Stort sikkerhedsbrud i Region Syd: Skal underrette 800.000 borgere

Illustration: Schwabenblitz/Bigstock
Alle medarbejdere i Region Syddanmark har i flere år haft mulighed for at tilgå patienters personlige oplysninger. Nu kræver Datatilsynet, at borgerne bliver underrettet - men regionen finder det usandsynligt, at patienternes oplysninger er faldet i forkerte hænder.

Et usikkert it-setup hos Region Syddanmark har i årevis betydet, at tusindevis af medarbejdere havde potentiel adgang til 800.000 borgeres personoplysninger.

Det skriver Datatilsynet i en ny afgørelse.

Regionen har siden 2013 brugt et netværksdrev til midlertidig opbevaring af dokumenter, inden de bliver tilknyttet regionens EPJ-system.

Ifølge Datatilsynet var drevet ikke beskyttet med tilstrækkelig adgangskontrol, og alle Region Syddanmarks ca. 30.000 ansatte havde adgang til drevet og dermed dokumenterne. Adgangen til drevet blev heller ikke logget.

Derfor har Datatilsynet bedt Region Syddanmark om at underrette alle de patienter, der har været behandlet på regionens sygehuse i perioden.

Det gør regionen så nu - dog i form af en pressemeddelelse på grund af problemets omfang.

»Systemet har kørt i syv år og har behandlet patientoplysninger om over 800.000 patienter, og det er ikke praktisk muligt for os at gå så langt tilbage og udpege, hvis patientoplysninger der har været igennem systemet. Derfor vælger vi at leve op til underretningsforpligtelsen via pressen, så vi kommer bredt ud,« udtaler administrerende sygehusdirektør på OUH, Niels Nørgaard Pedersen.

Du kan finde underretningen fra Region Syddanmark her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Louise Klint

Jeg synes også, det ser ud til, at regionen har fået påbud om at informere de berørte borgere personligt.

Det er heller ikke første gang Region Syddanmark her problemer med datasikkerheden på hospitalerne. Sidst mente man heller ikke, at det var nødvendigt at informere de dengang 500.000 involverede patienter.

Datatilsynet skriver i sin afgørelse:

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Region Syddanmarks behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.

Samtidig finder Datatilsynet grundlag for, at meddele Region Syddanmark påbud om at foretage underretning af de registrerede om bruddet på persondatasikkerheden. Påbuddet gives i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra e.

Fristen for efterlevelse af påbuddet er den 26. juni 2020. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet, sammen med en anonymiseret kopi af underretningen. Ifølge databeskyttelseslovens § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra e.

(Via linket i artiklen): https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2020/jun/u...

"Sammen med en anonymiseret kopi af underretningen..." Det burde ikke kunne misforstås, eller forveksles med en pressemeddelelse.

  • 8
  • 0
Louise Klint

Jeg undrer mig også over, at det kan være lovligt, og få lov at fortsætte, denne løsning – ”et midlertidigt drev”.

Javel kan du have en digital ”kladdemappe” til dine egne udkast, derhjemme. Men en tilsvarende ordning, på hospitalerne, som rummer andre menneskers mest private oplysninger, med bred adgang, som ikke er logget, forekommer mig alligevel utrolig, for ikke at sige forrykt. (Noget, man måske kunne retfærdiggøre med simpel uvidenhed engang for 5-10 år siden, men i dag?!) Se at få orden på det!

Region Syddanmark har sløset med datasikkerheden før.

I starten af året kom en lignende sag frem, som V2 også har dækket. Dengang var det Sygehus Lillebælt, der, igennem 5 år, fra 2013-18, havde givet regionens 26.000 ansatte, plus et ukendt antal eksterne samarbejdspartnere, adgang til navn, cpr-nummer og hjerteoplysninger på 504.596 patienter, som havde modtaget behandling på hospitalet i perioden.

Her mente man heller ikke, at det var nødvendigt at informere de berørte patienter eller at der var grund til bekymring. (Det gængse argument, vi har hørt i flæng, gentagende gange, fra anmeldere af eget datalæk; ”der er ikke sket noget”).

27.01.20: ”Uhindret adgang til 500.000 cpr-numre og sundhedsdata i Region Syddanmarkhttps://www.version2.dk/artikel/uhindret-adgang-500000-cpr-numre-sundhed...

27.01.20: ”500.000 cpr-numre lå frit fremmehttps://ekstrabladet.dk/kup/elektronik/teknologi/500.000-cpr-numre-laa-f... https://ekstrabladet.dk/kup/elektronik/teknologi/sygehusdirektoer-efter-... https://dagensmedicin.dk/mads-koch-hansen-stopper-paa-sygehus-lillebaelt/ https://ekstrabladet.dk/kup/elektronik/teknologi/efter-afsloering-af-cpr...

28.01.20: ”Region Syddanmark hemmeligholdt læk af 500.000 CPR-numre: »Umuligt eller vanskeligt at underrette borgerehttps://www.version2.dk/artikel/region-syddanmark-hemmeligholdt-laek-500...

31.01.20: ”Professor kritiserer Region Syddanmarks direktør i sag om stort CPR-lækhttps://www.version2.dk/artikel/professor-kritiserer-region-syddanmarks-...

  • 6
  • 0
Jan Weis

Ved ikke, om Region Syd er den eneste IT-sorteper blandt danske regioner, men for henved et års tid siden blev de gjort opmærksom på, at det næppe var i overensstemmelse med gældende regler for beskyttelse af persondata, når man i køen til blodprøvetagning kørte sit sygesikringskort gennem den til tidsbestilling bestemte kortlæsesprække og fik sit fulde navn klasket op på displayet og i bakspejlet kunne være vidne til, at stort set alle i hele den bagvedstående kø strakte hals og kunne læse det fulde navn på svingeren af sundhedskortet – at ikke også personnummeret stod med store tal i fed-kursiv var åbenbart kun en forglemmelse fra programmørens side …

En henvendelse til Regionens ansvarlige jurister gav ikke i første omgang noget resultat, man var ikke mentalt forberedt på, at der kunne være et problem, hvilket blev meddelt i det sædvanlige afvisende kancellisprog – men næste gang blodet skulle tjekkes, stod kun fornavnet og ingen strakte hals – bit-nissen was here …

Det er den sædvanlige gang offentlig underholdning – man henvender sig med et konkret problem, bliver besnakket, talt ned til og intet bliver indrømmet – men næste gang ses problemet på forunderlig vis at være løst …

  • 5
  • 0
Louise Klint

Jeg mener, det er essentielt at informere borgerne, de berørte patienter. Dels fordi det berører deres egne personoplysninger, men i lige så høj grad således borgerne får et indblik i – kendskab til – det offentliges håndtering af vores allermest følsomme og private oplysninger.

Således borgerne får et retvisende billede af tingenes tilstand.

Hvis man, fra myndighedernes side, hver gang gemmer sine egne fejl og sjuskeri væk, og undlader at oplyse - hvilket vi har set en række eksempler på, også fra kommuner - så giver det falsk tryghed.

Lige så vel som at den uansvarlige håndtering bare kan få lov at fortsætte. Lemfældighed og datalæk gentage sig igen og igen.

I forbindelse med den forrige sag ^^ kom det frem, at Region Syddanmark har haft en række brud på datasikkerheden, i 2018 og 2019, og at deres tiltag for at forbedre sikkerheden ikke har virket, faktisk tværtimod – der er sket endnu flere sikkerhedsbrud:

Flere sikkerhedsbrud: Tiltag virker ikke

Det er ikke første gang, at Region Syddanmark har været i dialog med Datatilsynet, som behandler alle sager om brud på datasikkerheden.

I 2018 anmeldte Region Syddanmark 22 tilfælde af sikkerhedsbrud, hvilket kom frem i forbindelse med en årsrapport.

Det fik informationschef i regionen Nicolai Arvedsen til at fortælle om regionens styrkede indsats. ’Vi forsøger at lave ’awareness-tiltag’. De ansatte vil blandt få undervisning i den rent praktiske håndtering af personoplysninger’, sagde regionens funktionschef for informationssikkerhed, Nicolai Arvedsen, 16. april til JydskeVestkysten.

Tilsyneladende har tiltagene ikke virket endnu, for tallet er steget med en tredjedel i 2019.

Sikkerhedsbruddene resulterede nemlig i 33 anmeldelser til Datatilsynet, viser spritnye tal, som Ekstra Bladet har fået aktindsigt i.

27.01.20: https://ekstrabladet.dk/kup/elektronik/teknologi/sygehusdirektoer-efter-...

Det skal ikke fejes ind under gulvtæppet.

  • 5
  • 0
Log ind eller Opret konto for at kommentere