Region H afviser læk af sundhedsdata - men erkender sjusk med brugerkonti

Region Hovedstaden går nu i rette med medierne, hvor sundhedsjurister har kritiseret, at op mod 20.000 brugere i regionen i årevis fejlagtigt skulle have haft adgang til patientjournalerne. Blandt andet fordi mange brugerkonti ikke har været lukket ned i forbindelse med fratrædelse.

Men der har ikke været læk af sundhedsdata, fastslår vicedirektør i Center for It, Medico og Telefoni (IMT) i Region Hovedstaden, Pia Kopke, ifølge en pressemeddelelse.

»Der er ingen, der har uautoriseret adgang til vores patientjournaler i Region Hovedstaden. I Jyllands-Posten og andre medier samt på Facebook kører der i disse dage historier om, at 20.000 tilfældige personer bare kan gå ind og se patienternes journaler. Det er altså én stor misforståelse,« siger hun.

Hun erkender, at der har været dårlig disciplin i forbindelse med procedurerne for at lukke brugerkonti til patientjournalerne i OPUS, når de ansatte har flyttet til et andet hospital i regionen eller har forladt regionen.

Men i de tilfælde, hvor en medarbejder har forladt regionen er adgangen til regionens netværk ifølge hende blevet lukket og dermed også den tidligere medarbejders mulighed for at få adgang til OPUS.

Ringe administration af brugerkonti er set før

Sagen vækker mindelser om en skarp kritik, som Rigsrevisionen rejste i efteråret om mangelfuld styring og kontrol af brugerkonti. Her var det ringe forvaltning af udvidede administratorrettigheder, der blev afsløret, hvilket betød, at personer uretmæssigt kunne få adgang til en række statslige institutioners it-systemer og data.

Ingen af seks undersøgte statslige institutioner, nemlig Energinet.dk, Banedanmark, National Sundheds-it, Statens It, Direktoratet for Kriminalforsorgen og Rigspolitiets Koncern IT, havde håndteret de udvidede administratorrettigheder »med den nødvendige professionalisme,« lød det.

I Region H er godt 52.000 brugerkonti identificeret i starten af 2015, og det forventes at omkring 20.000 af disse konti skal lukkes.

Oprydning har været i gang siden sidste år

Region Hovedstaden har været opmærksom på rettighedsproblematikken siden 2015, hvor Datatilsynet rettede blikket mod problemerne. Det betyder, at der er ved at blive renset godt og grundigt op i rettighederne i henhold til en procedure, som er godkendt af Direktørkredsen.

»Vi skal nok ned på cirka 33.000 personer med adgang. Alle dubletter og lignede problemer er renset ud ved udgangen af marts,« siger Pia Kopke.

»Der har primært været tale om dubletter, bl.a. fordi vores ansatte jo flytter rundt mellem hospitalerne. Gamle passive adgange opstår, når den gamle afdeling i forbindelse med medarbejderskift ikke får nedlagt deres rettigheder til systemet. Det er bare ikke ensbetydende med, at der er en sikkerhedsrisiko. En medarbejder, som har skiftet til et job uden for regionen vil ikke i praksis kunne tilgå GS!ÅBEN/OPUS, da dette alene kan gøres 'indefra'. Dvs. via en PC på én af regionens lokationer samt med et bruger-id til regionens netværk, som deaktiveres, når man ophører med at være ansat i regionen,« forklarer Pia Kopke.

Hun understreger, at ingen tidligere medarbejdere således har haft uberettiget adgang, da alle adgange oprettes på baggrund af henvendelser fra hospitalerne.

Men hun erkender, at de procedurer, regionen har haft, ikke har været tilstrækkelige og ikke overholdt regionens politik på området: Den siger, at der skal tildeles rettigheder, når en person startet, og at de skal nedlægges igen, når vedkommende forlader os.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.