Det var under et forsøg på at omgå en genstridig PDF-viewer, at en læge i Styrelsen for Patientsikkerhed fik sendt følsomme patientdata i hænderne på en modtager, som med stor sandsynlighed er kriminel.
Det fremgår af en redegørelse fra Styrelsen for Patientsikkerhed i sagen om læk af følsomme patientdata, som vi omtalte på Version2 i går. Redegørelsen er sendt til Folketingets sundhedsudvalg af sundhedsminister Sophie Løhde.
Lægen i Patientsikkerhedsstyrelsen ville åbne for PDF-dokumenter i patientklagesager om syv patienter i organisationens lukkede Citrix-miljø den 20. august. Men det mislykkedes, hvorfor lægen sendte filerne til sin egen private e-mail.
Imidlertid dukkede filerne ikke op, og en nærmere granskning afslørede, at der var tastet en forkert e-mailadresse.
Da afsenderen ikke havde modtaget en fejlmeddelelse, var konklusionen fra it-chefen i styrelsen, at de fire e-mails sandsynligvis var havnet hos en forkert modtager, som man dog først antog var lødig og altså kunne kontaktes med henblik på at få de fejlsendte e-mails slettet.
Efter nærmere undersøgelse meldte mistanken sig om, at domænet, som e-mailen var sendt til, bevidst var etableret med henblik på at høste fejlafsendte data. En undersøgelse af webdomænet bekræftede, at domænet var 'malicious', fordi trafik dertil blev videresendt til sites med malware.
»Det besluttedes, at den normale praksis med at minimere konsekvenserne af et datatab ved at søge data slettet gennem kontakt med dem, der uberettiget er kommet i besiddelse af dem, ikke kan finde anvendelse i denne sag. Årsagen er, at modtageren uden for enhver tvivl må antages at være kriminel,« skriver styrelsen i sin redegørelse i sagen.
Styrelsen frygter, at en henvendelse blot kan forværre brøden, idet det kan øge opmærksomheden på styrelsens IP-adresser, men også på følsomheden af de data, der er lækket.
Den sagkyndige læge fik også i forløbet suspenderet sin sagsbehandling og mulighed for at sende e-mails ud af huset.
Der er også sket datalæk i Sundhedsdatastyrelsen. Her bestod fejlen i, at en borger i forbindelse med en aktindsigt fik tilsendt sin egen og en anden borgers aktindsigt i e-Boks, som indeholdt personfølsomme oplysninger. E-mailen indeholdt oplysninger om CPR-nummer, patienttype, behandlingssted, behandlingstidspunkt, sengedage, diagnosekoder mv.
Sundhedsminister Sophie Løhde sætter nu eksterne konsulenter til at gennemføre et 'serviceeftersyn' af hele Sundheds- og Ældreministeriets koncern, heriblandt de fem styrelser, som hører under ministeriet, for at sikre, at man 'håndterer personfølsomme oplysninger korrekt i alle arbejdsgange, så de ikke udleveres til uvedkommende'.
Læs hele redegørelsen fra Styrelsen for Patientsikkerhed her.