Regionsdirektør efter cpr-sjusk: Der er ikke skjult noget

Politikere er stærkt kritiske over for den mangelfulde orientering, som ledelsen i Region Syddanmark har givet dem om stor sag om datasjusk

Få et skarpt overblik i sagen her. Producer: Lasse Brøndal.

Ved du noget?

Tip os på sms 1224 (alm. SMS-takst), eller send en mail til 1224@eb.dk. Du kan også vælge at udfylde formularen herunder.

Det er ikke kun eksperter i it-sikkerhed, der kritiserer Region Syddanmark, efter det er kommet frem, at regionen i mere end fem år ikke havde styr på en halv million patienters hemmelige data.

Flere af regionens politikere er nemlig vrede over, at vigtige detaljer i sagen er skjult eller dysset ned af regionens øverste ledelse.

- Jeg har været i kommunalpolitik i 22 år, og jeg mindes ikke at huske en sag, hvor så centrale oplysninger er blevet undladt, siger Morten Weiss Petersen (C), der er medlem af regionens forretningsudvalg til Ekstra Bladet.

- Man har prøvet at sløre sagens alvor, og man har forsøgt at ’putte sukker’ på sagen, mener han.

Sundhedsdata går som varmt brød på nettet

Selvom det kan virke verdensfjernt, så er det langtfra utænkeligt, at stjålne sundhedsoplysninger kan bruges til at fastsætte prisen på en forsikring. Det mener Jens Heyn Roed Andersen, selvstændig cybersikkerhedskonsulent med indsigt i sundhedsindustrien.

- Datahandlere lever af at bygge profiler op af personer og sælge den viden til alle mulige. Hvis det kommer ud på det mørke net, så bliver de stjålne data lavet om til hvide informationer, der sælges, og så kan det ende hos forsikringsselskaber via en datahandler, som tror, de har købt lovlige oplysninger, selvom det er indhentet ulovligt, lyder det fra Jens Heyn Roed Andersen, da han forholder sig til risikoen for, at data på 504.596 patienter i Region Syddanmark kan være havnet i de forkerte hænder efter it-brøleren, som Ekstra Bladet har beskrevet de seneste dage.

Sikkerhedsbristen i Region Syddanmark, som har stået på mellem 2013 og 2018, indeholder navne cpr-numre og hjerteoplysninger, såkaldt EKG, på den halve million patienter.

Via EKG-oplysninger kan man lave en prognose over, hvor sandsynligt det er, at en kunde får hjertestop eller blodprop, og det er den type følsomme oplysninger, forsikringsselskaber kan have interesse i.

Ingen sandsynlighed
I Region Syddanmark blev det besluttet, at de mange berørte patienter ikke skulle orienteres om sagen på trods af, at regionen ikke levet op til Datatilsynets krav om overvågning på it-systemet og dermed ikke kan se, om oplysninger er blevet downloadet af de 26.000 ansatte samt et ukendt antal eksterne samarbejdspartnere, der har haft adgang.

Argumentet fra lægelig direktør på Sygehus Lillebælt, Mads Koch Hansen, som har stået i spidsen for sikkerhedsvurderingen, har lydt på, at dem, der har haft adgang, har tavshedspligt og i øvrigt skal have handlet i ond tro for at misbruge oplysningerne. Derfor er det ikke særlig sandsynligt ifølge den lægefaglige direktør.

Ikke styr på data
Men det er en stor risiko at tage, påpeger Jens Heyn Roed Andersen.

- Mads Koch Hansen har ikke nogen sandsynlighed for at kunne konstatere, at de her 26.000 ansatte og eksterne samarbejdspartnere ikke har været involveret i noget, der ikke kunne bringe oplysningerne videre, siger Jens Heyn Roed Andersen, som understreger, at det ikke nok at sige, at regionen stoler på, at personerne har haft onde hensigter. Regionen skal også have styr på, hvor data kan være hentet fra.

- Han kan umuligt bevise, at det ikke er blevet handlet. For det kræver, at man er sikker på, at 26.000 ansatte og eksterne samarbejdspartnere har brugt sikre computere, smartphones eller iPads, hvor data ikke kan komme videre, fastslår Jens Heyn Roed Andersen.

Pia Maintz er en af de mange patienter, hvis data i årevis har ligget frit og ukontrolleret tilgængeligt for alt fra studentermedhjælpere til direktører i Region Syddanmark. Og det er hun meget utilfreds med. Foto: Anders Brohus Teknologi - 27. jan. 2020 - kl. 07:29 500.000 cpr-numre lå frit fremme

Han bakkes op af sin kollega i forretningsudvalget, Thies Mathiesen (DF).

- Det virker ikke til, at forvaltningen har givet os fyldestgørende oplysninger. Det bekymrer mig da rigtig meget.

Ida Damborg fra SF, som også sidder i forretningsudvalget, undrer sig over orienteringen, for den lever – ifølge hende – ikke op til, hvad man kunne forvente.

- Jeg har ikke fået de informationer, jeg med rette kunne forvente, når jeg sidder med et politisk ansvar over for de borgere, som har fået lagt deres oplysninger ud i en kreds, hvor de bestemte ikke skulle være, siger Ida Damborg til avisen.

Sagen kort

2013/2014: Region Syddanmark kender i dag ikke den præcise dato, hvor it-fejlen opstår. Den betyder, at regionens 26.000 ansatte plus et ukendt antal samarbejdspartnere også uden for Danmark får adgang til over en halv million patienters dybt fortrolige oplysninger.

18. maj 2018: Region Syddanmarks databeskyttelsesrådgiver orienterer regionens øverste embedsmand, Jane Kraglund, om it-fejlen. Fem dage senere lukkes den frie adgang til data.

1. juni 2018: Regionen anmelder sagen til Datatilsynet. I en senere redegørelse fra lægelig direktør på Sygehus Lillebælt, Mads Koch Hansen, kaldes risikoen for, at data er blevet misbrugt, ’meget usandsynlig’.

19. december 2018: Datatilsynet giver Region Syddanmark kritik i sagen.

Mads Koch Hansen, som er lægelig direktør på Sygehus Lillebælt, erkender, at det var en stor fejl, at patienternes data ikke blev beskyttet. Men han mener ikke, at nogle har lidt skade af det. Foto: Peter Hove Olesen Teknologi - 27. jan. 2020 - kl. 11:29 Sygehusdirektør efter datakoks: Patienter kan være trygge

Det er deres opfattelse
Regionsdirektør i Region Syddanmark, Jane Kraglund, mener ikke, at hendes embedsværk har skjult centrale oplysninger for politikerne.

- Vi har efter bedste evne behandlet denne sag.

- Er det ikke en central oplysning, at regionens egen databeskyttelsesrådgiver havde den stik modsatte opfattelse af, hvad der blev meldt ud til forretningsudvalget?

- Man kan altid diskutere, hvor mange mellemregninger, man skal kommunikere til det politiske niveau. Men vi konkluderede, at der var lav risiko.

Regionsdirektør Jane Kraglund (t.h.) mener ikke, at hun og den øverste ledelse har holdt borgere eller politikere i uvidenhed. Det var nemlig den rigtige beslutning at skjule det store databrud, fordi risikoen for et læk ifølge hende var meget lav. Foto: Ernst van Norde
Regionsdirektør Jane Kraglund (t.h.) mener ikke, at hun og den øverste ledelse har holdt borgere eller politikere i uvidenhed. Det var nemlig den rigtige beslutning at skjule det store databrud, fordi risikoen for et læk ifølge hende var meget lav. Foto: Ernst van Norde
 

- Er jeres databeskyttelsesrådgivers mening en mellemregning?

- Det er i hvert fald en rådgivning til den samlede vurdering, der er lavet. Og den samlede vurdering, der er lavet, er jo lavet ud fra hvilken sag, det er.

- Det er rigtigt, at hun (databeskyttelsesrådgiveren, red.) haft en opfattelse af det, og der har været nogle andre parametre i det her. Og det er regionen, der har lavet en samlet vurdering.

- Så det er ikke relevant, at forretningsudvalget får det at vide?

- Jeg siger, og det vil jeg gerne gentage, man kan altid diskutere, hvor meget og hvor detaljeret, man skal orientere om et datasikkerhedsbrud, vurderer Jane Kraglund.

Ekstra Bladet talte for få dage siden med Mads Koch Hansen om sagen. Her nævnte han intet om sin forestående opsigelse. Foto: Gregers Tycho Teknologi - 27. jan. 2020 - kl. 11:32 Efter afsløring af cpr-læk: Sygehusdirektør stopper

Du kan læse hele afgørelsen fra Datatilsynet herunder:

Mest læste i Forbrug
Seneste i Forbrug
Hent flere
Forsiden lige nu
Plus anbefaler
Hent flere