordan man holder styr på aflagt udstyr og dertil knyttede persondata? Eller er det op til den enkelte afdeling/ansvarlige?
Interessant historie i dag:
https://jyllands-posten.dk/indland/politiretsvaesen/ECE10914328/scanner-...
Betyder det, at man faktisk ikke har procedurer, der sikrer, at man har styr på udstyret?
Kan der tænkes at være følsomme persondata gemt i en sådan scanner, eller ryger de altid direkte fra scanneren og videre til en eller anden ekstern (ift. scanneren) lagring?
Hvis det kan ske, med en scanner, hvad kan så ikke også meget let ske med mindre kostbart og iøjnefaldende udstyr, som måske faktisk indeholder stærkt følsomme data?
Området er en Pandoras æske, og historierne bør mane til, at der ikke indsamles uanede mængder data, men kun de virkeligt nødvendige.
Jeg må indrømme, at en anonym profil og en hjemmeside uden nogen form for identificerbare bagmænd ikke får mig til at føle mig tryg på nogen måde - snarere tvært imod. Mon ikke vi her er ude i noget ret skummelt reklamespam eller det, der er langt værre? Ligefrem fishing?
Må vi få de kyndige folk blandt kommentatorerne her på siden på banen - skal Safeprofile-kommentaren bare anmeldes som spam - eller skal den ligefrrem politianmeldes? Eller strammer min søvpapirshat for meget her?
Hej Sebastian.
Tak for at give dig til kende. Jeg må indrømme, at jeg stadig synes, at hjemmesiden er meget lidt oplysende, og at man i alt for høj grad henvises til "blind tillid". Hvor er linket til jeres brugerbetingelser, så man kan læse det i fred og ro, inden man klikker på profil-linket? Og hvem I er? Skal der ikke fremgå et CVR-nummer og en fysisk adresse? Er servicen gratis?
Jeg kan sagtens se ideen i en sådan service - men den udgave, I/du tilbyder, forekommer mig altså på nuværende tidspunkt ikke betryggende.
Det er derfor, jeg efterspørger andre kommentatorers oplevelse af SafeProfile. Er det en super idé eller fup og fidus?
Tak for svar, Sebastian. Jeg må indrømme, at jeg havde overset "free account".
Det forekommer mig ikke helt logisk at skulle kigge i "Privatlivspolitik" efter cvr og adresse - kan være min fejl. Jeg kan bedre lide, når det står klart og tydeligt, sammen med email@adresse, nederst på forsiden.
Du omtaler jer som "Vi" - måske har jeg ikke ledt længe nok , men kan ikke finde nogen navne på hjemmesiden. Jeg kan bedst lide, når "bagmænd" giver sig klart til kende under "Om os".
Hvis det er gratis, hvad lever I så af?
Jeg vil da blive glad, hvis jeres service viser sig at levere det, den lover, på helt pålidelig facon. Men der er altså et eller andet, der stadig generer mig, selv efter din uddybning. Jeg vil tænke lidt over, hvad det er, der stadig gør, at jeg ikke umiddelbart ville benytte mig af denne service - måske er det bare det anonyme førstehåndsindtryk. I så fald er det ærgerligt - jeg vil som sagt tænke lidt over det, og afvente andres vurdering
Start med læs de betingelser du lige har accepteret ... https://www.version2.dk/brugerbetingelser
Specielt følgende afsnit er relevant:
... Du må ikke bidrage med jobopslag eller reklame
Du må ikke benytte version2.dk til jobopslag eller andet indhold, der har karakter af reklamebudskaber. Ønsker du at benytte version2.dk til at ramme brugerne med kommercielle budskaber, kan du kontakte vores salgsafdeling. ...
Hej Sebastian.
Tak for svar.
Du glemte lige at svare på, hvad forretningsmodellen er? Hvis det er gratis, hvad lever I så af? Er det et non-profit foretagende? Eller kommer indtjeningsmulighederne på efterhånden? I givet fald - Hvad består de så af?
Det er den slags uigennemskuelighed (det modsatte af transparency), som får i hvert fald mig til lige at klappe hesten lidt.
Beklager, hvis jeg er urimeligt mistroisk, men belært af erfaringen er det klogt at være, så snart noget involverer persondata. Jeg vil hellere blive glædeligt overrasket senere, end kedeligt overrasket senere.
Salg af data, hvad ellers, unge dame?
Du har nok ret, Heino Svendsen.
"We do not have access to your data
As we believe that data belongs to the user, we will of course not have any access to your data that you e.g. receive or send to a company. We only help you facilitate this to give you secure control of your data– we will not use it. "
Lidt tvetydigt formuleret, måske? Kan der tænkes at være andre typer data? Svaret findes nok her:
"We will never share your sensitive personal data with anyone. Less sensitive data about our users may be processed and shared to help us provide or improve our services. See our Cookie & Privacy Policy."
"Less sensitive data"? Hvilke mon er "less sensitive"?
"Enable for us to do this effectively, we use cookies determine who visits our websites and how they use it, thereby enabling us to monitor, optimize and adjust, our websites to create the best possible experience when you are visiting our websites.
We collect data about when and how long you visit our websites, which pages you click on, if you have visited us before, and what services you seem to be more interested in than others.
In addition, we collect data about which browser and device you use as well as your IP address, in order to optimize which ads to present to you in potential subsequent marketing."
https://www.safeprofile.dk/privacy
Mon disse data er omfattet af SafeProfiles services omkring, hvem der får data om hvad og hvorfor? Mon disse data evt. videregive /sælges? hvad dækker begrebet "shared" i denne sammenhæng?
Man kunne også argumentere for frasen "Receive or send to a company"... I stedet kan man "provide access to your data from remote queries", så man ikke sender data til eksterne partnere men derimod stiller systemet til rådighed for opslag...
Lidt lige som en fancy Google
Jeg er ikke helt sikker på, hvad du mener her, Heino Svendsen. Men mht. formuleringen i privacyafsnittet, så kan man vel ikke udelukke, at de på siden opsamlede data deles ("share") med andre til marketingsformål - og at ens færden på Safeprofiles hjemmeside derved indgår i profilering - som vel næppe er i høj kurs hos folk, der gerne vil have styr på deres data? der synes jeg, at der er for meget uld i mund i formuleringerne.
Det ville være dejligt bekvemt, hvis Safeprofile faktisk kan levere det, de lover. Men jeg ville personligt hellere betale lidt for at være helt fri for tracking og markedsføring. Faktisk ville jeg helst bare have et program på min computer, som kunne udføre disse funktioner. Så er problemet jo bare, at man jo ikke kan stole på sikkerheden i den slags programmer - og jeg er efterhånden nået til den konklussion, at jo færre, der får fingre i ens data - selv med ædle formål som SafeProfiles - jo bedre. At føje endnu et led ind i alle de led, der har berøring på en eller anden måde med ens data, er vel bare at øge risikoen for "kiks" et eller andet sted?
Tak til Christian E. L. for hint/vink med vognstangen.
Og I andre også :)
Det, jeg mener, er, at man kan komme op med en formulering, hvor man ikke leverer dataudtræk til eksterne men stadig sælger adgangen til data, så man omgår det med, at man ikke sender data til eksterne.
I stil med "administrativ sletning"
Ok, så er jeg med Heino. Det er også lidt den fornemmelse, jeg får, når jeg læser på siden.