Region H afviser læk af sundhedsdata - men erkender sjusk med brugerkonti

Mangelfuld administration af brugerkonti er et tilbagevendende svaghed i den offentlige forvaltning. I dag erkender Region H at tusindvis af brugerkonti burde have været nedlagt - men man afviser læk af patientdata.

Region Hovedstaden går nu i rette med medierne, hvor sundhedsjurister har kritiseret, at op mod 20.000 brugere i regionen i årevis fejlagtigt skulle have haft adgang til patientjournalerne. Blandt andet fordi mange brugerkonti ikke har været lukket ned i forbindelse med fratrædelse.

Men der har ikke været læk af sundhedsdata, fastslår vicedirektør i Center for It, Medico og Telefoni (IMT) i Region Hovedstaden, Pia Kopke, ifølge en pressemeddelelse.

»Der er ingen, der har uautoriseret adgang til vores patientjournaler i Region Hovedstaden. I Jyllands-Posten og andre medier samt på Facebook kører der i disse dage historier om, at 20.000 tilfældige personer bare kan gå ind og se patienternes journaler. Det er altså én stor misforståelse,« siger hun.

Hun erkender, at der har været dårlig disciplin i forbindelse med procedurerne for at lukke brugerkonti til patientjournalerne i OPUS, når de ansatte har flyttet til et andet hospital i regionen eller har forladt regionen.

Men i de tilfælde, hvor en medarbejder har forladt regionen er adgangen til regionens netværk ifølge hende blevet lukket og dermed også den tidligere medarbejders mulighed for at få adgang til OPUS.

Ringe administration af brugerkonti er set før

Sagen vækker mindelser om en skarp kritik, som Rigsrevisionen rejste i efteråret om mangelfuld styring og kontrol af brugerkonti. Her var det ringe forvaltning af udvidede administratorrettigheder, der blev afsløret, hvilket betød, at personer uretmæssigt kunne få adgang til en række statslige institutioners it-systemer og data.

Ingen af seks undersøgte statslige institutioner, nemlig Energinet.dk, Banedanmark, National Sundheds-it, Statens It, Direktoratet for Kriminalforsorgen og Rigspolitiets Koncern IT, havde håndteret de udvidede administratorrettigheder »med den nødvendige professionalisme,« lød det.

Læs også: Rigsrevisionen: Statslige politidata og sundhedsdata er elendigt beskyttet

I Region H er godt 52.000 brugerkonti identificeret i starten af 2015, og det forventes at omkring 20.000 af disse konti skal lukkes.

Oprydning har været i gang siden sidste år

Region Hovedstaden har været opmærksom på rettighedsproblematikken siden 2015, hvor Datatilsynet rettede blikket mod problemerne. Det betyder, at der er ved at blive renset godt og grundigt op i rettighederne i henhold til en procedure, som er godkendt af Direktørkredsen.

»Vi skal nok ned på cirka 33.000 personer med adgang. Alle dubletter og lignede problemer er renset ud ved udgangen af marts,« siger Pia Kopke.

»Der har primært været tale om dubletter, bl.a. fordi vores ansatte jo flytter rundt mellem hospitalerne. Gamle passive adgange opstår, når den gamle afdeling i forbindelse med medarbejderskift ikke får nedlagt deres rettigheder til systemet. Det er bare ikke ensbetydende med, at der er en sikkerhedsrisiko. En medarbejder, som har skiftet til et job uden for regionen vil ikke i praksis kunne tilgå GS!ÅBEN/OPUS, da dette alene kan gøres 'indefra'. Dvs. via en PC på én af regionens lokationer samt med et bruger-id til regionens netværk, som deaktiveres, når man ophører med at være ansat i regionen,« forklarer Pia Kopke.

Hun understreger, at ingen tidligere medarbejdere således har haft uberettiget adgang, da alle adgange oprettes på baggrund af henvendelser fra hospitalerne.

Men hun erkender, at de procedurer, regionen har haft, ikke har været tilstrækkelige og ikke overholdt regionens politik på området: Den siger, at der skal tildeles rettigheder, når en person startet, og at de skal nedlægges igen, når vedkommende forlader os.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Følg forløbet

Kommentarer (5)

Peter Hansen

Jeg ville føle mig mere beroliget af Pia Kopkes redegørelse, hvis hun kunne præsentere en oversigt over hvor mange/få af de 20.000 konti, der var blevet logget ind fra efter at deres ejermænd havde sidste arbejdsdag i Region H.

Det burde være ret let at levere og er en tydelig indikation på at der har fundet misbrug sted.

Det er jo almindeligt kendt at medarbejderne på hospitalerne deler passwords, fordi det tager så lang tid at logge ind via Citrix på de langsomme lokalnet, så det er vel ikke et helt utænkeligt scenarie, at medarbejdere med lyst til at foretage 'nysgerrighedsopslag' om kendte patienter/familiemedlemmer benytter sig af et login på en kollega, der er holdt op...

Mogens Lysemose

Det er gentagne klokkeklare lovbrud der skal straffes:

Patientjournalloven
§ 17. Patientjournaler skal opbevares forsvarligt, og det skal sikres, at uvedkommende ikke har adgang til oplysningerne i patientjournalerne.
Stk. 4. I lov om behandling af personoplysninger (persondataloven) § 41 er der fastsat regler om krav til datasikkerheden i forbindelse med behandling af personoplysninger.
§ 29. Overtrædelse af bekendtgørelsen (...) straffes med bøde.
Stk. 2. Er der ved overtrædelse af bekendtgørelsen samtidig tale om overtrædelse af persondatalovens regler, straffes dette med bøde eller fængsel indtil 4 måneder, jf. persondatalovens § 70.

Persondataloven
§ 41. Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen