Sygehusdirektør efter datakoks: Patienter kan være trygge

DÅRLIG IT-SIKKERHED: Datatilsynet kritiserer Region Syddanmark for ikke at have styr på patienternes data

Få et skarpt overblik i sagen her. Producer: Lasse Brøndal.

Ved du noget?

Tip os på sms 1224 (alm. SMS-takst), eller send en mail til 1224@eb.dk. Du kan også vælge at udfylde formularen herunder.

Det er ikke foregået efter bogen i Region Syddanmark, når studentermedhjælpere og kontoransatte i en femårig periode har haft adgang til fortrolige oplysninger som cpr-numre og hjertemålinger på 504.596 patienter.

Det slår borgernes digitale vagthund Datatilsynet fast i en afgørelse fra 19. december 2018, hvor der udtales kritik af Region Syddanmark. Det viser tilsynets afgørelse, som Ekstra Bladet har fået aktindsigt i.

Region Syddanmarks åbne adgang gjorde, at 26.000 ansatte i regionen samt et ukendt antal eksterne samarbejdspartnere har haft adgang til oplysningerne, på trods af at de ikke har haft ret til at tilgå data.

Regionen har ikke de ’fornødne sikkerhedsforanstaltninger’, lyder det i Datatilsynets afgørelse.

Sagen kort

2013/2014: Region Syddanmark kender i dag ikke den præcise dato, hvor it-fejlen opstår. Den betyder, at regionens 26.000 ansatte plus et ukendt antal samarbejdspartnere også uden for Danmark får adgang til over en halv million patienters dybt fortrolige oplysninger.

18. maj 2018: Region Syddanmarks databeskyttelsesrådgiver orienterer regionens øverste embedsmand, Jane Kraglund, om it-fejlen. Fem dage senere lukkes den frie adgang til data.

1. juni 2018: Regionen anmelder sagen til Datatilsynet. I en senere redegørelse fra lægelig direktør på Sygehus Lillebælt, Mads Koch Hansen, kaldes risikoen for, at data er blevet misbrugt, ’meget usandsynlig’.

19. december 2018: Datatilsynet giver Region Syddanmark kritik i sagen.

Bør slå hårdere ned
Det er første og eneste gang, at Region Syddanmark har fået kritik af Datatilsynet. Og Mads Koch Hansen, som er lægelig direktør på Sygehus Lillebælt, hvor de mange berørte har været patienter, beklager.

- Det var en stor fejl, at man kunne have det der link rundt om. Det har vi også rettet, for det skal man ikke kunne. Det er indiskutabelt, siger Mads Koch Hansen til Ekstra Bladet.

Adgangen for uvedkommende er trods beklagelsen en stor kilde til undren hos advokat Catrine Byrne, som er specialist i persondataret og partner hos advokathuset Labora Legal.

- Der er meget skrappe krav om, hvem der kan få indsigt i sundhedsdata, lyder det fra Catrine Byrne.

Derfor er hun også uforstående over for, hvorfor Datatilsynet ’bare’ udtaler kritik.

- Min største bekymring er, at Datatilsynet ikke slår hårdere ned, når så mange personers cpr-numre har været tilgængeligt for folk, der ikke skulle have brug for det, og regionen har – som jeg læser det – ikke overblik over, hvem der har haft adgang, siger Catrine Byrne.

- Jeg har ikke nogen tro på, at de er blevet tilgået uberettiget, siger Mads Koch Hansen, der er lægelige direktør, om det store datasvigt. Foto: Peter Hove Olesen
- Jeg har ikke nogen tro på, at de er blevet tilgået uberettiget, siger Mads Koch Hansen, der er lægelige direktør, om det store datasvigt. Foto: Peter Hove Olesen
 

Har tavshedspligt
Hos Region Syddanmark mener lægelig direktør Mads Koch Hansen, at patienterne stadig kan være trygge ved at besøge Sygehus Lillebælt, fordi de ansatte er vant til at behandle persondata.

- Folk har en særligt forpligtende tavshedspligt. Derfor er det en forventning, at den efterleves, siger Mads Koch Hansen.

Det argument holder ikke i byretten, pointerer advokat Catrine Byrne:

- Region Syddanmark lægger vægt på, at alle med adgang har tavshedspligt. Men det er normalt ikke noget, en data-ansvarlig alene kan gardere sig med, siger hun.

Det er dog ikke kun medarbejdernes tavshedspligt, Mads Koch Hansen hænger sin hat på. I regionens redegørelse om sagen til Datatilsynet, som Ekstra Bladet har fået aktindsigt i, beroliger han med, at ansatte har skulle indtaste en internetadresse for at få adgang til de følsomme oplysninger.

It-systemet, der gav adgang, hed Muse. Ansatte har derfor skulle skrive ’muse.rsyd.net’ for at få adgang. Flere ansatte kunne også klikke direkte på linket, som var synligt for dem på deres computer.

Men sikkerhedseksperten Peter Kruse køber ikke Mads Koch Hansens forklaring.

- Med et link, der er så nemt, har det været ufatteligt let at finde oplysningerne, mener han.

Flere sikkerhedsbrud: Tiltag virker ikke

Det er ikke første gang, at Region Syddanmark har været i dialog med Datatilsynet, som behandler alle sager om brud på datasikkerheden.

I 2018 anmeldte Region Syddanmark 22 tilfælde af sikkerhedsbrud, hvilket kom frem i forbindelse med en årsrapport. Det fik informationschef i regionen Nicolai Arvedsen til at fortælle om regionens styrkede indsats.

’Vi forsøger at lave ’awareness-tiltag’. De ansatte vil blandt få undervisning i den rent praktiske håndtering af personoplysninger’, sagde regionens funktionschef for informationssikkerhed, Nicolai Arvedsen, 16. april til JydskeVestkysten.

Tilsyneladende har tiltagene ikke virket endnu, for tallet er steget med en tredjedel i 2019.

Sikkerhedsbruddene resulterede nemlig i 33 anmeldelser til Datatilsynet, viser spritnye tal, som Ekstra Bladet har fået aktindsigt i.

Du kan læse hele afgørelsen fra Datatilsynet herunder:

Mest læste i Forbrug
Seneste i Forbrug
Hent flere
Forsiden lige nu
Plus anbefaler
Hent flere