Region Syddanmark anmelder ni brud på persondatasikkerheden

Illustration: Schwabenblitz/Bigstock
Region Syddanmark har konstateret brud på persondatasikkerheden i ni af regionens it-systemer, der i alt berører op mod 2000 af regionens patienter.

Region Syddanmark skriver i en pressemeddelelse, at regionen har opdaget en række 'brud på persondatasikkerheden' i intet mindre end ni af regionens systemer. Bruddene er blevet meldt til Datatilsynet og borgerne underrettes med pressemeddelelsen, lyder det.

Det var interne undersøgelser af sikkerheden omkring en række delte netværksdrev, der fandt frem til bruddene, lyder det.

»Som del af Region Syddanmarks løbende indsats for proaktivt at forebygge og opspore potentielle sikkerhedsbrud blev der i foråret 2020 igangsat i en omfattende og grundig intern undersøgelse(...). Den interne undersøgelse blev igangsat af regionen på eget initiativ og har tidligere resulteret i to anmeldelser til Datatilsynet.«

Det er med andre ord den tredje anmeldelse til Datatilsynet som følge af denne ene undersøgelse. Tilsynet har i forvejen indstillet regionen, som den eneste dataansvarlige i Danmark, til to GDPR-bøder på hver 500.000 kroner.

Konkret er der tale om CPR-numre, scanningsbilleder, behandlingsinformationer og helbredsoplysninger på patienter. Derudover har op mod 4000 medarbejdere i Region Syddanmark kunnet tilgå et sagsbehandlingssystem, der håndterer personalesager, borgersager og arbejdsskadesager.

Regionen skriver, at man i denne sag bør huske, at alle medarbejdere i regionen er underlagt tavshedspligt, så de deler ikke de oplysninger, som de får i løbet af arbejdsdagen, med andre.

Undersøgelsen er stadig i gang - ingen logning

Mens regionen siger, alle bruddene er lukket, skriver den også i pressemeddelelsen, at undersøgelsen og oprydningen stadig er i gang:

»Alle otte sikkerhedsbrud er blevet håndteret. Region Syddanmark vil fortsat arbejde med en proaktiv og struktureret indsats omkring forebyggelse og opsporing af eventuelle lignende sikkerhedsbrud. Derudover har Region Syddanmark separat fra denne undersøgelse konstateret et sikkerhedsbrud i regionens elektroniske sags- og dokumenthåndteringssystem Acadre,« skriver regionen, der altså når op på ni brud.

Det konkrete brud på persondatasikkerheden i de otte systemer bestod i, at det var muligt for andre medarbejdere end dem, der var tilknyttet patienten, at tilgå dokumenter fra systemets netværksdrev, skriver regionen.

»Det har dog været meget kompliceret at få adgang til de fællesdrev, der indeholdt personoplysninger. For at lokalisere og få adgang til netværksdrevene skulle en medarbejder aktivt lede efter det, lyder det i pressemeddelelsen, der også skriver, at de mange persondata på fællesdrevene ikke var navngivet med persondata, men var en sammensætning af information, 'der kun var forståelig for de medarbejdere, der arbejdede med de pågældende patienter'.

Der var ingen logning på de pågældende netværksdrev, hvorfra data kunne tilgås. Derfor har det ikke været muligt at kontrollere, om ansatte har tilgået personoplysninger uberettiget, skriver regionen.

Version2 følger op på sagen snarest.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere