Region Syddanmark anmelder ni brud på persondatasikkerheden

8. oktober 2021 kl. 10:411
Region Syddanmark anmelder ni brud på persondatasikkerheden
Illustration: Schwabenblitz/Bigstock.
Region Syddanmark har konstateret brud på persondatasikkerheden i ni af regionens it-systemer, der i alt berører op mod 2000 af regionens patienter.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Region Syddanmark skriver i en pressemeddelelse, at regionen har opdaget en række 'brud på persondatasikkerheden' i intet mindre end ni af regionens systemer. Bruddene er blevet meldt til Datatilsynet og borgerne underrettes med pressemeddelelsen, lyder det.

Det var interne undersøgelser af sikkerheden omkring en række delte netværksdrev, der fandt frem til bruddene, lyder det.

»Som del af Region Syddanmarks løbende indsats for proaktivt at forebygge og opspore potentielle sikkerhedsbrud blev der i foråret 2020 igangsat i en omfattende og grundig intern undersøgelse(...). Den interne undersøgelse blev igangsat af regionen på eget initiativ og har tidligere resulteret i to anmeldelser til Datatilsynet.«

Det er med andre ord den tredje anmeldelse til Datatilsynet som følge af denne ene undersøgelse. Tilsynet har i forvejen indstillet regionen, som den eneste dataansvarlige i Danmark, til to GDPR-bøder på hver 500.000 kroner.

Artiklen fortsætter efter annoncen

Konkret er der tale om CPR-numre, scanningsbilleder, behandlingsinformationer og helbredsoplysninger på patienter. Derudover har op mod 4000 medarbejdere i Region Syddanmark kunnet tilgå et sagsbehandlingssystem, der håndterer personalesager, borgersager og arbejdsskadesager.

Regionen skriver, at man i denne sag bør huske, at alle medarbejdere i regionen er underlagt tavshedspligt, så de deler ikke de oplysninger, som de får i løbet af arbejdsdagen, med andre.

Undersøgelsen er stadig i gang - ingen logning

Mens regionen siger, alle bruddene er lukket, skriver den også i pressemeddelelsen, at undersøgelsen og oprydningen stadig er i gang:

»Alle otte sikkerhedsbrud er blevet håndteret. Region Syddanmark vil fortsat arbejde med en proaktiv og struktureret indsats omkring forebyggelse og opsporing af eventuelle lignende sikkerhedsbrud. Derudover har Region Syddanmark separat fra denne undersøgelse konstateret et sikkerhedsbrud i regionens elektroniske sags- og dokumenthåndteringssystem Acadre,« skriver regionen, der altså når op på ni brud.

Det konkrete brud på persondatasikkerheden i de otte systemer bestod i, at det var muligt for andre medarbejdere end dem, der var tilknyttet patienten, at tilgå dokumenter fra systemets netværksdrev, skriver regionen.

»Det har dog været meget kompliceret at få adgang til de fællesdrev, der indeholdt personoplysninger. For at lokalisere og få adgang til netværksdrevene skulle en medarbejder aktivt lede efter det, lyder det i pressemeddelelsen, der også skriver, at de mange persondata på fællesdrevene ikke var navngivet med persondata, men var en sammensætning af information, 'der kun var forståelig for de medarbejdere, der arbejdede med de pågældende patienter'.

Der var ingen logning på de pågældende netværksdrev, hvorfra data kunne tilgås. Derfor har det ikke været muligt at kontrollere, om ansatte har tilgået personoplysninger uberettiget, skriver regionen.

Version2 følger op på sagen snarest.

1 kommentar.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
11. oktober 2021 kl. 12:30

Bruddene er blevet meldt til Datatilsynet og borgerne underrettes med pressemeddelelsen, lyder det.

Kan man virkelig gemme en underretning til de berørte borgere væk i en pressemeddelelse?