Odense Universitetshospital har lækket tusinder af CPR-numre i Powerpoint-præsentation

Illustration: the_lightwriter/Bigstock
En sikkerhedsproces burde have forhindret, at 3903 borgeres CPR-numre optrådte i en PowerPoint-præsentation på Region Syddanmarks hjemmeside. Bruddet på persondatasikkerheden er anmeldt til Datatilsynet.

En PowerPoint-præsentation fra 2011 er nu fjernet fra Regions Syddanmarks hjemmeside, efter Odense Universitetshospital (OUH) opdagede, at den indeholdt CPR-numre på 3903 borgere.

»Odense Universitetshospital har anmeldt bruddet på persondatasikkerheden til Datatilsynet,« fremgår det af en pressemeddelelse på Region Syddanmarks hjemmeside.

De følsomme oplysninger kom fra Dansk Lunge Cancer Registers database, og størstedelen af CPR-numrene lå som bagvedliggende data til en graf, mens 22 CPR-numre optrådte i en indlejret tabel i selve præsentationen.

PowerPoint-præsentationen indeholdt udover de flere tusinde CPR-numre også 12 borgeres patient-id og operationstype - dog uden navn og CPR-nummer.

Læs også: Datatilsynet: Ikke borgerens ansvar at kontrollere om CPR-abonnementer er lovlige

Den lå tilgængelig på Region Syddanmarks hjemmeside i perioden fra 2011 og indtil den blev fjernet 6. februar 2020.

Ifølge Region Syddanmark og administrerende sygehusdirektør på OUH, Niels Nørgaard Pedersen, så er præsentation »heldigvis« kun blevet åbnet 15 gange i perioden på næsten 10 år.

»Når det er sagt, er der selvfølgelig stadig tale om et brud på persondatasikkerheden, og derfor har vi anmeldt det til Datatilsynet,« siger Niels Nørgaard Pedersen i pressemeddelelsen.

»Jeg vil samtidig gerne undskylde til de patienter, der er berørt af dette.«

Læs også: Professor kritiserer Region Syddanmarks direktør i sag om stort CPR-læk

Af de 3903 udsatte borgere er 672 stadig er i live, og af dem bor 668 fortsat i Danmark, fremgår det af pressemeddelelsen.

De, der er bosat i Danmark, er blevet underrettet om situationen via brev fra OUH, hvor de også er blevet oplyst om deres muligheder for at klage.

Læs også: Tusinder af cpr-numre har ligget frit tilgængelige på Landbrugsstyrelsens hjemmeside

Sikkerhedsproces skulle have forhindret det

I 2016 etablerede Region Syddanmark en ny sikkerhedsproces til at forhindre, at medarbejdere lægger CPR-numre ud på regionens hjemmesider, og denne proces burde ifølge Region Syddanmark have fanget, at Powerpoint-præsentationen indeholdt CPR-numre.

»Det undersøges i øjeblikket, hvorfor processen ikke har fanget de synlige CPR-numre i præsentationen, ligesom det undersøges, om sikkerhedsprocessen kan justeres til at finde bagvedliggende ”usynlige” data,« fremgår det af pressemeddelelsen.

Det fremgår ikke af pressemeddelelsen, hvordan CPR-numrene og andre personfølsomme oplysninger endte i en Powerpoint-præsentation på Region Syddanmarks hjemmeside, men der står, materialet har indgået i undervisningsmateriale rettet mod fagfolk.

Version2 har tidligere beskrevet, at stort set alle forskningsprojekter, hvor forskere vil have adgang til borgernes følsomme sundhedsdata godkendes. Det kan du læse mere om her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jonas Iversen

Som konsulent kommer jeg rundt i mange virksomheder i det lille kongerige, og det slår mig hvor ringe de basale IT færdigheder ér hos de fleste administrative medarbejder, lavt som højt i organisationen. Mange mangler helt basale IT færdigheder og IT forståelse. Hvad er en fil, hvad er et "drev" (både lokalt og network-share), archives (zip, 7z etc.), tekst kontra bitmap, file-exension, størrelser på filer, hvor gemmes data,URL link, shortcut, forskellen på at skrive en URL i adressen-feltet i sin browser og så skrive det i Google søge fejlt. Listen er lang, men nødvendig at kunne. Problemet er at mangler man disse færdigheder kan man ikke gennemskue hvordan ting hænger sammen og så agere man uhensigtmæssigt både tidsmæssigt, sikkerhedsmæssigt og IT ressource -mæssigt. Når man ansætte folk i dag regner man bare med det er en basal færdighed som alle har, men det er det bestemt ikke. Der fandtes engang et PC kørekort. Jeg skønner 75% af alle administrative medarbejdere i DK ikke vil kunne består et sådan. Det er dyrt for virksomheder/organisationer at deres medarbejdere er IT analfabeter.

  • 0
  • 0
Ditlev Petersen

Noget andet er, at dem, der har de basale færdigheder, går ud fra (eller bekymrer sig ikke om), at andre har styr på tingene. Måske burde grafikprogrammer (fede grafer med ét klik) være konstrueret sådan, at det var svært at inkludere baggrundsdata i de fede grafer.

  • 0
  • 0
Log ind eller Opret konto for at kommentere