Region politianmeldt: Data om 30.000 børn i psykiatrien lå tilgængeligt i halvandet år

Illustration: Region Syddanmark
Datatilsynet politianmelder Region Syddanmark med krav om en bøde på en halv million kroner for ikke at have godt nok styr på sikkerheden omkring en database med følsomme oplysninger, der i mere end halvandet år ikke var beskyttet overfor nysgerrige fremmede.

En ting er ikke at overholde reglerne. Et andet er at gøre det, når det kommer til særligt udsatte grupper.

Derfor ser Datatilsynet også med meget stor alvor på, at man i Region Syddanmark ikke har beskyttet en database med oplysninger om 30.000 børn tilknyttet psykiatrien godt nok.

»Som offentlig myndighed har man et særligt ansvar for at passe godt på borgernes oplysninger. I en situation som denne er der tale om en sårbarhed, som har været nem at identificere,« udtaler Frederik Viksøe Siegumfeldt, der er kontorchef i Datatilsynet i en pressemeddelelse. (LINK)

Tilsynets vurdering er, at regionen ikke har overholdt sin forpligtelse som dataansvarlig, og det har fået Datatilsynet til at politianmelde regionen med krav om en bøde på 500.000 kroner.

Læs også: Medicals Nordic politianmeldt med krav om bøde efter kviktest-skandale

En kendt svaghed

Sagen tog sin begyndelse, da en borger i sidste år kontaktede tilsynet på baggrund af borgerens eget barn. Kort tid efter anmeldte regionen selv bruddet til tilsynet.

Anmeldelsen drejer det sig, om at databasen ikke har været mere beskyttet, end, at man i en periode på mere end halvandet år kunne få adgang til PDF-dokumenter i databasen ved blot at ændre en URL-adresse.

»Man kan med en relativt basal it-viden ud fra URL-adressen se, at den kan ændres, så man potentielt kan tilgå andre dokumenter. Dette betyder, at der er større risiko for, at adgangen bliver misbrugt. Hertil kommer at det er en velkendt sårbarhed, som man burde havde taget højde for under udviklingen af løsningen, og som man i hvert fald burde have opdaget i forbindelse med test,« udtaler Frederik Viksøe Siegumfeldt,

Ser man på loggen, virker det ikke til, at andre end den opmærksomme borger har udnyttet sårbarheden, hvor man altså kunne få adgang til oplysninger om 30.000 børn. Det får dog ikke tilsynet til at se på sagen med mildere øjne. For Datatilsynet har ved vurderingen lagt vægt på, at der regionen bør få en bøde, da der er tale om helbredsoplysninger om en udsat gruppe af børn.

Læs også: Datatilsynet undersøger virksomhed efter sag om salg af data

Derudover taler det i tilsynets øjne på ingen måde til regionens fordel, at man tidligere har anmeldt lignende brud på datasikkerheden, der har givet ‘alvorlig kritik’.

Der har således både været en sag om, at regionen benyttede sig af et netværksdrev til opbevaring af dokumenter i relation til regionens elektroniske patientjournal (EPJ), hvor dokumenter, der skulle slettes i nogle tilfælde lå tilgængelige for regionens 30.000 ansatte, der havde adgang til drevet, hvor der i øvrigt ikke blev foretaget logning af aktiviteten.

Regionen har ligeledes være impliceret i en sag om manglende risikovurderinger og foranstaltninger i forbindelse med et brud, der angik 365 borgeres navn, personnummer og oplysning om graviditet.

Læs også: Stort sikkerhedsbrud i Region Syd: Skal underrette 800.000 borgere

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Lars T. Petersen

Man kan ikke give en statsinstitution en bøde. De eneste til at betale, er skatteyderne. Hvorfor skal de¹ betale for en institions ansvarløse omgang med data?

I en privat virksomhed giver det god mening med en bøde. Hvis ejerne syntes, at ledelsen har handlet ansvarspådragende dårligt, så bliver ledelsen fyret.

Samme regel skal gælde statsinstitutioner: Ledelsen skal fyres. Uden gyldent håndtryk.

¹ For smed at rette bager.

  • 19
  • 0
#2 Jonas Monk

Nogen burde ihvertfald blive fyret og jeg tænker da at de har nogen IT folk der burde blive checket lidt op omkring på for langt de fleste " IT folk" der holder øje med skolen/kommunens netværk har somregel intet forstand på sikkerhed når det kommer til stykket er min oplevelse

  • 3
  • 3
#3 Louise Klint

Og samtidig lægger vi forhåbentlig ikke mærke til, at Rigspolitiet tilsvarende slipper med alvorlig kritik (med fed = en løftet pegefinger, ”fy fy”) fra Datatilsynet, for forsømmelser, manglende sletning og – værst af alt – fejlbehæftede data, som udgør en brøkdel af Teledataskandalen. Her kan enkeltpersoner blive dømt og straffet på baggrund af disse mangelfulde og fejlbehæftede data, man anvender som ”bevismateriale”. Det er en skændsel.

https://www.dr.dk/nyheder/seneste/datatilsynet-udtaler-alvorlig-kritik-a...

https://politiken.dk/indland/art8294579/Rigspolitiet-f%C3%A5r-%C2%BBalvo...

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2021/jul/ny-af...

  • 11
  • 0
#4 Anne-Marie Krogsbøll

Er der nogen, der ved, hvilken database, der har været tale om? Region Syddanmark har - så vidt jeg husker - før været i Version2's søgelys pga. letsindig og grådig omgang med forskningsdata - noget med børn, så vidt jeg husker. ER det en forskningsdatabase? I givet fald: Hvilken?

Eller husker jeg forkert?

  • 2
  • 0
#5 Anne-Marie Krogsbøll

AHA!

"Region Syddanmark havde i en periode på mere end 1,5 år haft en database til forskningsmæssige og kliniske formål, hvor regionen ikke i tilstrækkelig grad havde sikret sig imod, at uvedkommende kunne opnå uautoriseret adgang til PDF-dokumenter i databasen ved blot at ændre en URL-adresse. Det medførte, at borgere, der var registreret i databasen – og som i øvrigt havde et login til databasen – kunne tilgå personoplysninger om de mere end 30.000 andre registrerede i databasen. I databasen lå der bl.a. spørgeskemaer indeholdende helbredsoplysninger om mere end 30.000 børn tilknyttet psykiatrien." https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2021/jul/regio...

Spørgeskemaer? Er ikke det mon en af "the usual suspects", dem som vi utallige gange har kritiseret her på siden for manglende respekt for privatliv og datasikkerhed (har lige glemt deres og deres forskningsprojekters navne)?

  • 4
  • 0
#8 Gert Madsen

Man kan ikke give en statsinstitution en bøde. De eneste til at betale, er skatteyderne. Hvorfor skal de¹ betale for en institions ansvarløse omgang med data?

Mjah. Nu har man i årtier brugt den strategi at udtale ordet FY. Så at appellere til samvittigheden er prøvet.

En bøde af en forsvarlig størrelse, vil påvirke budget og regnskab, i yderste konsekvens op til regionsrådet. Dvs. nogle får en del besvær ud af en bøde. Og ikke mindst, vil det anspore til, at de budgetansvarlige får anledning til at overveje datasikkerhed i de forskellige projekter.

Det kræver så at bøden er mindst på størrelse med, hvad det koster at sikre et system, hvilket er væsentligt mere, end det koster at indbygge sikkerhed fra en start. Altså at det aldrig skal kunne betale sig at sjuske med sikkerheden. Det kræver så nogle andre størrelser på bøderne, end dem vi ser i øjeblikket.

Selvfølgeligt vil personligt ansvar være mere effektiv. Men jeg tror at helvede fryser til is, før embedsmændene i lovmaskineriet vil gøre embedsmænd personligt ansvarlig. Ingen politiker, som har drøm om selv at blive minister, tør presse det igennem.

  • 4
  • 0
#9 Ulrik Friis

En bøde til en offentlig instans er vel lidt ligesom at flytte penge indenfor et lukket kredsløb. En slags omfordeling. Det gode spørgsmål er: Hvordan får man offentlige ledere til at forstå vigtigheden af IT sikkerhed?

  • 0
  • 1
Log ind eller Opret konto for at kommentere