Region politianmeldt: Data om 30.000 børn i psykiatrien lå tilgængeligt i halvandet år

19. juli 2021 kl. 13:039
Pressefoto Sygehus Sønderjylland
Illustration: Region Syddanmark.
Datatilsynet politianmelder Region Syddanmark med krav om en bøde på en halv million kroner for ikke at have godt nok styr på sikkerheden omkring en database med følsomme oplysninger, der i mere end halvandet år ikke var beskyttet overfor nysgerrige fremmede.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En ting er ikke at overholde reglerne. Et andet er at gøre det, når det kommer til særligt udsatte grupper.

Derfor ser Datatilsynet også med meget stor alvor på, at man i Region Syddanmark ikke har beskyttet en database med oplysninger om 30.000 børn tilknyttet psykiatrien godt nok.

»Som offentlig myndighed har man et særligt ansvar for at passe godt på borgernes oplysninger. I en situation som denne er der tale om en sårbarhed, som har været nem at identificere,« udtaler Frederik Viksøe Siegumfeldt, der er kontorchef i Datatilsynet i en pressemeddelelse. (LINK)

Tilsynets vurdering er, at regionen ikke har overholdt sin forpligtelse som dataansvarlig, og det har fået Datatilsynet til at politianmelde regionen med krav om en bøde på 500.000 kroner.

En kendt svaghed

Sagen tog sin begyndelse, da en borger i sidste år kontaktede tilsynet på baggrund af borgerens eget barn. Kort tid efter anmeldte regionen selv bruddet til tilsynet.

Artiklen fortsætter efter annoncen

Anmeldelsen drejer det sig, om at databasen ikke har været mere beskyttet, end, at man i en periode på mere end halvandet år kunne få adgang til PDF-dokumenter i databasen ved blot at ændre en URL-adresse.

»Man kan med en relativt basal it-viden ud fra URL-adressen se, at den kan ændres, så man potentielt kan tilgå andre dokumenter. Dette betyder, at der er større risiko for, at adgangen bliver misbrugt. Hertil kommer at det er en velkendt sårbarhed, som man burde havde taget højde for under udviklingen af løsningen, og som man i hvert fald burde have opdaget i forbindelse med test,« udtaler Frederik Viksøe Siegumfeldt,

Ser man på loggen, virker det ikke til, at andre end den opmærksomme borger har udnyttet sårbarheden, hvor man altså kunne få adgang til oplysninger om 30.000 børn. Det får dog ikke tilsynet til at se på sagen med mildere øjne. For Datatilsynet har ved vurderingen lagt vægt på, at der regionen bør få en bøde, da der er tale om helbredsoplysninger om en udsat gruppe af børn.

Derudover taler det i tilsynets øjne på ingen måde til regionens fordel, at man tidligere har anmeldt lignende brud på datasikkerheden, der har givet ‘alvorlig kritik’.

Der har således både været en sag om, at regionen benyttede sig af et netværksdrev til opbevaring af dokumenter i relation til regionens elektroniske patientjournal (EPJ), hvor dokumenter, der skulle slettes i nogle tilfælde lå tilgængelige for regionens 30.000 ansatte, der havde adgang til drevet, hvor der i øvrigt ikke blev foretaget logning af aktiviteten.

Regionen har ligeledes være impliceret i en sag om manglende risikovurderinger og foranstaltninger i forbindelse med et brud, der angik 365 borgeres navn, personnummer og oplysning om graviditet.

9 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
20. juli 2021 kl. 15:54

En bøde til en offentlig instans er vel lidt ligesom at flytte penge indenfor et lukket kredsløb. En slags omfordeling. Det gode spørgsmål er: Hvordan får man offentlige ledere til at forstå vigtigheden af IT sikkerhed?

8
20. juli 2021 kl. 14:09

Man kan ikke give en statsinstitution en bøde. De eneste til at betale, er skatteyderne. Hvorfor skal de¹ betale for en institions ansvarløse omgang med data?

Mjah. Nu har man i årtier brugt den strategi at udtale ordet FY. Så at appellere til samvittigheden er prøvet.

En bøde af en forsvarlig størrelse, vil påvirke budget og regnskab, i yderste konsekvens op til regionsrådet. Dvs. nogle får en del besvær ud af en bøde. Og ikke mindst, vil det anspore til, at de budgetansvarlige får anledning til at overveje datasikkerhed i de forskellige projekter.

Det kræver så at bøden er mindst på størrelse med, hvad det koster at sikre et system, hvilket er væsentligt mere, end det koster at indbygge sikkerhed fra en start. Altså at det aldrig skal kunne betale sig at sjuske med sikkerheden. Det kræver så nogle andre størrelser på bøderne, end dem vi ser i øjeblikket.

Selvfølgeligt vil personligt ansvar være mere effektiv. Men jeg tror at helvede fryser til is, før embedsmændene i lovmaskineriet vil gøre embedsmænd personligt ansvarlig. Ingen politiker, som har drøm om selv at blive minister, tør presse det igennem.

7
20. juli 2021 kl. 12:54

Det er efterhånden ikke en hemmelighed, at offentlige ledere ingen forstand har på IT. Fyr dem der har trådt i spinaten og sørg så for at efteruddanne alle de andre.

6
20. juli 2021 kl. 11:09

For det er dem der prioriter opgaverne og dermed har ansvaret. KUN hvis cheferne føler en frygt for konsekvenser ved denne slags inkompetence, vil det have nogen effekt.

5
20. juli 2021 kl. 10:29

AHA!

"Region Syddanmark havde i en periode på mere end 1,5 år haft en database til forskningsmæssige og kliniske formål, hvor regionen ikke i tilstrækkelig grad havde sikret sig imod, at uvedkommende kunne opnå uautoriseret adgang til PDF-dokumenter i databasen ved blot at ændre en URL-adresse. Det medførte, at borgere, der var registreret i databasen – og som i øvrigt havde et login til databasen – kunne tilgå personoplysninger om de mere end 30.000 andre registrerede i databasen. I databasen lå der bl.a. spørgeskemaer indeholdende helbredsoplysninger om mere end 30.000 børn tilknyttet psykiatrien."https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2021/jul/region-syddanmark-indstilles-til-boede

Spørgeskemaer? Er ikke det mon en af "the usual suspects", dem som vi utallige gange har kritiseret her på siden for manglende respekt for privatliv og datasikkerhed (har lige glemt deres og deres forskningsprojekters navne)?

4
20. juli 2021 kl. 10:08

Er der nogen, der ved, hvilken database, der har været tale om? Region Syddanmark har - så vidt jeg husker - før været i Version2's søgelys pga. letsindig og grådig omgang med forskningsdata - noget med børn, så vidt jeg husker. ER det en forskningsdatabase? I givet fald: Hvilken?

Eller husker jeg forkert?

3
20. juli 2021 kl. 08:40

Og samtidig lægger vi forhåbentlig ikke mærke til, at Rigspolitiet tilsvarende slipper med alvorlig kritik (med fed = en løftet pegefinger, ”fy fy”) fra Datatilsynet, for forsømmelser, manglende sletning og – værst af alt – fejlbehæftede data, som udgør en brøkdel af Teledataskandalen. Her kan enkeltpersoner blive dømt og straffet på baggrund af disse mangelfulde og fejlbehæftede data, man anvender som ”bevismateriale”. Det er en skændsel.

https://www.dr.dk/nyheder/seneste/datatilsynet-udtaler-alvorlig-kritik-af-rigspolitiet-i-teledata-sag#main

https://politiken.dk/indland/art8294579/Rigspolitiet-f%C3%A5r-%C2%BBalvorlig-kritik%C2%AB-for-sjusk-med-bevismateriale

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2021/jul/ny-afgoerelse-alvorlig-kritik-af-rigspolitiet-i-teledatasag

2
20. juli 2021 kl. 08:25

Nogen burde ihvertfald blive fyret og jeg tænker da at de har nogen IT folk der burde blive checket lidt op omkring på for langt de fleste " IT folk" der holder øje med skolen/kommunens netværk har somregel intet forstand på sikkerhed når det kommer til stykket er min oplevelse

1
19. juli 2021 kl. 22:39

Man kan ikke give en statsinstitution en bøde. De eneste til at betale, er skatteyderne. Hvorfor skal de¹ betale for en institions ansvarløse omgang med data?

I en privat virksomhed giver det god mening med en bøde. Hvis ejerne syntes, at ledelsen har handlet ansvarspådragende dårligt, så bliver ledelsen fyret.

Samme regel skal gælde statsinstitutioner: Ledelsen skal fyres. Uden gyldent håndtryk.

¹ For smed at rette bager.