Stort databrud i Region Syd: Har lækket borgeres CPR-numre og sundhedsdata
Region Syddanmark har konstateret brud på persondatasikkerheden på tre af regionens it-systemer. Bruddet gælder to netværksdrev, hvoraf det ene havde 5802 filer med patienters navne og helbredsoplysninger og det andet filer med CPR-numre og navne på cirka 1700 skolebørn. Derudover gælder bruddet et fællesdrev med et dokument med CPR-numre og helbredsoplysninger på et ukendt antal borgere.
Det fremgår af en pressemeddelelse fra Region Syddanmark.
Regionen blev gjort opmærksom på bruddene på persondatasikkerheden i forbindelse med en intern undersøgelse, der blev iværksat i foråret 2020. Alle bruddene er håndteret og meldt til Datatilsynet, ligesom borgerne i forbindelse med pressemeddelelsen er blevet underrettet. Den interne undersøgelse har indtil videre kastet flere underretninger om brud på datasikkerheden af sig: læs om de seneste her, her og her.
Bruddene på de to netværksdrev har det til fælles, at medarbejdere på sygehusniveau har haft adgang til filerne, men det var ifølge Region Syddanmark »besværligt,« og da der ikke var nogen logning på fællesdrevene, kan regionen ikke kontrollere om, det har været tilfældet.
Netværksdrevet 'DoctorPro' blev benyttet på Odense Universitetshospital i forbindelse med patientbehandling og indeholdt 5802 filer med patienters navne og helbredsoplysninger.
»Sikkerhedshændelsen skyldes, at det pågældende netværksdrev er blevet oprettet i en mappe på et fællesdrev, hvorfor netværksdrevet har nedarvet de oprindelige rettigheder. Bruddet blev konstateret den 17. november 2021 og blev afsluttet den 19. november 2021,« skriver Region Syddanmark.
Netværksdrevet 'Forskningsprojekt share' blev benyttet i et sundhedsvidenskabeligt forskningsprojekt og indeholdt filer med CPR-numre og navne på cirka 1700 skolebørn. Bruddet blev konstateret den 3. december 2021 og lukket samme dag.
Fællesdrevet bliver brugt som regionens fælles dokumentopbevaringsplatform, og til de filer med CPR-numre og helbredsoplysninger på har alle regionens medarbejdere haft mulighed for at skaffe sig adgang til. Bruddet blev konstateret 30. december 2021, og dokumenterne er nu slettet. Regionen kan ikke udelukke, at der har været andre dokumenter med personoplysninger, men de er i så fald blevet slettet.
Regionen har iværksat en række såkaldte awareness-initiativer med henblik på undgå lignende situationer i fremtiden.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
