Sådan blev cpr-sjusk mørkelagt

Region Syddanmark vidste, at kæmpe databrud kunne ramme patienter - alligevel blev det holdt skjult for de 500.000 berørte

Få et skarpt overblik i sagen her. Producer: Lasse Brøndal.

Ved du noget?

Tip os på sms 1224 (alm. sms-takst), eller send en mail til 1224@eb.dk. Du kan også vælge at udfylde formularen herunder.

Region Syddanmark gik stille med dørene, da man opdagede en kritisk fejl i et it-system, som betød, at alle regionens ansatte havde frie hænder til ubemærket at downloade dybt personfølsomme oplysninger på en halv million patienter.

Selvom regionen fra begyndelsen fastslog, at identitetstyveri var blandt de 'sandsynlige konsekvenser' i anmeldelsen til Datatilsynet, så har det aldrig ligget i kortene, at de berørte skulle have nys om sagen. Det fremgår af dokumenter mellem Region Syddanmark og Datatilsynet, som Ekstra Bladet har fået aktindsigt i. Det ville ifølge regionen være for svært.

’Det vil være umuligt eller uforholdsmæssigt vanskeligt at underrette de berørte personer,’ angiver regionen i anmeldelsen til Datatilsynet.

Sundhedsdata går som varmt brød på nettet

Selvom det kan virke verdensfjernt, så er det langtfra utænkeligt, at stjålne sundhedsoplysninger kan bruges til at fastsætte prisen på en forsikring. Det mener Jens Heyn Roed Andersen, selvstændig cybersikkerhedskonsulent med indsigt i sundhedsindustrien.

- Datahandlere lever af at bygge profiler op af personer og sælge den viden til alle mulige. Hvis det kommer ud på det mørke net, så bliver de stjålne data lavet om til hvide informationer, der sælges, og så kan det ende hos forsikringsselskaber via en datahandler, som tror, de har købt lovlige oplysninger, selvom det er indhentet ulovligt, lyder det fra Jens Heyn Roed Andersen, da han forholder sig til risikoen for, at data på 504.596 patienter i Region Syddanmark kan være havnet i de forkerte hænder efter it-brøleren, som Ekstra Bladet har beskrevet de seneste dage.

Sikkerhedsbristen i Region Syddanmark, som har stået på mellem 2013 og 2018, indeholder navne cpr-numre og hjerteoplysninger, såkaldt EKG, på den halve million patienter.

Via EKG-oplysninger kan man lave en prognose over, hvor sandsynligt det er, at en kunde får hjertestop eller blodprop, og det er den type følsomme oplysninger, forsikringsselskaber kan have interesse i.

Ingen sandsynlighed
I Region Syddanmark blev det besluttet, at de mange berørte patienter ikke skulle orienteres om sagen på trods af, at regionen ikke levet op til Datatilsynets krav om overvågning på it-systemet og dermed ikke kan se, om oplysninger er blevet downloadet af de 26.000 ansatte samt et ukendt antal eksterne samarbejdspartnere, der har haft adgang.

Argumentet fra lægelig direktør på Sygehus Lillebælt, Mads Koch Hansen, som har stået i spidsen for sikkerhedsvurderingen, har lydt på, at dem, der har haft adgang, har tavshedspligt og i øvrigt skal have handlet i ond tro for at misbruge oplysningerne. Derfor er det ikke særlig sandsynligt ifølge den lægefaglige direktør.

Ikke styr på data
Men det er en stor risiko at tage, påpeger Jens Heyn Roed Andersen.

- Mads Koch Hansen har ikke nogen sandsynlighed for at kunne konstatere, at de her 26.000 ansatte og eksterne samarbejdspartnere ikke har været involveret i noget, der ikke kunne bringe oplysningerne videre, siger Jens Heyn Roed Andersen, som understreger, at det ikke nok at sige, at regionen stoler på, at personerne har haft onde hensigter. Regionen skal også have styr på, hvor data kan være hentet fra.

- Han kan umuligt bevise, at det ikke er blevet handlet. For det kræver, at man er sikker på, at 26.000 ansatte og eksterne samarbejdspartnere har brugt sikre computere, smartphones eller iPads, hvor data ikke kan komme videre, fastslår Jens Heyn Roed Andersen.

Mads Koch Hansen, som er lægelig direktør på Sygehus Lillebælt, erkender, at det var en stor fejl, at patienternes data ikke blev beskyttet. Men han mener ikke, at nogle har lidt skade af det. Foto: Peter Hove Olesen Teknologi Sygehusdirektør efter datakoks: Patienter kan være trygge

Kritisabel situation
Catrine Byrne er partner hos advokathuset Labora Legal og har speciale i persondataret. Hun ser på sagen med stor alvor.

- Har man adgang til andres cpr-numre, kan man for eksempel optage kviklån i deres navn.

- Så er der tale om personnumre, bør myndighederne kontakte de berørte, så de for eksempel kan oprette en kreditovervågning, siger Catrine Byrne, som også er medstifter af tænketanken, DataEthics.

Netop uvidenhed udgør et stort problem for patienterne, peger hun på.

- Hvis du ikke ved, at dit cpr-nummer kan være blevet stjålet, så kan man jo ikke beskytte sig.

Sagen kort

2013/2014: Region Syddanmark kender i dag ikke den præcise dato, hvor it-fejlen opstår. Den betyder, at regionens 26.000 ansatte plus et ukendt antal samarbejdspartnere også uden for Danmark får adgang til over en halv million patienters dybt fortrolige oplysninger.

18. maj 2018: Region Syddanmarks databeskyttelsesrådgiver orienterer regionens øverste embedsmand, Jane Kraglund, om it-fejlen. Fem dage senere lukkes den frie adgang til data.

1. juni 2018: Regionen anmelder sagen til Datatilsynet. I en senere redegørelse fra lægelig direktør på Sygehus Lillebælt, Mads Koch Hansen, kaldes risikoen for, at data er blevet misbrugt, ’meget usandsynlig’.

19. december 2018: Datatilsynet giver Region Syddanmark kritik i sagen.

Ekstra Bladet talte for få dage siden med Mads Koch Hansen om sagen. Her nævnte han intet om sin forestående opsigelse. Foto: Gregers Tycho Teknologi Efter afsløring af cpr-læk: Sygehusdirektør stopper

Ingen garantier
Men internt hos Region Syddanmark er det ikke et synspunkt, der abonneres på. For lægelig direktør på Sygehus Lillebælt i Region Syddanmark, Mads Koch Hansen, tror ikke på, at de 26.000 ansatte, der har haft adgang, kunne finde på at misbruge oplysningerne.

- Der er ikke nogen stor risiko for, at nogen med onde hensigter kan gå ind og bruge det her til noget helst, fordi det er meget svært at finde ud af, hvad man skal kunne med det, sagde Mads Koch Hansen mandag til Ekstra Bladet.

Men det hænger ikke sammen, mener cybersikkerhedskonsulent Jens Heyn Roed Andersen.

- Region Syddanmark har ikke skyggen af en chance for at garantere, at det ikke er sket.

- Det er bare noget, de siger, fordi det ikke kan kontrolleres.

Pia Maintz er en af de mange patienter, hvis data i årevis har ligget frit og ukontrolleret tilgængeligt for alt fra studentermedhjælpere til direktører i Region Syddanmark. Og det er hun meget utilfreds med. Foto: Anders Brohus Teknologi 500.000 cpr-numre lå frit fremme

Politikere ført bag lyset

Det er ikke kun de berørte 504.596 patienter, som Region Syddanmark ikke valgte at fortælle om regionens store datakoks. Regionens egne politikere kendte gennem lang tid heller ikke til sagen.

Først 2. november 2018, fem måneder efter regionen anmeldte it-fejlen til Datatilsynet, blev forretningsudvalget i Region Syddanmark orienteret af embedsværket.

Det er på trods af, at den øverste embedsmand, regionsdirektør, Jane Kraglund, som en af de første fik kendskab til sagen i maj 2018. Det viser sagens dokumenter, som Ekstra Bladet har fået aktindsigt i.

Her fremgår det, at Jane Kraglund var den tredje person i regionen, der blev informeret om sagen.

Ekspert undrer sig
Det undrer professor i offentlig forvaltningsret, Kurt Klaudi Klausen, at der skulle gå så lang tid, før politikerne blev orienteret.

- I og med, at regionsdirektøren har fået det at vide med det samme, viser det, at embedsværket har betragtet sagen som alvorlig, og derfor burde politikerne havde fået det at vide med det samme, siger Kurt Klaudi Klausen.

Skjulte uenighed
Hvad værre er, så fik politikerne aldrig besked om, at regionens egen datarådgiver mente, at der faktisk var en høj risiko for, at patienternes data kunne være blevet misbrugt.

I redegørelsen, da den endelig kom, blev risikoen for misbrug beskrevet som lav. Men det står i skærende kontrast til, hvad databeskyttelsesrådgiveren mente, og hvad der stod i regionens egen anmeldelse til Datatilsynet, hvor blandt andet identitetstyveri var angivet som en 'sandsynlig konsekvens.'

Rådgiveren mente nemlig, at risikoen for, at oplysningerne kunne være endt i de forkerte hænder var høj.

Databeskyttelsesrådgiveren og Mads Koch Hansen bekræfter den interne uenighed over for Ekstra Bladet, som altså aldrig nåede frem til politikernes bord.

Du kan læse hele afgørelsen fra Datatilsynet herunder: