Styrelse får kritik for at sende 900 sider personfølsomme patientdata med mail-løsning

4 kommentarer.  Hop til debatten
En medarbejder i Styrelsen for Patientsikkerhed er ved et uheld kommet til at sende 900 siders personfølsomme patientdata uden 2-faktor autentifikation.
26. april 2017 kl. 15:08
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Styrelsen for Patientsikkerhed har videresendt 900 siders personfølsomme patientdata uden 2-faktor autentifikation, hvilket ellers er kravet. Det fremgår af en afgørelse, som netop er offentliggjort på Datatilsynets hjemmeside, hvor Datatilsynet kalder episoden kritisabel.

Det er modtageren selv – i afgørelsen omtalt som ”K” – der har klaget til Datatilsynet.

Styrelsen for Patientsikkerhed benytter sig af løsningen Blue-whale i de tilfælde, hvor omfanget er for stort til at blive sendt via Digital Post. Her fremsendes links til dokumenterne i en e-mail. Der ledes så videre til et link, hvor borgeren skal logge ind via en PIN-kode, som er blevet tilsendt på mobilen.

Men denne gang kom styrelsen altså til at sende samtlige 900 sider ved et uheld.

Artiklen fortsætter efter annoncen

Den normale procedure om 2-faktor autentifikation fandt dog sted, men først efter alle 900 sider var sendt ubeskyttet til ’K’. Han modtog efterfølgende den normale mail, som indeholdt et link til siden, hvor PIN-koden skulle indtastes.

’K’ henvendte sig til Styrelsen for Patientsikkerhed efterfølgende, men ifølge Datatilsynets afgørelse reagerede styrelsen ikke på henvendelserne.

Burde slet ikke være muligt

Styrelsen for Patientsikkerhed har undskyldt sig med, at når oplysninger sendes via Blue-whale, så sker det gennem en ”stærk kryptering” (HTTPS/TLS). Men det har Datatilsynet altså ikke godkendt som værende en ordentlig undskyldning.

Styrelsen har oplyst, at de er i dialog med deres leverandør om muligheden for at fjerne risikoen for, at en medarbejder kommer til at sende oplysningerne uden den fornødne beskyttelse.

Artiklen fortsætter efter annoncen

Det fastslås i afgørelsen, at Datatilsynet indskærper styrelsens ansvar for, at medarbejderne ikke begår lignende fejl, så længe, at muligheden ikke er fjernet af leverandøren.

Ikke første gang

Og det er ikke første gang, at Styrelsen for Patientsikkerhed frit har sendt mails med personfølsomme patientdata uden nogen form for beskyttelse. I 2016 havde en læge problemer med at åbne PDF-dokumenter om syv patienters klagesager, hvorefter han sendte dem til sig selv. Desværre dukkede de aldrig op.

Det viste sig efterfølgende, at de var sendt til en forkert mailadresse. Desværre var det ikke bare en tilfældig borger, hvis mailadresse tilnærmelsesvis lignede den pågældende læges, men derimod en ’malicious’ adresse, designet til at opsnappe fejlsendt data.

Dengang, i august 2016, lovede daværende Sundhedsminister, Sophie Løhde, at sætte et hold eksterne konsulenter til at gennemføre et ’serviceeftersyn’ af hele Sundheds- og Ældreministeriets koncern.

På Bluewhales hjemmeside er it-chef ved Styrelsen for Patientsikkerhed, Jens Pilekær Henriksen, taget til indtægt for dette PR-fremstød:

»Vi vil bestemt anbefale andre offentlige instanser at bruge Bluewhale. Det er trygt for borgerne og nemt for os.«

Det lader vi stå for sig selv.

4 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
4
28. april 2017 kl. 12:40

Man kunne gennemføre en rituelt ofring men den ville nok ramme en menig medarbejder og ikke en leder-ansvarlig.

Det er nu engang ulig nemmere at idømme bøde eller anden profan straf end at placerer ansvar, og alene udtrykket 'gennemføre et serviceeftersyn' af arbejdet i et af de større ministerier er jo god presse men en nærmest umulig opgave.

Jeg vil tro at det at forandre noget radikalt er for stor en opgave i forhold til kerneopgaven, eksempelvis i dette ministerium, og for den sags skyld også i andre større organisationer, og så tager man i stedet sagerne og venter på at de blæser over.

Krypter alt, alle vegne, hele tiden. Så kommer vi da et godt skridt videre.

3
27. april 2017 kl. 13:56

Kommer ikke til at ske. HVIS der kommer straffe, så bliver det en "næse" - "Det må du ikke!"

Det håber jeg ikke du har ret i. Selvfølgelig tager det tid, men jeg håber inderligt at der vil ske en ændret opfattelse i befolkningen der sidestiller denne slags sløseri med det sløseri det også er at blive taget i at køre for hurtigt ned af Nørrebrogade i en stor lastbil midt i myldretrafikken. At man gør noget ubevidst eller uden fuldt overlæg fratager ikke en i at skulle udvise rettidig omhu og tage konsekvenserne af sine handlinger.

1
26. april 2017 kl. 23:25

Kritik mig her og indskærpelse mig der. Hvornår ser vil nogle reelle fyringer, bøder og fængselsstraffe? Det er jo sjovt nok heller ikke lovligt at køre over for rødt, køre for hurtigt eller begå hærværk bare fordi det sker i forbindelse med mit arbejde.