Uhindret adgang til 500.000 cpr-numre og sundhedsdata i Region Syddanmark

Illustration: joystd77/BigStock
Regionen har ikke ulejliget sig med at informere de berørte patienter.

I mere end fem år havde flere tusinde ansatte i Region Syddanmark adgang til navn, cpr-nummer og hjerteoplysninger på 504.596 patienter, som havde besøgt Sygehus Lillebælt mellem 2013 og 2018.

Læs også: Computerløse borgere rådes til farlige NemID-login på offentlige computere

Herunder alle Region Syddanmarks 26.000 ansatte fra studentermedhjælpere til direktører og et ukendt antal samarbejdspartnere fra ind- og udland, skriver Ekstra Bladet.

Regionerne indrømmer, at konsekvenserne kan være omfattende, blandt andet fordi de mange data kan bruges til omfattende identitetstyverier.

Læs også: Silkeborg Kommune lækker 537 CPR-numre til én borger

Det fremgår af Region Syddanmarks egen anmeldelse til Datatilsynet fra 1. juni 2018, som Ekstra Bladet har fået aktindsigt i.

Patienterne har aldrig fået direkte besked om sagen.

»Det synes jeg fandeme er frækt. Det har jeg jo slet ikke hørt,« siger den 66-årige patient Jette Hansen, da Ekstra Bladet på Sygehus Lillebælts parkeringsplads fortæller hende om fejlen i Sygehus Lillebælts it-system.

Læs også: Datatilsynet udtaler alvorlig kritik: Underleverandør kunne ikke garantere sikker opbevaring af CPR-numre

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anne-Marie Krogsbøll

"Det fremgår af Region Syddanmarks egen anmeldelse til Datatilsynet fra 1. juni 2018"​

1 1/2 år siden? Hvorfor kommer det først frem nu? Skulle de berørte ikke have været orienterede? Og hvad er Datatilsynet så kommet frem til? Et lille "Fy" - og nu må vi se fremad"?

Hvis ikke det er en konspiration i toppen at holde potentielle læk af den størrelse "hemmeligt", så ved jeg ikke, hvad man skal kalde det.

Sig efter mig i kor (med messende, hypnotiserende tonefald): "Du slapper helt af og har det raaart - du slapper helt af, og har det dejliiiigt... Du giver mig dine data, og er helt tryyyyg.... Du har ikke grim mistillid (FY)... Du slapper helt og og giver mig alle dine data... TRyyyg..... Tryyyg.... Har det dejliiigt.... Tryyyyg....

  • 10
  • 0
#2 Claus Bobjerg Juul

Datatilsynet er ved at nedbryde tilliden til staten. Politiet kan ikke finde ud af at behandle data, SKAT kan ikke finde ud af at behandle data og der er ikke noget der straffes for den uduelighed der hersker.

Lad endelige datatilsynet fortsætte sin praksis med ikke at ville tildele straf til offentlige myndigheder, men går efter at straffe mindre private firmaer. På et tidspunkt vil hele Danmark bare grine af dem og der bliver renset grundigt ud i ledelsen og måske også på ministerniveau.

  • 12
  • 0
#3 Louise Klint

Det er halvandet år siden. Hvor længe har Datatilsynet sagsbehandlet, og hvad blev resultatet?

Det sædvanlige? At tilsynet udtaler ”alvorlig kritik” (skrevet med fed)?

(Som vi har set alt for mange gange, senest forleden, som ingen her på V2 orker at kommentere længere). 22.01.20: https://www.version2.dk/artikel/datatilsynet-udtaler-alvorlig-kritik-und...

Og så kan Region Syd sige som politiet, der anmeldte sig selv 100 gange til Datatilsynet i 2019: ”Hele området tages meget alvorligt af Rigspolitiet, som løbende uddanner medarbejdere, så også menneskelige fejl reduceres...” 20.01.20: https://www.dr.dk/nyheder/indland/politisjusk-med-persondata-glemte-doku... https://www.version2.dk/artikel/forlagte-rapporter-forkerte-sigtelser-10...

  • 11
  • 0
#5 Anne-Marie Krogsbøll

Tak, Louise Klint.

Men det er da bindegalt, at Datatilsynet er så mundlamme.

Fra EB-artiklen: Han og den øvrige ledelse mente ikke, at oplysningerne skulle ud, da de kunne skabe unødig utryghed blandt patienterne, fremgår det af papirer i sagen."

JA!!!!!!!!!!!!!!!!!! Og har det mon også være Datatilsynets motiv til, at der har skullet søges aktindsigt, før denne sag kom frem - eller hvad foregår der?

Her har vi for mig at se den rygende pistol for min påstand om, at der er en egentlig konspiration i toppen omkring at holde kritik og risici og læk omkring sundhedsdata (og andre offentlgie data) borte fra offentlighedens kendskab.

Nu siger jeg det højt og tydeligt, efter at det er blevet sværere og sværere at komme uden om den erkendelse de senere år: Der ser ud til at være en reel konspiration i samfundstoppen omkring at lyve og bedrage overfor befolkningen på dataområdet! Der er ingen mulighed for at komme uden om den stærke mistanke mere! Der er ingen andre forklaringer, der giver mening.

Hvem der præcist indgår i den konspiration, ved jeg ikke. Og om der ligefrem er tale om, at man har siddet og holdt møder aller øverst oppe bag lukkede døre, hvor man har aftalt, at større datahændelser og manglende sikkerhed ikke må komme til offentlighedens kendskab (det skulle ikke undre mig), eller om der mere er tale om stiltiende fælles interesser og enighed om målet: grænseløs, altomfattende borgerovervågning og digitalisering, ved jeg heller ikke. Men der ser ud til på topplan at være en enighed om, at borgere i Danmark må og skal tvinges til at være databacongrise i erhvervslivets datastorstalde, uanset om de vil eller ej, og de evindelige databrud er en trussel mod disse store, totalitære visioner - så hvad gør man? Man holder, tror jeg - så vidt det lader sig gøre - disse dataskandaler hemmelige.

Der er tale om sammenfaldende interesser i toppen: Erhvervsliv, politikere, forskere og de dertil tilknyttede topembedsfolk, har fælles interesser i at hemmeligholde databrud og datarisici, så uanset om man direkte sidder på skumle kontorer og aftaler mørklægning, eller man bare har en underforstået fælles interesse, så er resultatet det samme: Vi borgere bliver udsat for en - aftalt eller bare sammenfald af interesser - kæmpekonspiration fra samfundstoppen på dataområdet.

Af artiklen fremgår, at også et ukendt antal samarbejdspartnere i ind og udland har haft adgang. Det er jo helt ufatteligt. Så direktørens forsøg på beroligelse her er fuldstændigt latterlige: https://ekstrabladet.dk/kup/elektronik/teknologi/sygehusdirektoer-efter-...

Inden længe får vi forhåbentligt fortsættelsen på SSI-sagen. Men jeg gætter på, at heller ikke den kommer frem i lyset frivilligt - der skal sikkert vedholdenhed og graverarbejde til, og måske får vi aldrig den fulde sandhed, for der er potentiale til en ligeså stor skandale.

Overvågningskapitalisterne har overtaget styringen i Danmark, og enten forvredet hovedet på eller bestukket vore topbeslutningstagere på dataområdet - og vi borgerne er ofrene.

  • 7
  • 2
#6 Louise Klint

Det virker ikke til, at sagen får nævneværdige konsekvenser.

Sygehusdirektøren meddeler i dag at han stopper. Men det er først til sommer, for at blive selvstændig, ifølge regionen. Ikke på grund af Datatilsynet. Hvis afgørelse faldt for godt 1 år siden (19.12.18) cirka ½ år efter anmeldelsen (01.06.18). Datatilsynet udtaler kritik (rigtignok med fed). Det er det.

Kan læses via linket til Ekstra Bladet i artiklen. https://ekstrabladet.dk/kup/elektronik/teknologi/500.000-cpr-numre-laa-f...

I 2018 anmeldte Region Syd 22 tilfælde af sikkerhedsbrud til Datatilsynet. Og blot endnu flere året efter – 33 anmeldelser i 2019. (ifølge aktindsigt EB har fået). https://ekstrabladet.dk/kup/elektronik/teknologi/sygehusdirektoer-efter-...

Er vi til grin?

  • 9
  • 0
#8 Anne-Marie Krogsbøll

Er vi til grin?

Ja, i den grad. Det er nærmest for mildt udtrykt, når man tænker på, hvor mange gange vi i de 1 1/2 år har hørt forsikringer om, at man prioriterer datasikkerheden højt, og at myndighederne har helt styr på det. Alt imens myndighederne har kendt til denne sag.

Hvem har været orienterede om sagen? Rigsrevisionen? Statsrevisorerne? Ministeriet? Regeringen? Regionsledelsen? Alle folketingsmedlemmerne? Hvorfor har der ingen whistleblowere været?

Det kunne være rart, hvis nogen - det burde jo være Datatilsynet - afdækkede, hvem alle de pågældende samarbejdspartnere i ind- og udland er? Hvor alvorlig og omfattende er denne del af hændelsen? Hvilke firmaer og forskere er der tale om?

  • 7
  • 0
#11 Louise Klint

Men er det pga. loven? (Den danske versionering af GDPR, Databeskyttelsesloven).

At Datatilsynet blot fungerer som alibi?

At tilsynet sagsbehandler til den store guldmedalje, træffer utallige afgørelser og udtaler kritik, men det gør absolut ingen verdens forskel.

Fordi der skal indgives politianmeldelse, hvis det skal føre til bøder og sanktion? Eller?

(Og der bliver ikke indgivet politianmeldelse, så længe myndighederne, i dette tilfælde Region Syd, går stille med dørene, så sikkerhedsbruddet ikke kommer til de impliceredes/patienternes kendskab?)

  • 6
  • 0
#15 Anne-Marie Krogsbøll

Fra eb.dk i dag: "Selvom regionen fra begyndelsen fastslog, at identitetstyveri var blandt de 'sandsynlige konsekvenser' i anmeldelsen til Datatilsynet, så har det aldrig ligget i kortene, at de berørte skulle have nys om sagen. Det fremgår af dokumenter mellem Region Syddanmark og Datatilsynet, som Ekstra Bladet har fået aktindsigt i. Det ville ifølge regionen være for svært. ’Det vil være umuligt eller uforholdsmæssigt vanskeligt at underrette de berørte personer,’ angiver regionen i anmeldelsen til Datatilsynet." https://ekstrabladet.dk/kup/elektronik/teknologi/saadan-blev-cpr-sjusk-m...

Så: - Rigtigt mange myndigheder og politikere kendte til sagen allerede i 2018. - Datatilsynet var bekendt med, at de ramte ikke ville blive underrettet, men gjorde intet. - Undskyldningen (den skriftlige) overfor Datatilsynet var, at det ville være for svært at underrette. BULLSHIT! Man underretter borgerne om alt muligt andet, og har masser af kanaler til at underrette. Og i følge EB i går var motivet til ikke at underrette et helt andet:

Han og den øvrige ledelse mente ikke, at oplysningerne skulle ud, da de kunne skabe unødig utryghed blandt patienterne, fremgår det af papirer i sagen."

(hvilket er ligeså meget bullshit)

Så **"JO!" - der var en "konspiration" **- en hemmelig enighed i toppen om, at dette ikke skulle ud.

Så meget for grunde til at have tillid til vore myndigheder på dataområdet. Vi bliver kuppet, fuppet og ført bag lyset af beslutningstoppen på dataområdet, inkl. Datatilsynet, som villigt spiller med i bedraget af borgerne - de er nærmest skalkeskjul for dette.

Vi aner ikke, hvad der foregår, mens de råber op om, at vi kan have tillid til dem - alt imens de plastrer samfundet til med mere og mere overvågning og datastjælende "services" - som i virkeligheden er en service for tech-giganter og andre pengemænd. Måske er denne sag bare toppen af isbjerget af mørklagte sager?

Hvor har sagen gemt sig i de 1 1/2 år? Har nogen tippet EB? Har Datatilsynet lister over samtlige sager, de har behandlet - en liste, som man kan få indsigt i - eller skal man falde over sagerne ved et tilfælde/whistleblowing for at blive klar over dem?

Jeg er godt nok harmdirrende over denne sag - der er absolut intet, vi kan tro på af, hvad myndigheder siger, når det drejer sig om datatyverier - det er topsecret, mere secret end millitærhemmeligheder, samtidig med, at der råbes op om transparens og tillid.

Kammerat Napoleon 1984 NewSpeak

  • 5
  • 0
#17 Joe Sørensen

Som jeg ser det, så er det første skidt til at begrænse de data læg der sker, at man begynder at erkende at de sker. Og at de er forkerte. Vores reaktion skal ikke være: "De indrømte en fejl! Brænd dem på bålet!"

Her har vi et eksempel, hvor de anmælder sig selv, på ca det tidspunk hvor de øgede straffe for i GDPR bliver indført. Det vil sige, at de op til indførselen af GDPR har været deres systemer igennem og fundet et problem. De er så heldige at de har mulighed for at slippe for en bøde, hvis de øjeblikkelig lukker problemet hurtigst mulig. Hvilket de allerede havde gjort.

Problemet er nu stoppet. Og det er efter min mening selve målet. Hvad skulle målet ellers være? At regionen nu skal sende penge til regionen borgere? Hvordan skal regionen få råd til det? Ved at kræve dem ind som skat fra regionens borgere? Eller spare penge på sygehuse i regionen? Hvilket problem skulle det løse? Hvorfor giver det mening at have det som mål?

Lad os indrømme, at den fejl de har begået, er meget almindelig. Mange virksomheder har begået den fejl. For få år siden, var det en almindelig holding i befolkningen, at ingen ansatte i sundhedsvæsenet skulle være begrænset i deres adgang til data om patienter. Det kunne jo potentielt forringe en behandling, hvis der manglede adgang.

  • 0
  • 1
#18 Niels Madsen

Måske er det derfor at medlemmer af Datarådet alle uden undtagelse skal udpeges af justitsministeren eller erhvervsministeren, og skal sikkerhedsgodkendes.

Man må være sikker på at de kan holde helt tæt, ikke af hensyn til datasikkerhedden i samfundet, men af hensyn til befolkningens tillid. Denne tillid er jo sat til salg, og varen skulle jo blive defekt før sidste leverance sendt til de glade købere, og betalingen er afregnet.

Det er utroligt hvis det er lykkedes blilde nogen magthavere ind at tillid, i modsætning til alt andet både kan sælges og beholdes på en gang.

  • 3
  • 0
#19 Anne-Marie Krogsbøll

Joe Sørensen:

Hvorfor holder de det hemmeligt?

Ingen har argumenteret for erstatninger (endnu), men bare for at vi skal kunne stole på vore myndigheder, som i stedet konsekvent lyver om, hvor sikre vore data er - fordi de har gang i utallige business cases, hvor borgernes data indgår, og de visioner må ikke forstyrres af kendsgerninger som elendig datasikkerhed, for så bliver der oprør, og så bliver vennerne i medicinalindustrien og Silicon Valley sure...

Hvis ikke sager som denne er præcist det modsatte af dataetik, så ved jeg ikke, hvad det er.

De samme folk/lobbyister i toppen, som lægger linjen i disse sager, er samtidig dem, som taler for mere og mere ubegrænset og tvunget dataindsamling. De har nogle hemmelige visioner for fremtidens totalitære samfund, som skal gennemføres med afskaffelsen af menneskeretten til privatliv - men det kan de ikke sige åbent, for så vil befolkningen gøre oprør. De har derfor - i et eller andet forum, eller stiltiende via fælles interesser - besluttet, at befolkningen ikke kan tåle at høre sandheden om datatyverier og datasikkerhed. De skal holdes i uvidenhed så længe som muligt.

Den eneste mulige konklussion er efterhånden, at vi ikke kan tro på vore myndigheder over en dørtærskel på dataområdet - det er løgn, næsten fra ende til anden, hvad der kommer ud af munden på dem på dette område.

Hvis vi ikke må kritisere myndigheder, som lyver i stor stil for os den ene gang efter den anden, og fører os bag lyset med figenblade som Datatilsynet, Dataetisk råd, Digitaliseringsforstyrrelsen, Sundhedsdataforstyrrelsen osv., så kan vi ligeså godt opgive demokratiet.

Vi bliver kuppet. Dataovergrebene - de tvungne privatlivstyverier - er nok. De skal f.... ikke også lyve for os. Vi er deres arbejdsgivere, ikke deres dataslaver.

  • 3
  • 0
#20 Kenneth Raarup Dornhoff

Regionen skal da ikke sende penge til borgerne, medmindre der er skadelidte, hvilket nok næppe er tilfældet her. Regionen skal derimod sørge for at underrette og effektivt orientere (samtlige!) de berørte personer om omfanget af denne datalæk; det er det absolut mindste, man kan forlange i en så alvorlig sag som denne.

At man forsøger at gøre det stik modsatte er faktisk skandalen, der overskygger skandalen!

  • 6
  • 0
Log ind eller Opret konto for at kommentere