Regionsdirektør får kritik efter cpr-koks: Ikke i orden

Det var forkert, da regionsdirektøren i Region Syddanmark valgte ikke at orientere politikerne om kæmpe datakoks, vurderer juraprofessor

Få et skarpt overblik i sagen her. Producer: Lasse Brøndal.

Ved du noget?

Tip os på sms 1224 (alm. SMS-takst), eller send en mail til 1224@eb.dk. Du kan også vælge at udfylde formularen herunder.

Regionsdirektør i Region Syddanmark, Jane Kraglund, skulle have informeret Stephanie Lose (V) og resten af den politiske ledelse om stort datakoks i regionen, da sagen mod al kutyme landede direkte på hendes skrivebord i maj 2018.

Det mener Jørgen Albæk, juraprofessor på Aarhus Universitet, som undrer sig over, at regionspolitikerne først fik kendskab til sagen mere end 150 dage, efter Jane Kraglund blev bekendt med sikkerhedsbristen, der omhandler potentielt misbrug af cpr-numre og hjerteoplysninger på 504.596 patienter.

- Jane Kraglund er forpligtet til at orientere Stephanie Lose, som skal informere forretningsudvalget.

- Hvis Stephanie Lose ikke har vidst det, så ligger ansvaret hos Jane Kraglund, for hun burde have orienteret Lose, siger Jørgen Albæk, som mener, regionsdirektøren har brudt sin orienteringspligt.

Pia Maintz er en af de mange patienter, hvis data i årevis har ligget frit og ukontrolleret tilgængeligt for alt fra studentermedhjælpere til direktører i Region Syddanmark. Og det er hun meget utilfreds med. Foto: Anders Brohus Teknologi - 27. jan. 2020 - kl. 07:29 500.000 cpr-numre lå frit fremme

En stor sag
Jane Kraglund har tidligere afvist at have brudt sin orienteringspligt, men oplyser til Ekstra Bladet:

- Den orientering, der bliver givet til det politiske niveau, sker i efteråret 2018, siger Jane Kraglund med henvisning til den orientering politikerne modtog 2. november 2018, mere end 150 dage efter, hun selv havde fået kendskab til sagen.

Jørgen Albæk holder dog fast og siger:

- Det har tydeligvis været en stor sag, som meget nemt kunne blive en politisk sag.

- Alene af den grund skal hun (Jane Kraglund, red.) orientere Stephanie Lohse, så hun bliver spurgt af pressen og ikke aner, hvad der foregår i sin hendes egen organisation, siger Jørgen Albæk.

- Mener du Jane Kraglund, har brudt sin orienteringspligt?

- Ja, jeg synes, Jane Kraglund burde have informeret Stephanie Lose, siger Jørgen Albæk, juraprofessor på Aarhus Universitet.

Sagen kort

2013/2014: Region Syddanmark kender i dag ikke den præcise dato, hvor it-fejlen opstår. Den betyder, at regionens 26.000 ansatte plus et ukendt antal samarbejdspartnere også uden for Danmark får adgang til over en halv million patienters dybt fortrolige oplysninger.

18. maj 2018: Region Syddanmarks databeskyttelsesrådgiver orienterer regionens øverste embedsmand, Jane Kraglund, om it-fejlen. Fem dage senere lukkes den frie adgang til data.

1. juni 2018: Regionen anmelder sagen til Datatilsynet. I en senere redegørelse fra lægelig direktør på Sygehus Lillebælt, Mads Koch Hansen, kaldes risikoen for, at data er blevet misbrugt, ’meget usandsynlig’.

19. december 2018: Datatilsynet giver Region Syddanmark kritik i sagen.

Sad advarsel overhørig
Det er ikke første gang, der er blevet rejst kritik af regionens håndtering af sagen. Kurt Klaudi Klausen, professor i offentlig forvaltning på Syddansk Universitet, har tidligere sagt til Ekstra Bladet:

- I og med at regionsdirektøren har fået det at vide med det samme, viser det, at forvaltningen har betragtet sagen som alvorlig, og derfor burde politikerne havde fået det at vide med det samme.

Jane Kraglund betegner sikkerhedsbristen som en sag, hun burde vide besked om.

- Det er da en sag, som har en volumen, og som jeg tænker vil være rimeligt, at jeg blev orienteret om, lyder det fra regionsdirektøren, som valgte ikke at gå videre med det, da regionens officielle vurdering gik på, at der lav risiko for, at de 504.596 patienters oplysninger kunne være havnet i de forkerte hænder.

- Jeg vil sige, at når der går så lang tid, som der gør, så er det fordi, der er en lav risiko i sagen, siger regionsdirektøren.

Hun var dog også bekendt med, at regionens egen databeskyttelsesrådgiver havde advaret om, at hun tværtimod mente, der var høj risiko for, at uvedkommende havde fået adgang til oplysninger. Alligevel sad hun advarslen overhørig.

- Min indfaldsvinkel i det her har jo været, at risikoen for konsekvens har været vurderet som lav, siger Jane Kraglund til Ekstra Bladet.

Jane Kraglunds 'indfaldsvinkel' står dog i skærende kontrast til regionens egen anmeldelse til Datatilsynet, hvor identitetstyveri, ulovlige formål og skade på omdømme angives som 'sandsynlige konsekvenser', som det står i anmeldelsen, Ekstra Bladet har fået aktindsigt i.

Sundhedsdata går som varmt brød på nettet

Selvom det kan virke verdensfjernt, så er det langtfra utænkeligt, at stjålne sundhedsoplysninger kan bruges til at fastsætte prisen på en forsikring. Det mener Jens Heyn Roed Andersen, selvstændig cybersikkerhedskonsulent med indsigt i sundhedsindustrien.

- Datahandlere lever af at bygge profiler op af personer og sælge den viden til alle mulige. Hvis det kommer ud på det mørke net, så bliver de stjålne data lavet om til hvide informationer, der sælges, og så kan det ende hos forsikringsselskaber via en datahandler, som tror, de har købt lovlige oplysninger, selvom det er indhentet ulovligt, lyder det fra Jens Heyn Roed Andersen, da han forholder sig til risikoen for, at data på 504.596 patienter i Region Syddanmark kan være havnet i de forkerte hænder efter it-brøleren, som Ekstra Bladet har beskrevet de seneste dage.

Sikkerhedsbristen i Region Syddanmark, som har stået på mellem 2013 og 2018, indeholder navne cpr-numre og hjerteoplysninger, såkaldt EKG, på den halve million patienter.

Via EKG-oplysninger kan man lave en prognose over, hvor sandsynligt det er, at en kunde får hjertestop eller blodprop, og det er den type følsomme oplysninger, forsikringsselskaber kan have interesse i.

Ingen sandsynlighed
I Region Syddanmark blev det besluttet, at de mange berørte patienter ikke skulle orienteres om sagen på trods af, at regionen ikke levet op til Datatilsynets krav om overvågning på it-systemet og dermed ikke kan se, om oplysninger er blevet downloadet af de 26.000 ansatte samt et ukendt antal eksterne samarbejdspartnere, der har haft adgang.

Argumentet fra lægelig direktør på Sygehus Lillebælt, Mads Koch Hansen, som har stået i spidsen for sikkerhedsvurderingen, har lydt på, at dem, der har haft adgang, har tavshedspligt og i øvrigt skal have handlet i ond tro for at misbruge oplysningerne. Derfor er det ikke særlig sandsynligt ifølge den lægefaglige direktør.

Ikke styr på data
Men det er en stor risiko at tage, påpeger Jens Heyn Roed Andersen.

- Mads Koch Hansen har ikke nogen sandsynlighed for at kunne konstatere, at de her 26.000 ansatte og eksterne samarbejdspartnere ikke har været involveret i noget, der ikke kunne bringe oplysningerne videre, siger Jens Heyn Roed Andersen, som understreger, at det ikke nok at sige, at regionen stoler på, at personerne har haft onde hensigter. Regionen skal også have styr på, hvor data kan være hentet fra.

- Han kan umuligt bevise, at det ikke er blevet handlet. For det kræver, at man er sikker på, at 26.000 ansatte og eksterne samarbejdspartnere har brugt sikre computere, smartphones eller iPads, hvor data ikke kan komme videre, fastslår Jens Heyn Roed Andersen.

Mangelfuld orientering
Kurt Klaudi Klausen og Jørgen Albæk mener, at politikerne blev orienteret for sent, men de er også ude med skarp kritik af den orientering, politikerne fik 2. november 2018, som de mener er mangelfuld, fordi der ikke blev nævnt, at der var intern uenighed om risikoen for patienterne, at bruddet stod på i fem år eller, at regionen – stik imod det gældende krav fra Datatilsynet – ikke havde installeret overvågning på databasen med den store mængde af personfølsomme oplysninger.

Den manglende overvågning betyder, at regionen ikke er i stand til at af- eller bekræfte, om oplysningerne er blevet misbrugt, fordi der ikke er nogen digitale spor af om de 26.000 ansatte i regionen, der har haft adgang, har tilgået oplysningerne.

- Juraprofessorerne Jørgens Albæk og Kurt Klaudi mener ikke, at I har informeret fyldestgørende, fordi de her oplysninger er blevet undladt blevet i orienteringen. Hvad siger du til det?

- Det er jeg selvfølgelig ked af, at de siger, og hvis der er nogen, der har en anden opfattelse af det, så må man lytte til det, og vurdere, om vi skal gøre noget anderledes fremadrettet,” siger Jane Kraglund.

- De mener også, at det er en fejl, at politikerne ikke har fået at vide, at der har været intern uenighed om risikovurderingen. Er du enig i det?

- Det synes jeg er rigtig svært at sige, om jeg er enig eller uenig i.

- Som sagt, tager vi afsæt i den vurdering, at der er en lav risiko, og så kan det godt være, at nogle synes vi skulle have fortalt mere. Og så vurderer vi, om der skal gøres noget andet fremadrettet. Så jeg kan kun tage til eftertanke, at de har den vurdering, siger regionsdirektøren.

Ekstra Bladet talte for få dage siden med Mads Koch Hansen om sagen. Her nævnte han intet om sin forestående opsigelse. Foto: Gregers Tycho Teknologi - 27. jan. 2020 - kl. 11:32 Efter afsløring af cpr-læk: Sygehusdirektør stopper

Regionsråd skal vide det
Lektor i digital forvaltning på Københavns Universitet Hanne Marie Motzfeldt er enig med de to professorer i kritikken. Hun peger på den manglende overvågning som en skærpende omstændighed.

- Jeg vil mene, at så alvorlige sikkerhedsmæssige problemer burde være oplyst til den øverste ledelse efter almindelige forvaltningsretlige principper, eftersom regionsrådet er den øverste ledelse, siger Hanne Marie Motzfeldt.

Ifølge hende er sagen et eksempel på, at embedsværket er blevet egenrådigt.

- Problemet i denne sammenhæng er nok, at embedsværket er blevet meget selvstændigt og magtfuldt, siger Hanne Marie Motzfeldt.

I et skriftligt svar siger Jane Kraglund således til kritikken:

'Naturligvis gør det indtryk når andre har andre vurderinger af hvordan det det politisk niveau skal informeres. Jeg - og vi - bestræber os hver dag for at sikre en god information af - og samarbejde med regionsrådet.

Du kan læse hele afgørelsen fra Datatilsynet herunder:

Mest læste i Forbrug
Seneste i Forbrug
Hent flere
Forsiden lige nu
Plus anbefaler
Hent flere