Region H melder sig selv til Datatilsynet efter sikkerhedsbrud

Illustration: Ole Bo Jensen, Imagebureauet​​
Fem filmapper på Region Hovedstadens interne netværksdrev har været tilgængelige for alle regionens medarbejdere. Mapperne har indeholdt helbredsoplysninger på borgere, og de er nu blevet lukket, oplyser regionen.

Region Hovedstaden har meldt sig selv til Datatilsynet, efter at regionen har fundet ud af, at fem filmapper med følsomme personoplysninger ikke har været godt nok beskyttet mod uvedkommende.

De fem filmapper har ligget på regionens interne netværksdrev, og de har indeholdt oplysninger om patienters røgtenbilleder, hjertemålinger og journaler. Samtlige fem mapper er nu blevet lukket.

»Vi har meget høje krav til vores it-sikkerhed og datahåndtering. Vores borgere skal være sikre på, at det kun er medarbejdere med behandlerrelation, der har tilgået deres personoplysninger. Derfor ser vi med stor alvor på, at der har været en brist i denne håndtering, som kan have betydning for den enkelte patient,« siger Carsten Nørgaard, der er vicedirektør i Region Hovedstadens Center for IT, Medico og Telefoni, i en pressemeddelelse.

Det har ifølge regionen krævet præcis og specifik viden om filmappernes placering at få adgang, men reelt har den manglende beskyttelse betydet, at mappernes indhold har været tilgængeligt for alle medarbejdere med et gyldigt regionh-login.

Ifølge Carsten Nørgaard er der lav sandsynlighed for, at uvedkommende har set personoplysningerne i filmapperne, og regionen har ikke fundet nogen indikationer på, at det skulle være sket. Alligevel kan det ikke udelukkes, tilføjer han.

»Men selv om sandsynligheden er lav, så kan det ikke udelukkes, at en medarbejder ulovligt kan have udnyttet adgangen til filerne. Tilgangen til filerne i mapperne bliver – modsat selve it-systemerne - ikke logget, så vi kan ikke konstatere, om en medarbejder har kigget i dem. Men omvendt vi kan derfor desværre heller ikke udelukke det,« siger Carsten Nørgaard i pressemeddelelsen.

De fem åbne filmapper har tilsammen indeholdt omkring 240.000 datafiler, men ifølge regionen kan det ikke ses som et udtryk for antallet af berørte borgere. Der er blevet lavet en strikprøvekontrol på et udsnit af filerne, ud fra den har regionen konkluderet, at »antallet af borgere er markant lavere end antallet af kontrollerede datafiler«.

Det er ikke lykkedes regionen at finde ud af, hvor mange borgere der præcis er blevet berørt af sikkerhedsbruddet, og Carsten Nørgaard opfordrer derfor alle regionens patienter til at være opmærksomme.

”Vi opfordrer hermed vores borgere til at være opmærksomme på, om de har mistanke om, at deres personoplysninger skulle være misbrugt. For eksempel om de bliver kontaktet af personer, der har elementer af deres helbredsoplysninger. Hvis det sker, skal borgeren kontakte Region Hovedstaden samt politiet med det samme.”

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 martin nielsen

Hvem er det geni der har fundet på at samle så store mængder følsomme data sammen, og så at lægge dem tilgængeligt på et offentlig share?

Der skal da vist uddeles en anstændig mængde kage.

I det mindste blev det da ikke sendt til den Kinesiske ambassade.

  • 5
  • 0
#4 Sune Marcher

Hvorfor har dette data været tilgængeligt i en "filmappe", i stedet for tilgang igennem audit-loggende systemer?

Har det været for nemmere at kunne dele data mellem personer uden besværlige logins?

Eller har det været et systems interne NFS/SMB storage der egentligt kun skulle have været tilgængeligt gennem et system, men uheldigvis lige havde forkerte permissions?

  • 5
  • 0
#5 Lars Christensen

Okay, Region H har stor fokus på IT- og Data-sikkerheden, men har ikke en generel logning, så de med sikkerhed ved hvad der sker.

Ved RegionH egentlig hvad IT- og Data sikkerhed indebærer?

NB. Hvornår stopper journalisternes hang til forbløffelse over at GDPR overholdes?

Skulle overskriften overhovedet have en mening, her 29 måneder efter GDPR blev implementeret i Danmark, så burde den måske være en smule mere præcis. RegionH skal overholde GDPR og når de kvajer sig, behøver de altså ikke at få ros for at overholde den.

  • 5
  • 0
#6 Louise Klint

Jeg forstår det heller ikke.

Stammer disse ”filmapper” fra forskning? Er mapperne oprettet på enkelte, specifikke afdelinger? Eksempelvis til et givent formål vedr. en specifik patientgruppe; fx. ifm. forbedring af behandlingen, statistik og audit, ventelister?

Hvilke formål har de tjent??

Jeg synes, regionen udtaler sig vel kryptisk her.

https://www.regionh.dk/presse-og-nyt/pressemeddelelser-og-nyheder/Sider/...

Ligesom jeg finder deres information mangelfuld. Faktaboksen, nederst, er sporadisk, overordnet og rigeligt hemmelighedsfuld.

Og igen: Hvor mange patienter er berørt?

”240.000 datafiler”?! Nærmere kommer man det ikke. Det er ikke godt nok.

  • 3
  • 0
#7 Louise Klint

Allernederst i faktaboksen – i Region Hs pressemeddelelse – omtales OnBase:

ONBASE

Det har været muligt at identificere den enkelte borger, hvis personoplysninger der har ligget i denne filmappe. Der vil derfor ske en selvstændig underretning vedrørende disse personoplysninger.

https://www.regionh.dk/presse-og-nyt/pressemeddelelser-og-nyheder/Sider/...

OnBase er en journaldatabase for både Region H, Sjælland og Syddanmark.

https://www.nobly.dk/referencer/ https://www.nobly.dk/cases/ouh-onbase/

Region H tog den i brug, da de gik over til Sundhedsplatformen. Dvs. fra 2015/16 er journaler indskannet for alle de patienter, der var i aktuel behandling, på regionens hospitaler, på daværende tidspunkt. Efterfølgende er journaler og dokumenter løbende tilføjet. (Fx. hvis en patient genhenvises, og den tidligere papirjournal rekvireres fra centralt arkiv, så indskannes journalen til OnBase).

Det er individuelt, fra afdeling til afdeling, hvor meget af patientjournalen, man dengang valgte at indskanne. Dvs. nogle afdelinger har kun skannet det mest basale; henvisning, samtykkeerklæring, anæstesijournal, oplysningsskema, fx. Andre afdelinger har indskannet hele journalen. Et omfattende udvalg af personlige dokumenter, der kan strække sig mange år tilbage i tid.

Bl.a. fortløbende journalnotater (kontinuationer) om behandling og diagnoser, anæstesijournal, prøvesvar fra undersøgelser (histologi), patientens medicinliste, sygeplejejournal ifm. indlæggelse, skadestuejournal, henvisninger, forundersøgelser, patientens oplysningsskema (personlige oplysninger, rygning og alkohol, også om uddannelse og beskæftigelse, mv.) Alle tænkelige dokumenter tilknyttet patientjournalen.

Med andre ord...

Ovenstående ^^ få linjer, om OnBase, kan dække over et relativt omfattende persondatabrud.

Jeg savner information:

Hvilke afdelinger og hvor mange patienter er involveret her?

  • 2
  • 0
#8 Jesper Frimann

@Sune Marcher

Det lyder jo helt klart, som om det er et SMB fileshare (eller lignende), hvor man 'fra gammel tid' simpelt hen ikke har haft sat rettigheder på.

Når man ser (der er lidt på youtube) på f.eks. hvordan Boneexpert bruges, så indikerer det klart, at det er et fileshare.

// Jesper

  • 3
  • 0
#9 Anne-Marie Krogsbøll

.... med oplysninger, synes jeg, man må betegne Region H. Og hvorfor så mon det?

"»Vi har meget høje krav til vores it-sikkerhed og datahåndtering. " ?????? Hvor? Hvordan har dette sikkerhedsbrud kunnet gå under radaren? Har dette sikkerhedsbrud befundet sig i en slags persondatasikkerhedsmæssig Bermudatrekant?

Og der er jo mindst TO store forbrydelser her: 1. Opbevaring af stærkt følsomme data i ikke sikret database.... 2. ...hvor man oven i købet ikke har logget adgangen... (same procedure as last year....)

Hvad er meningen? Hvad er forklaringen? Hvorfor får vi ikke en forklaring?

Og så en 3. stor forbrydelse: 3. Da man angiveligt ikke kan afgøre, hvor mange borgere, der er berørt, kan man vel heller ikke orientere dem om, at deres privatliv har været kompromitteret?

Må man tilslutte sig Louise Klints gode bud: "The usual suspect" i disse sager: Forskning!

Og så det rigtigt sjove spørgsmål: Har der været adgang fra Epic ( i USA)?

  • 0
  • 0
Log ind eller Opret konto for at kommentere