Rigets it-system gav fri mulighed for misbrug

Trods mistanke om læk af personlige oplysninger til Se og Hør har Rigshospitalet først i august i år indført logning af brugen af it-systemet for graviditetsskanninger. Derfor kan misbrug ikke dokumenteres.

Det bliver hen ved umuligt at bevise, om ansatte på Rigshospitalet har misbrugt it-systemet, der administrere graviditetsskanninger til at sælge oplysninger om kendte til Se og Hør. Hospitalet har nemlig først indført logning på systemet for halvanden måned siden. Det skriver MediaWatch.

Det er systemet ’Nakkefold Booking’, som uden logning har givet ansatte fri mulighed for at hente personfølsomme oplysninger, uden at det kan opdages. Yderligere er ingen ansatte på Riget blevet adspurgt om deres kendskab til det mulig læk, viser et udkast til et referat fra Datatilsynets inspektion på Rigshospitalet d. 20. august.

Læs også: Nets klar til at retsforfølge Aller efter Se og Hør-skandale

»Der er ingen, der tænker, at nogen kan have været inde i et it-system og finde oplysninger. Så der er ingen, der tænker på it-systemer, logning eller andet. I forbindelse med den her Se og Hør-sag kommer spørgsmålet om logning op, og der opdager man, at der slet ikke er nogen log på det her system. Det sætter vi selvfølgelig i gang og får lavet hurtigst muligt,« siger Kurt Stig Jensen, centerdirektør for Juliane Marie Centret, som står for graviditetsscanningerne, til MediaWatch.

Det er et krav i persondataloven, at informationer om for eksempel graviditetsskanninger logges.

Mistanke om læk siden 2011

Indførelse af logning på it-systemet, der bruges, når der bestilles tid til skanning, kommer to måneder efter, at Datatilsynet oprettede en sag mod hospitalet i forbindelse med Se og Hør-sagen. Her har flere tidligere ansatte på magasinet fortalt, at Se og Hør angiveligt har haft en betalt kilde på Rigshospitalet. Men mistanken om lækket fra Riget kom allerede i 2011 fra Anders Lund Madsen, der sammen med sin kæreste to gange blev mødt af Se og Hør-journalister efter besøg på Rigshospitalet. Det fik ham til at henvende sig til hospitalet gennem sin advokat.

Læs også: Nets advaret om sikkerhedsbrist i 2007

I den forbindelse vurderede hospitalet selv, at ingen ansatte havde lækket oplysninger om parret til Se og Hør. Men den vurdering har altså udelukkende bygget på hospitalsledelsens tillid til personalets forståelse for tavshedspligten. I stedet har ledende medarbejdere tidligere foreslået, at lækket kunne komme fra andre hospitalsbesøgende, der har delt venteværelse med tv-værten.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Mogens Lysemose

Fandt hurtigt en vejledning om lovgivningen på sundhedsområdet: http://sundhedsstyrelsen.dk/publ/Publ2008/SDSD/Infosikkerhed_vejl08.pdf Der lader til at være flere potentielle lovbrud her:

  • Persondatalovens kapital 11 om behandlingssikkerhed stiller blandt andet krav om, at der træffes foranstaltninger mod, at oplysninger (...)kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Der stilles således krav om integritet og fortrolighed.

*sikkerhedsbekendtgørelsens § 19, stk. 1, at der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysninger om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium.

  • Ansvar og procedurer for håndteringen af sikkerhedsbrud og svagheder skal være på plads, således at disse kan håndteres effektivt, når de opstår.

For mig er det uforståeligt at her sundhedsvæsnet og generelt det offentlige frit kan bryde lovgivningen uden konsekvenser.

1 der var jo netop ikke den logning som kræves og derfor heller ikke noget systemadministrator kunne kigge i!
  • 4
  • 0
Log ind eller Opret konto for at kommentere