Mustafa rystet: IT-medarbejder lurede på familiens journaler

Igennem en periode på mere end to år har en ansat i regionen luret på journaler uden at have en gyldig grund

74 gange har en it-medarbejder fra Region Hovedstaden været inde i Mustafa Ali Karatas journal. Foto: Linda Johansen
74 gange har en it-medarbejder fra Region Hovedstaden været inde i Mustafa Ali Karatas journal. Foto: Linda Johansen

Ved du noget?

Indsend billede el. video

Maks. 5MB

52-årige Mustafa Ali Karatas fra Brøndby Strand fik sig i starten af august noget af en overraskelse, da han tjekkede sin e-boks.

Her lå der nemlig et brev fra Region Hovedstaden. Og ikke et af de breve, man typisk vil få fra regionen vedrørende indkaldelser eller opfølgninger.

Det var derimod en orientering om, at nogen uberettiget havde været inde i Mustafas sundhedsjournal. Ikke bare én gang, men hele 74 gange fra 15. maj og indtil det blev opdaget.

Personen bag de mange opslag var ifølge regionen en it-medarbejder, som ikke havde noget at gøre i journalerne.

- Det kan da ikke være rigtigt, at fremmede mennesker kan få adgang til folks sundhedsdata. Det kan måske ske, at folk er der én gang, men det er underligt, der ikke er nogen alarmklokker, der ringer, når det sker så ofte to år i træk, siger Mustafa til Ekstra Bladet.

Næsten 200 berørt
Region Hovedstaden oplyser til Ekstra Bladet, at i alt 116 personer er blevet kontaktet vedrørende uberettigede opslag i deres journaler. Derudover er 80 kontaktet vedrørende opslag i patientkartoteket, hvor man kan se oplysninger om blandt andet cpr-nummer og adresse.

Også flere i Mustafa Karatas' nærmeste familie har fået samme brev som ham.

Mustafa fortæller, at han ikke selv har noget særligt stående i journalen, men at det for ham handler om princippet i, at en kan gå ind og kigge på andres oplysninger og i princippet give dem videre.

- Hvis jeg nu havde haft en eller anden særlig sygdom, havde jeg måske været nervøs for, om han havde givet det videre til nogle andre, hvis det var noget, jeg foretrak, det kun var min læge og mig, der vidste noget om, siger han.

Mustafa forstår ikke, hvordan en medarbejder i så lang tid kan gøre noget ulovligt uden at blive opdaget. Foto: Linda Johansen
Mustafa forstår ikke, hvordan en medarbejder i så lang tid kan gøre noget ulovligt uden at blive opdaget. Foto: Linda Johansen
 

Han fortæller, at han kender den pågældende it-medarbejder, og at det ikke er en person, han bryder sig om, men han er stadig uforstående over for det, der er sket.

Medarbejder fyret
Mustafa Karatas har fået en anmeldelseskvittering fra Københavns Politi, hvoraf det fremgår, at de ulovlige opslag har fundet sted mellem 15. maj 2019 og 9. juli 2021.

I det brev, der er udsendt til de berørte borgere, oplyser Region Hovedstaden, at den pågældende it-medarbejder er blevet opsagt i forbindelse med, at regionen har fået kendskab til sagen.

Mustafa Karatas savner dog stadig svar på, hvad regionen vil gøre, for at sagen ikke gentager sig.

- Tænk at det offentlige betaler løn til en, som så går ind og ser i andre menneskers journaler. Det burde ikke kunne lade sig gøre, siger han.

Københavns Politi oplyser til Ekstra Bladet, at 'en ansat i Region Hovedstaden er sigtet for et større antal uberettigede opslag på Sundhedsportalen.'

På grund af den igangværende efterforskning, ønsker politikredsen ikke at oplyse yderligere i sagen på nuværende tidspunkt.

Region: Ser om der er behov for justeringer

Ekstra Bladet har kontaktet Region Hovedstaden for at spørge ind til sagen, og hvordan det kunne ske.

Regionen er efterfølgende vendt tilbage med svar på mail.

Her lyder det, at regionen blev opmærksom på sagen 6. august, hvorefter det blev meldt til Datatilsynet og politianmeldt. I samme omgang blev medarbejderens ansættelse 'afsluttet med øjeblikkelig virkning,'

'Region Hovedstaden har på baggrund af sagen igangsat et grundigt evalueringsarbejde med henblik på at afdække, om der er behov for at justere i regionens procedurer og kontroller. Vi fortsætter dette arbejde, indtil det står endegyldigt klart, om vores nuværende foranstaltninger er tilstrækkelige,' skriver Carsten Nørgaard Laugesen, vicedirektør i Center for IT og Medicoteknologi (CIMT).

- Kan ikke understreget det nok
Han fortæller, at sager af den type er 'yderst sjældne'.

'Vi kan ikke understrege nok, at vi ikke accepterer, at betroede medarbejdere misbruger deres adgang til patientoplysninger. Generelt er medarbejderne i regionen dygtige til at forvalte betroede adgang til systemer med personoplysninger. Men som i andre betroede hverv kan adgange blive misbruget. Dette er tilfældet i denne sag,' skriver han.

Ifølge Carsten Nørgaard Laugesen vil denne 'ekstraordinære sag' blive brugt aktivt i en grundig evaluering af rammerne for adgange og logkontrol i regionen.

'Samtidig vil sagen bidrage til bredt i organisationen at skærpe opmærksomheden på reglerne for opslag i patientjournalerne og på de konsekvenser det kan have for både medarbejdere og borgere, når betroede adgange misbruges,' skriver han.