Annonce
Danmark

Ni databrud på under et år: Flere hundrede tusinde patienter kan have fået delt personfølsomme oplysninger

Blandt andet Odense Universitetshospital har været ramt af flere brud på datasikkerheden. Arkivfoto: Michael Bager
Region Syddanmark har opdaget to nye brud på datasikkerheden og har bare i år konstateret ni databrud, der omfatter flere hundrede tusinde patienters personfølsomme oplysninger. To sager har i år udløst alvorlig kritik. Regionen forventer ikke, at persondata er misbrugt, men får alligevel hård kritik af ekspert.
Annonce

Sundhed: Flere hundrede tusinde patienter i Syddanmark kan have fået delt CPR-numre eller andre personfølsomme oplysninger det seneste år. Bare siden foråret har regionen således opdaget ni datasikkerhedsbrud i regionens systemet.

Det står klart, efter at regionen fredag endnu engang måtte meddele, at der var fundet nye brud i regionens it-systemer.


De skal stramme meget op. Regionerne har mange ekstremt følsomme personoplysninger, så flere databrud ser ikke godt ud.

Hanne Marie Motzfeldt, lektor i digital forvaltning, Københavns Universitet


Der er tale om to nye databrud, hvor patienters personfølsomme oplysninger i årevis har kunnet havne i forkerte hænder på henholdsvis Sygehus Sønderjylland og Odense Universitetshospital. Fra 22. november 2017 til september 2020 har der været risiko for, at andre medarbejdere i Region Syddanmark end dem, der har behandlet patienterne, har haft adgang og kendskab til oplysninger, skriver regionen i en pressemeddelelse.

Morten Lundgaard, it-direktør i Region Syddanmark, fortæller til Avisen Danmark, at de syv seneste databrud er af samme typer, og regionen er overbevist om, at patienters personoplysninger ikke er blevet misbrugt. Det hænger sammen med, at det kun er andre medarbejdere i regionen, der har kunnet skaffe sig adgang til oplysningerne, og da det ifølge regionen rent teknisk har været meget svært at få fat på borgeres personoplysninger.

- Vi har på nuværende tidspunkt ingen forventning om, at de er udnyttet. Og ingen borgere har henvendt sig til os og sagt, at de har oplevet identitetstyveri på grund af et muligt brud her. Men vi kan ikke udelukke det. Det er vores klare overbevisning, at det er meget usandsynligt, at det er sket ved denne type brud, siger han.

Annonce

Alvorlig kritik

Det samme gør sig gældende i årets to første databrud, hvor 3903 borgeres CPR-numre lå som bagvedliggende data til en graf i en PowerPoint-præsentation på regionens hjemmeside, mens der i det andet tilfælde var potentiel adgang for regionens 30.000 ansatte til 800.000 borgeres personoplysninger gennem syv år.

Her er de ni databrud

  1. I marts offentliggjorde regionen årets første databrud. 3903 borgeres cpr-numre har været tilgængelige på regionens hjemmeside i forbindelse med et powerpoint-præsentation, der var brugt til undervisningsformål. De fleste cpr-numre var gemt som bagvedliggende data til en graf, men 22 CPR-numre optrådte i en tabel i selve præsentationen.
  2. I juni offentliggjorde regionen endnu et databrud – denne gang i et system, der bliver brugt på alle regionens fem sygehuse. Bruddet gjorde det teoretisk muligt for medarbejdere at skaffe sig adgang til samlet 800.000 patienters navne og cpr-numre over en syvårig periode.
  3. I juli kom det frem, at der var sket endnu et databrud, der gjorde det teoretisk muligt for regionens medarbejdere at skaffe sig adgang til personoplysninger. Det fremgår ikke af regionens pressemeddelelse, hvor mange personer, der var omfattet af bruddet.
  4. I september meddelte regionen så, at der var konstateret sikkerhedsbrud i hele fire systemer, som blev brugt på afdelinger på Odense Universitetshospital og Sygehus Sønderjylland. Det fremgår ikke af regionens pressemeddelelse, hvor mange personer, der var omfattet af bruddet. Men ifølge Radio4 kan 173.000 personer potentielt have fået delt personfølsomme oplysninger, hvilket Morten Lundgaard, regionens it-direktør, bekræfter over for avisen Danmark.
  5. Fredag kom det så frem, at der var konstateret brud i yderligere to systemer, der bliver brugt på Odense Universitetshospital og Sygehus Sønderjylland. Det har ikke været muligt at få oplyst, hvor mange personer der er omfattet af sikkerhedsbruddet, skriver regionen til Avisen Danmark.

Sidstnævnte udløste i år alvorlig kritik af Region Syddanmark fra Datatilsynet, ligesom en sag fra 2018, hvor 365 gravide kvinders navne og personnumre var tilgængelige for uvedkommende, også har udløst alvorlig kritik i år. Datatilsynet har ikke offentliggjort kritik af andre regioner i samme periode.

Annonce

Har ledt efter huller

Men Morten Lundgaard afviser, at det er et udtryk for, at datasikkerheden skulle være dårligere i Region Syddanmark. Han henviser blandt andet til, at det er på foranledning af, at regionen selv har iværksat en intern undersøgelse af systemerne, at man har fundet frem til databruddene.

- Jeg vil aldrig forsvare brud på datasikkerheden, men jeg synes, vi agerer ansvarligt, når vi ser mulige tendenser på brud og prøver at afdække det. Og når man leder, øger det sandsynligheden for, at man finder noget.

Kunne det ikke bare være, at man finder huller i Syddanmark, fordi I har en dårligere sikkerhed i forhold til borgeres personfølsomme oplysninger?

- Det er jeg ikke enig i. Jeg vil anerkende, at vi tager opgaven på os, og når vi opdage brud, gør vi, hvad vi kan for at lukke dem ned. Det synes jeg er en fuld og fair udlægning. At vi har dårligere datasikkerhed end andre kan jeg ikke udtale mig om. Jeg har ikke konkret kendskab til, hvordan andre regioners sikkerhed ser ud, siger Morten Lundsgaard

Annonce

Skal stramme op

Hanne Marie Motzfeldt, lektor i digital forvaltning på Københavns Universitet, mener, at Region Syddanmark bør stramme op.

- De skal stramme meget op. Regionerne har mange ekstremt følsomme personoplysninger, så flere databrud ser ikke godt ud, siger hun.

Også selvom det ifølge regionen er usandsynligt, at data er blevet misbrugt.

- Det kan godt være, at risikoen er lille, men det er ikke ensbetydende med, at den skal være der alligevel. Der er snarere en formildende omstændighed, at de er ved at rydde op, men jeg kan være bekymret for, hvordan det så ser ud i andre regioner, siger hun.

Annonce

Ingen garantier

Region Syddanmark er ved at færdiggøre den interne undersøgelse af eventuelle databrud, og forventer ikke at finde lignende databrud.

- Men jeg kan ikke udelukke, at vi ikke allerede på mandag vil orientere om en anden type sikkerhedshul. Det følger af den åbenhed, vi har overfor offentligheden, siger Morten Lundgaard.

Annonce
Annonce
Annonce
Annonce
Forsiden netop nu
Randers FC

Så lykkedes det på hjemmebane: Randers FC kontrollerede mod fynboer

Danmark

Fund af corona-virus i hunde og katte: Fødevarestyrelsen afliver katte på minkfarm

Randers FC

Genlæs livebloggen: Randers FC vinder med 2–1 over OB

Østjylland

Peter 'PC' Christiansen får nyt job i FC København: AGF suspenderer ham med øjeblikkelig virkning

Annonce