Styrelse får kritik for at sende 900 sider personfølsomme patientdata med mail-løsning

En medarbejder i Styrelsen for Patientsikkerhed er ved et uheld kommet til at sende 900 siders personfølsomme patientdata uden 2-faktor autentifikation.

Styrelsen for Patientsikkerhed har videresendt 900 siders personfølsomme patientdata uden 2-faktor autentifikation, hvilket ellers er kravet. Det fremgår af en afgørelse, som netop er offentliggjort på Datatilsynets hjemmeside, hvor Datatilsynet kalder episoden kritisabel.

Det er modtageren selv – i afgørelsen omtalt som ”K” – der har klaget til Datatilsynet.

Læs også: Igen sjusk i Sundhedsministeriet: Sender følsomme patientdata til den forkerte borger

Styrelsen for Patientsikkerhed benytter sig af løsningen Blue-whale i de tilfælde, hvor omfanget er for stort til at blive sendt via Digital Post. Her fremsendes links til dokumenterne i en e-mail. Der ledes så videre til et link, hvor borgeren skal logge ind via en PIN-kode, som er blevet tilsendt på mobilen.

Men denne gang kom styrelsen altså til at sende samtlige 900 sider ved et uheld.

Den normale procedure om 2-faktor autentifikation fandt dog sted, men først efter alle 900 sider var sendt ubeskyttet til ’K’. Han modtog efterfølgende den normale mail, som indeholdt et link til siden, hvor PIN-koden skulle indtastes.

’K’ henvendte sig til Styrelsen for Patientsikkerhed efterfølgende, men ifølge Datatilsynets afgørelse reagerede styrelsen ikke på henvendelserne.

Burde slet ikke være muligt

Styrelsen for Patientsikkerhed har undskyldt sig med, at når oplysninger sendes via Blue-whale, så sker det gennem en ”stærk kryptering” (HTTPS/TLS). Men det har Datatilsynet altså ikke godkendt som værende en ordentlig undskyldning.

Styrelsen har oplyst, at de er i dialog med deres leverandør om muligheden for at fjerne risikoen for, at en medarbejder kommer til at sende oplysningerne uden den fornødne beskyttelse.

Det fastslås i afgørelsen, at Datatilsynet indskærper styrelsens ansvar for, at medarbejderne ikke begår lignende fejl, så længe, at muligheden ikke er fjernet af leverandøren.

Ikke første gang

Og det er ikke første gang, at Styrelsen for Patientsikkerhed frit har sendt mails med personfølsomme patientdata uden nogen form for beskyttelse. I 2016 havde en læge problemer med at åbne PDF-dokumenter om syv patienters klagesager, hvorefter han sendte dem til sig selv. Desværre dukkede de aldrig op.

Læs også: Styrelseslæge ville sende følsomme patientdata til sig selv: Havnede hos it-kriminelle

Det viste sig efterfølgende, at de var sendt til en forkert mailadresse. Desværre var det ikke bare en tilfældig borger, hvis mailadresse tilnærmelsesvis lignede den pågældende læges, men derimod en ’malicious’ adresse, designet til at opsnappe fejlsendt data.

Dengang, i august 2016, lovede daværende Sundhedsminister, Sophie Løhde, at sætte et hold eksterne konsulenter til at gennemføre et ’serviceeftersyn’ af hele Sundheds- og Ældreministeriets koncern.

På Bluewhales hjemmeside er it-chef ved Styrelsen for Patientsikkerhed, Jens Pilekær Henriksen, taget til indtægt for dette PR-fremstød:

»Vi vil bestemt anbefale andre offentlige instanser at bruge Bluewhale. Det er trygt for borgerne og nemt for os.«

Det lader vi stå for sig selv.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Heino Svendsen
  • 3
  • 0
Pauli Østerø

Kommer ikke til at ske. HVIS der kommer straffe, så bliver det en "næse" - "Det må du ikke!"

Det håber jeg ikke du har ret i. Selvfølgelig tager det tid, men jeg håber inderligt at der vil ske en ændret opfattelse i befolkningen der sidestiller denne slags sløseri med det sløseri det også er at blive taget i at køre for hurtigt ned af Nørrebrogade i en stor lastbil midt i myldretrafikken. At man gør noget ubevidst eller uden fuldt overlæg fratager ikke en i at skulle udvise rettidig omhu og tage konsekvenserne af sine handlinger.

  • 1
  • 0
Denny Christensen

Man kunne gennemføre en rituelt ofring men den ville nok ramme en menig medarbejder og ikke en leder-ansvarlig.

Det er nu engang ulig nemmere at idømme bøde eller anden profan straf end at placerer ansvar, og alene udtrykket 'gennemføre et serviceeftersyn' af arbejdet i et af de større ministerier er jo god presse men en nærmest umulig opgave.

Jeg vil tro at det at forandre noget radikalt er for stor en opgave i forhold til kerneopgaven, eksempelvis i dette ministerium, og for den sags skyld også i andre større organisationer, og så tager man i stedet sagerne og venter på at de blæser over.

Krypter alt, alle vegne, hele tiden. Så kommer vi da et godt skridt videre.

  • 1
  • 0
Log ind eller Opret konto for at kommentere