Regionsdirektør i Region Syddanmark, Jane Kraglund, skulle have informeret Stephanie Lose (V) og resten af den politiske ledelse om stort datakoks i regionen, da sagen mod al kutyme landede direkte på hendes skrivebord i maj 2018.
Det mener Jørgen Albæk, juraprofessor på Aarhus Universitet, som undrer sig over, at regionspolitikerne først fik kendskab til sagen mere end 150 dage, efter Jane Kraglund blev bekendt med sikkerhedsbristen, der omhandler potentielt misbrug af cpr-numre og hjerteoplysninger på 504.596 patienter.
- Jane Kraglund er forpligtet til at orientere Stephanie Lose, som skal informere forretningsudvalget.
- Hvis Stephanie Lose ikke har vidst det, så ligger ansvaret hos Jane Kraglund, for hun burde have orienteret Lose, siger Jørgen Albæk, som mener, regionsdirektøren har brudt sin orienteringspligt.
500.000 cpr-numre lå frit fremme
En stor sag
Jane Kraglund har tidligere afvist at have brudt sin orienteringspligt, men oplyser til Ekstra Bladet:
- Den orientering, der bliver givet til det politiske niveau, sker i efteråret 2018, siger Jane Kraglund med henvisning til den orientering politikerne modtog 2. november 2018, mere end 150 dage efter, hun selv havde fået kendskab til sagen.
Jørgen Albæk holder dog fast og siger:
- Det har tydeligvis været en stor sag, som meget nemt kunne blive en politisk sag.
- Alene af den grund skal hun (Jane Kraglund, red.) orientere Stephanie Lohse, så hun bliver spurgt af pressen og ikke aner, hvad der foregår i sin hendes egen organisation, siger Jørgen Albæk.
- Mener du Jane Kraglund, har brudt sin orienteringspligt?
- Ja, jeg synes, Jane Kraglund burde have informeret Stephanie Lose, siger Jørgen Albæk, juraprofessor på Aarhus Universitet.
Sad advarsel overhørig
Det er ikke første gang, der er blevet rejst kritik af regionens håndtering af sagen. Kurt Klaudi Klausen, professor i offentlig forvaltning på Syddansk Universitet, har tidligere sagt til Ekstra Bladet:
- I og med at regionsdirektøren har fået det at vide med det samme, viser det, at forvaltningen har betragtet sagen som alvorlig, og derfor burde politikerne havde fået det at vide med det samme.
Jane Kraglund betegner sikkerhedsbristen som en sag, hun burde vide besked om.
- Det er da en sag, som har en volumen, og som jeg tænker vil være rimeligt, at jeg blev orienteret om, lyder det fra regionsdirektøren, som valgte ikke at gå videre med det, da regionens officielle vurdering gik på, at der lav risiko for, at de 504.596 patienters oplysninger kunne være havnet i de forkerte hænder.
- Jeg vil sige, at når der går så lang tid, som der gør, så er det fordi, der er en lav risiko i sagen, siger regionsdirektøren.
Hun var dog også bekendt med, at regionens egen databeskyttelsesrådgiver havde advaret om, at hun tværtimod mente, der var høj risiko for, at uvedkommende havde fået adgang til oplysninger. Alligevel sad hun advarslen overhørig.
- Min indfaldsvinkel i det her har jo været, at risikoen for konsekvens har været vurderet som lav, siger Jane Kraglund til Ekstra Bladet.
Jane Kraglunds 'indfaldsvinkel' står dog i skærende kontrast til regionens egen anmeldelse til Datatilsynet, hvor identitetstyveri, ulovlige formål og skade på omdømme angives som 'sandsynlige konsekvenser', som det står i anmeldelsen, Ekstra Bladet har fået aktindsigt i.
Mangelfuld orientering
Kurt Klaudi Klausen og Jørgen Albæk mener, at politikerne blev orienteret for sent, men de er også ude med skarp kritik af den orientering, politikerne fik 2. november 2018, som de mener er mangelfuld, fordi der ikke blev nævnt, at der var intern uenighed om risikoen for patienterne, at bruddet stod på i fem år eller, at regionen – stik imod det gældende krav fra Datatilsynet – ikke havde installeret overvågning på databasen med den store mængde af personfølsomme oplysninger.
Den manglende overvågning betyder, at regionen ikke er i stand til at af- eller bekræfte, om oplysningerne er blevet misbrugt, fordi der ikke er nogen digitale spor af om de 26.000 ansatte i regionen, der har haft adgang, har tilgået oplysningerne.
- Juraprofessorerne Jørgens Albæk og Kurt Klaudi mener ikke, at I har informeret fyldestgørende, fordi de her oplysninger er blevet undladt blevet i orienteringen. Hvad siger du til det?
- Det er jeg selvfølgelig ked af, at de siger, og hvis der er nogen, der har en anden opfattelse af det, så må man lytte til det, og vurdere, om vi skal gøre noget anderledes fremadrettet,” siger Jane Kraglund.
- De mener også, at det er en fejl, at politikerne ikke har fået at vide, at der har været intern uenighed om risikovurderingen. Er du enig i det?
- Det synes jeg er rigtig svært at sige, om jeg er enig eller uenig i.
- Som sagt, tager vi afsæt i den vurdering, at der er en lav risiko, og så kan det godt være, at nogle synes vi skulle have fortalt mere. Og så vurderer vi, om der skal gøres noget andet fremadrettet. Så jeg kan kun tage til eftertanke, at de har den vurdering, siger regionsdirektøren.
Efter afsløring af cpr-læk: Sygehusdirektør stopper
Regionsråd skal vide det
Lektor i digital forvaltning på Københavns Universitet Hanne Marie Motzfeldt er enig med de to professorer i kritikken. Hun peger på den manglende overvågning som en skærpende omstændighed.
- Jeg vil mene, at så alvorlige sikkerhedsmæssige problemer burde være oplyst til den øverste ledelse efter almindelige forvaltningsretlige principper, eftersom regionsrådet er den øverste ledelse, siger Hanne Marie Motzfeldt.
Ifølge hende er sagen et eksempel på, at embedsværket er blevet egenrådigt.
- Problemet i denne sammenhæng er nok, at embedsværket er blevet meget selvstændigt og magtfuldt, siger Hanne Marie Motzfeldt.
I et skriftligt svar siger Jane Kraglund således til kritikken:
'Naturligvis gør det indtryk når andre har andre vurderinger af hvordan det det politisk niveau skal informeres. Jeg - og vi - bestræber os hver dag for at sikre en god information af - og samarbejde med regionsrådet.
Du kan læse hele afgørelsen fra Datatilsynet herunder:
