Odense Universitetshospital i Region Syddanmark
Odense Universitetshospital i Region Syddanmark

Foto : OUH

Region Syddanmark anmelder ni brud på persondatasikkerheden

Region Syddanmark har konstateret brud på persondatasikkerheden i ni af regionens it-systemer, der i alt berører op mod 2000 af regionens patienter.

Region Syddanmark skriver i en pressemeddelelse, at regionen har opdaget en række 'brud på persondatasikkerheden' i intet mindre end ni af regionens systemer. Bruddene er blevet meldt til Datatilsynet og borgerne underrettes med pressemeddelelsen, lyder det.

Det var interne undersøgelser af sikkerheden omkring en række delte netværksdrev, der fandt frem til bruddene, lyder det.

»Som del af Region Syddanmarks løbende indsats for proaktivt at forebygge og opspore potentielle sikkerhedsbrud blev der i foråret 2020 igangsat i en omfattende og grundig intern undersøgelse(...). Den interne undersøgelse blev igangsat af regionen på eget initiativ og har tidligere resulteret i to anmeldelser til Datatilsynet.«

Det er med andre ord den tredje anmeldelse til Datatilsynet som følge af denne ene undersøgelse. Tilsynet har i forvejen indstillet regionen, som den eneste dataansvarlige i Danmark, til to GDPR-bøder på hver 500.000 kroner.

Konkret er der tale om CPR-numre, scanningsbilleder, behandlingsinformationer og helbredsoplysninger på patienter. Derudover har op mod 4000 medarbejdere i Region Syddanmark kunnet tilgå et sagsbehandlingssystem, der håndterer personalesager, borgersager og arbejdsskadesager.

Regionen skriver, at man i denne sag bør huske, at alle medarbejdere i regionen er underlagt tavshedspligt, så de deler ikke de oplysninger, som de får i løbet af arbejdsdagen, med andre.

Undersøgelsen er stadig i gang - ingen logning

Mens regionen siger, alle bruddene er lukket, skriver den også i pressemeddelelsen, at undersøgelsen og oprydningen stadig er i gang:

»Alle otte sikkerhedsbrud er blevet håndteret. Region Syddanmark vil fortsat arbejde med en proaktiv og struktureret indsats omkring forebyggelse og opsporing af eventuelle lignende sikkerhedsbrud. Derudover har Region Syddanmark separat fra denne undersøgelse konstateret et sikkerhedsbrud i regionens elektroniske sags- og dokumenthåndteringssystem Acadre,« skriver regionen, der altså når op på ni brud.

Det konkrete brud på persondatasikkerheden i de otte systemer bestod i, at det var muligt for andre medarbejdere end dem, der var tilknyttet patienten, at tilgå dokumenter fra systemets netværksdrev, skriver regionen.

»Det har dog været meget kompliceret at få adgang til de fællesdrev, der indeholdt personoplysninger. For at lokalisere og få adgang til netværksdrevene skulle en medarbejder aktivt lede efter det, lyder det i pressemeddelelsen, der også skriver, at de mange persondata på fællesdrevene ikke var navngivet med persondata, men var en sammensætning af information, 'der kun var forståelig for de medarbejdere, der arbejdede med de pågældende patienter'.

Der var ingen logning på de pågældende netværksdrev, hvorfra data kunne tilgås. Derfor har det ikke været muligt at kontrollere, om ansatte har tilgået personoplysninger uberettiget, skriver regionen.

ComplianceTechs søstermedie Version2 følger op på sagen snarest.

Prøv ComplianceTech

ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder. Vi udgiver løsningsorienterede artikler om data compliance og konkrete værktøjer til, hvordan din organisation overholder reglerne og er compliant på den mest effektive måde - uanset om det handler om GDPR, cookies, NIS-loven eller ISO-standarder.

Klik her