500.000 cpr-numre lå frit fremme

DATAKOKS: Samtlige ansatte hos Region Syddanmark og flere samarbejdspartnere også i udlandet har i mere end fem år haft uhindret adgang til patienters data

Få et skarpt overblik i sagen her. Producer: Lasse Brøndal.

Ved du noget?

Tip os på sms 1224 (alm. sms-takst), eller send en mail til 1224@eb.dk. Du kan også vælge at udfylde formularen herunder.

I mere end fem år havde flere tusinde ansatte i Region Syddanmark adgang til navn, cpr-nummer og hjerteoplysninger på 504.596 patienter, som havde besøgt Sygehus Lillebælt mellem 2013 og 2018.

Alle Region Syddanmarks 26.000 ansatte fra studentermedhjælpere til direktører og et ukendt antal samarbejdspartnere fra ind- og udland havde adgang til de fortrolige oplysninger.

Regionen er ikke bleg for at understrege, hvor alvorlige konsekvenser brøleren kan få for patienterne.

Regionen vurderer, at oplysningerne kan give patienterne ’skade på omdømme’ og kan bruges til ulovlige formål, såsom ’identitetstyveri’.

Det fremgår af Region Syddanmarks egen anmeldelse til Datatilsynet fra 1. juni 2018, som Ekstra Bladet har fået aktindsigt i.

Sagen kort

2013/2014: Region Syddanmark kender i dag ikke den præcise dato, hvor it-fejlen opstår. Den betyder, at regionens 26.000 ansatte plus et ukendt antal samarbejdspartnere også uden for Danmark får adgang til over en halv million patienters dybt fortrolige oplysninger.

18. maj 2018: Region Syddanmarks databeskyttelsesrådgiver orienterer regionens øverste embedsmand, Jane Kraglund, om it-fejlen. Fem dage senere lukkes den frie adgang til data.

1. juni 2018: Regionen anmelder sagen til Datatilsynet. I en senere redegørelse fra lægelig direktør på Sygehus Lillebælt, Mads Koch Hansen, kaldes risikoen for, at data er blevet misbrugt, ’meget usandsynlig’.

19. december 2018: Datatilsynet giver Region Syddanmark kritik i sagen.

’Fuldstændig vanvittigt’
Hos it-sikkerhedsekspert Peter Kruse, som er stifter af cybersikkerhedsfirmaet CSIS, vækker fejlen på Sygehus Lillebælt, der har afdelinger i Vejle, Middelfart og Kolding, stor bekymring.

– De siger, at det har stået på i fem år. Det er fuldstændig vanvittigt, og det er et brud af format. Det er data af den kaliber, hvor det er rigtig kritisk. Vi er i den tunge ende, lyder det fra Peter Kruse.

Regionen medgiver i anmeldelsen til Datatilsynet, at oplysninger kan bruges til ’andre formål’ – og Peter Kruse forholder sig meget kritisk til, hvad de mere end 26.000 ansatte og eksterne samarbejdspartnere, der har haft adgang, har kunnet bruge oplysningerne til.

- Ansatte har haft frit slag til at trække persondata ud på deres naboer og familiemedlemmer, pointerer it-sikkerhedseksperten.

Sikkerhedseksperten Peter Kruse kalder sagen fra Region Syddanmark for meget alvorlig. I dag ved ingen nemlig, om de dybt personlige data er blevet misbrugt. Foto: Jan Dagø
Sikkerhedseksperten Peter Kruse kalder sagen fra Region Syddanmark for meget alvorlig. I dag ved ingen nemlig, om de dybt personlige data er blevet misbrugt. Foto: Jan Dagø
 

Patient: Uforskammet
Det er først, efter Ekstra Bladet er gået ind i sagen, at den kommer ud i en bred offentlighed. Patienterne har nemlig aldrig fået direkte besked om sagen. Og det kommer som et chok for blandt andre 66-årige Jette Hansen, at flere tusinde ansatte i Region Syddanmark har haft fri adgang til hendes personlige oplysninger.

- Det synes jeg fandeme er frækt. Det har jeg jo slet ikke hørt, tordner den forurettede Kolding-borger, da Ekstra Bladet på Sygehus Lillebælts parkeringsplads fortæller hende om fejlen i Sygehus Lillebælts it-system, hvor der var adgang til de fortrolige oplysninger.

- Og selvfølgelig skal vi have det at vide. Det skal man da fortælle. Det er uforskammet at lade være. Virkelig uforskammet, siger Jette Hansen, da Ekstra Bladet viser hende de hidtil ikke-offentliggjorte dokumenter i sagen.

For dårligt
Irene Olesen, som også har været patient på Sygehus Lillebælt i perioden, er enig.

– Det er fandeme for dårligt, at man ikke får noget at vide. Det kan da ikke være rigtigt, og de kan bare komme ud med det, siger Irene Olesen.

En tredje patient, 56-årige Pia Maintz, går skridtet videre. Hun mener, at den ansvarlige direktør må gå af.

- Han skulle da bare af.

- Hvad mener du med det?

- Ja, han skulle simpelthen fyres, lyder det oprevet fra Pia Maintz.

Aner ikke hvor data er

Regionen indrømmer over for Datatilsynet, at den ikke har haft en overvågning, som i fagsprog bliver kaldt logning, på databasen. Det viser Region Syddanmarks redegørelse i sagen, som Ekstra Bladet har fået aktindsigt i. Det var ellers et krav for myndigheder, mens data lå frit fremme.

Og det er ikke muligt at installere overvågning med tilbagevirkende kraft. Regionen aner derfor ikke, om de 26.000 ansatte og eksterne samarbejdspartnere, der har haft adgang, har misbrugt oplysningerne, eller om it-kriminelle har fået fingre i data.

Ikke forsvarligt
Jens Heyn Roed Andersen er selvstændig cybersikkerhedskonsulent med mange års it-sikkerhedserfaring fra større danske virksomheder. Og han mener, den manglende overvågning er dybt kritisabel.

- Det er ikke forsvarligt ikke at have overvågning på, når man arbejder med sundhedsdata og personfølsomme oplysninger, siger Jens Heyn Roed Andersen, der blandt andet hjælper kunder i sundhedsindustrien.

Direktør: Data er blevet brugt
Mads Koch Hansen, som er lægelig direktør på Sygehus Lillebælt, mener ifølge regionens redegørelse til Datatilsynet, at der ikke er grund til at gå i panik.

- Ved I, om data er blevet tilgået?

- Vi ved, at de er blevet tilgået, fordi de er blevet brugt. Men jeg har ikke nogen tro på, at de (data, red.) er blevet tilgået uberettiget, forklarer den lægelige direktør til Ekstra Bladet.

- I har ikke haft logning på – så rent faktisk ved du det ikke?

- Nej, nej, siger Mads Koch Hansen.

Han medgiver, at der er en ’teoretisk mulighed’ for misbrug, men mener ikke, at den er sandsynlig.

- Der er ikke en stor risiko for, at nogen med onde hensigter kan gå ind og bruge det her til noget som helst, for det er meget svært at finde ud af, hvad man skal kunne med det, siger direktøren.

Du kan læse hele afgørelsen fra Datatilsynet herunder: