Mindst 500 patienters journaler med følsomme persondata er solgt ved en fejl

Illustration: Schwabenblitz/Bigstock
En auktion over effekter fra det nu lukkede Give Sygehus er endt i en skandale.

Opdateret kl. 11:53. En auktion over møbler og andre effekter i Region Syddanmark er endt i et alvorligt læk af følsomme persondata. I bl.a. arkivskabe gemte der sig patientjournaler, som ikke blev fjernet før salg.

Det skriver Jyllands-Posten.

De følsomme data er kommet i hænderne på mindst to borgere under auktionen:

»Indtil videre har vi kendskab til cirka 140 opslag til journaler med navn, cpr-nummer og afdeling, som vi fik udleveret fra køberen via auktionshuset i går. Der lå også tre hele journaler med beskrivelser af patientforløb. Derudover har vi i aftes været i kontakt med en anden køber, som efter eget skøn har fået udleveret 400-500 journaler og omslag til journaler, som lå i et arkivskab,« siger direktør på Lillebælt Sygehus Dorte Crüger til Jyllands-Posten.

Hun tilføjer, at hun er »frygtelig ked af og flov over, at det har kunnet ske«.

Miseren skete i forbindelse med, at Give Sygehus lukkede 1. januar i år, og der derfor blev holdt auktion over tilbageværende inventar.

Det er et privat firma, der har stået for auktionen på vegne af sygehuset.

»Men det fritager os ikke fra, at det selvfølgelig er os, der har ansvaret for, at tingene er i orden og bliver håndteret korrekt. Længere er den ikke,« siger Dorte Crüger til Jyllands-Posten.

Sygehus Lillebælt oplyser i en pressemeddelelse (PDF), som er tilsendt Version2, at man dels er ved at kortlægge omfanget og dels er i gang med at indsamle de pågældende papirer, journalomslag og journaler, så de kan blive håndteret korrekt. De borgere, hvis oplysninger har været tilgængelige for andre, vil blive kontaktet af sygehuset i løbet af de kommende dage.

Sagen bliver anmeldt til Datatilsynet via virk.dk inden for den krævede frist på 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet, lyder det videre.

Myndigheder kan ifølge Databeskyttelsesloven pålægges en bøde på op til 4 procent af dens driftsbevilling – dog med et loft på 16 millioner kroner - hvis lovens bestemmelser overtrædes.

Læs også: GDPR: Regeringen vil give det offentlige bøder for sjusk med data

Region Syddanmark meldte i juni ud, at man ville fremskynde en række initiativer, der skulle beskytte regionens it-systemer og sundhedsdata endnu bedre end i dag.

»Det er vigtigt for os i Digitaliseringsudvalget, at der er styr på sikkerheden omkring borgernes og patienternes data – og vi følger området tæt. - Det er vigtigt for os i Digitaliseringsudvalget, at der er styr på sikkerheden omkring borgernes og patienternes data – og vi følger området tæt,« lød det dengang fra formanden for Digitaliseringsudvalget i Region Syddanmark, Mette Bossen Linnet (V), i en pressemeddelelse.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
Claus Jørgensen

Selvom det er alvorligt at der er nogen som har glemt at sikkerhedsmakulere nogle fysiske journaler og at det selvfølgelig har en GDPR relevans, så har jeg lidt svært at se relevansen for V2 - et IT medie.

Også lidt spøjst at byline her blot er /hm mens at Henning godt vil stå frem med navns nævnelse i fbm de mere lødige artikler :-)

/Claus

Heino Svendsen

Sanktioner hjælper ikke i Staten - regningen sendes blot videre til brugerne : borgerne i form af nedskæringer og andre forringelser.

I stedet bør man gå efter de ansvarlige, personligt. Dvs. stille dem personligt til ansvar og lade straffen ramme dem som personer og ikke kommunen/regionen/staten.

Hans Nielsen

I stedet bør man gå efter de ansvarlige, personligt


Jeg mener også at fængselsstraf i grove eller ved gentagne foreteelse er vejen frem.
Man kan jo starte med en betinget dom, og mulighed for lave en evt tidsbestemt anmærkninger som i børneattester, som betyder at de ansvarlig, herunder ledelse og politiker ikke kan få job i det offentlige, eller er valgbar.

Den samme argumentation, om at det rammer andre og ikke de ansvarlige gælder også for det private.

Hvor meget var det lige at Nokias administrerende direktør tjente på først at gøre Nokia ned, også efterfølgende at sælge stumperne.
Hvor meget er det lige at CEO i Danske Bank får med i sit fritstilles, efter han har barberet 15-25% af aktieværdien, samt risiko for yderlige store bøder i fremtiden. Han har jo tjent store på penge på aktieoptioner som var kunstig høje på grund af svindel og hvidvask ?

Thomas Hansen

"Vedr om Hospitals IT udstyr sælges."

Der er helt klare procedurer for dette.

Et hospital bruger normalt PCerne op, dvs de sælges ikke til skrothandlere, som der tjener penge på at eksportere dem til Afrika, hvor de efter endt tjeneste ender på et bål.
Det som købes for offentlige midler, det skal bruges op, og genindvindes.
Min egen proces dengang var at skrottet udstyr røg i et bur, og endte hos en elektronik skrotvirksomhed som makulerer og genindvinder metal, plast, og ædelmetaller.
Harddiske blev altid udtaget af mine medarbejdere, og opbevaret under lås indtil de blev sendt med i særlig mindre container, når skrotbilen hentede til makulering. Jeg modtog altid en mail med aflæste stregkoder for hver disk de havde dumpet i makulatoren.
Super pinligt dengang et af Danmarks største hospitaler pludselig var i avisen, med billeder af afrikanere der afbrændte IT udstyr for at få fat i kobberet, og der sad så tydelige tyveri sikringsmærker fra virksomheden.
Det skete ikke på min vagt.

Anne-Marie Krogsbøll

Thomas Hansen:
Det lyder godt med den grundige procedure - er det rigtigt forstået, at du har arbejdet i sygehusvæsnet?

Men når du er grundig, skyldes det så en personlig indsats fra din side, eller er det fordi, der faktisk findes helt præcise procedurer i sundhedsvæsnet for, hvordan man holder styr på aflagt udstyr og dertil knyttede persondata? Eller er det op til den enkelte afdeling/ansvarlige?

Interessant historie i dag:
https://jyllands-posten.dk/indland/politiretsvaesen/ECE10914328/scanner-...

  • Betyder det, at man faktisk ikke har procedurer, der sikrer, at man har styr på udstyret?

  • Kan der tænkes at være følsomme persondata gemt i en sådan scanner, eller ryger de altid direkte fra scanneren og videre til en eller anden ekstern (ift. scanneren) lagring?

  • Hvis det kan ske, med en scanner, hvad kan så ikke også meget let ske med mindre kostbart og iøjnefaldende udstyr, som måske faktisk indeholder stærkt følsomme data?

Området er en Pandoras æske, og historierne bør mane til, at der ikke indsamles uanede mængder data, men kun de virkeligt nødvendige.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder