En PowerPoint-præsentation fra 2011 er nu fjernet fra Regions Syddanmarks hjemmeside, efter Odense Universitetshospital (OUH) opdagede, at den indeholdt CPR-numre på 3903 borgere.
»Odense Universitetshospital har anmeldt bruddet på persondatasikkerheden til Datatilsynet,« fremgår det af en pressemeddelelse på Region Syddanmarks hjemmeside.
De følsomme oplysninger kom fra Dansk Lunge Cancer Registers database, og størstedelen af CPR-numrene lå som bagvedliggende data til en graf, mens 22 CPR-numre optrådte i en indlejret tabel i selve præsentationen.
PowerPoint-præsentationen indeholdt udover de flere tusinde CPR-numre også 12 borgeres patient-id og operationstype - dog uden navn og CPR-nummer.
Den lå tilgængelig på Region Syddanmarks hjemmeside i perioden fra 2011 og indtil den blev fjernet 6. februar 2020.
Ifølge Region Syddanmark og administrerende sygehusdirektør på OUH, Niels Nørgaard Pedersen, så er præsentation »heldigvis« kun blevet åbnet 15 gange i perioden på næsten 10 år.
»Når det er sagt, er der selvfølgelig stadig tale om et brud på persondatasikkerheden, og derfor har vi anmeldt det til Datatilsynet,« siger Niels Nørgaard Pedersen i pressemeddelelsen.
»Jeg vil samtidig gerne undskylde til de patienter, der er berørt af dette.«
Af de 3903 udsatte borgere er 672 stadig er i live, og af dem bor 668 fortsat i Danmark, fremgår det af pressemeddelelsen.
De, der er bosat i Danmark, er blevet underrettet om situationen via brev fra OUH, hvor de også er blevet oplyst om deres muligheder for at klage.
Sikkerhedsproces skulle have forhindret det
I 2016 etablerede Region Syddanmark en ny sikkerhedsproces til at forhindre, at medarbejdere lægger CPR-numre ud på regionens hjemmesider, og denne proces burde ifølge Region Syddanmark have fanget, at Powerpoint-præsentationen indeholdt CPR-numre.
»Det undersøges i øjeblikket, hvorfor processen ikke har fanget de synlige CPR-numre i præsentationen, ligesom det undersøges, om sikkerhedsprocessen kan justeres til at finde bagvedliggende ”usynlige” data,« fremgår det af pressemeddelelsen.
Det fremgår ikke af pressemeddelelsen, hvordan CPR-numrene og andre personfølsomme oplysninger endte i en Powerpoint-præsentation på Region Syddanmarks hjemmeside, men der står, materialet har indgået i undervisningsmateriale rettet mod fagfolk.
Version2 har tidligere beskrevet, at stort set alle forskningsprojekter, hvor forskere vil have adgang til borgernes følsomme sundhedsdata godkendes. Det kan du læse mere om her.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
