Rigets it-system gav fri mulighed for misbrug

19. september 2014 kl. 13:132
Trods mistanke om læk af personlige oplysninger til Se og Hør har Rigshospitalet først i august i år indført logning af brugen af it-systemet for graviditetsskanninger. Derfor kan misbrug ikke dokumenteres.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det bliver hen ved umuligt at bevise, om ansatte på Rigshospitalet har misbrugt it-systemet, der administrere graviditetsskanninger til at sælge oplysninger om kendte til Se og Hør. Hospitalet har nemlig først indført logning på systemet for halvanden måned siden. Det skriver MediaWatch.

Det er systemet ’Nakkefold Booking’, som uden logning har givet ansatte fri mulighed for at hente personfølsomme oplysninger, uden at det kan opdages. Yderligere er ingen ansatte på Riget blevet adspurgt om deres kendskab til det mulig læk, viser et udkast til et referat fra Datatilsynets inspektion på Rigshospitalet d. 20. august.

»Der er ingen, der tænker, at nogen kan have været inde i et it-system og finde oplysninger. Så der er ingen, der tænker på it-systemer, logning eller andet. I forbindelse med den her Se og Hør-sag kommer spørgsmålet om logning op, og der opdager man, at der slet ikke er nogen log på det her system. Det sætter vi selvfølgelig i gang og får lavet hurtigst muligt,« siger Kurt Stig Jensen, centerdirektør for Juliane Marie Centret, som står for graviditetsscanningerne, til MediaWatch.

Det er et krav i persondataloven, at informationer om for eksempel graviditetsskanninger logges.

Mistanke om læk siden 2011

Indførelse af logning på it-systemet, der bruges, når der bestilles tid til skanning, kommer to måneder efter, at Datatilsynet oprettede en sag mod hospitalet i forbindelse med Se og Hør-sagen. Her har flere tidligere ansatte på magasinet fortalt, at Se og Hør angiveligt har haft en betalt kilde på Rigshospitalet. Men mistanken om lækket fra Riget kom allerede i 2011 fra Anders Lund Madsen, der sammen med sin kæreste to gange blev mødt af Se og Hør-journalister efter besøg på Rigshospitalet. Det fik ham til at henvende sig til hospitalet gennem sin advokat.

Artiklen fortsætter efter annoncen

I den forbindelse vurderede hospitalet selv, at ingen ansatte havde lækket oplysninger om parret til Se og Hør. Men den vurdering har altså udelukkende bygget på hospitalsledelsens tillid til personalets forståelse for tavshedspligten. I stedet har ledende medarbejdere tidligere foreslået, at lækket kunne komme fra andre hospitalsbesøgende, der har delt venteværelse med tv-værten.

2 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
19. september 2014 kl. 16:21

Fandt hurtigt en vejledning om lovgivningen på sundhedsområdet: http://sundhedsstyrelsen.dk/publ/Publ2008/SDSD/Infosikkerhed_vejl08.pdfDer lader til at være flere potentielle lovbrud her:

  • Persondatalovens kapital 11 om behandlingssikkerhed stiller blandt andet krav om, at der træffes foranstaltninger mod, at oplysninger (...)kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Der stilles således krav om integritet og fortrolighed.

*sikkerhedsbekendtgørelsens § 19, stk. 1, at der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysninger om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium.

  • Ansvar og procedurer for håndteringen af sikkerhedsbrud og svagheder skal være på plads, således at disse kan håndteres effektivt, når de opstår.

For mig er det uforståeligt at her sundhedsvæsnet og generelt det offentlige frit kan bryde lovgivningen uden konsekvenser.

#1 der var jo netop ikke den logning som kræves og derfor heller ikke noget systemadministrator kunne kigge i!

1
19. september 2014 kl. 14:59

Jeg troede, at man som "systemejer" havde pligt til at foretage stikprøver ud fra loggen og studere loggen for tegn på misbrug? Så der er flere syndere i den fæle historie.