Alvorligt brud på persondatasikkerhed: Alle borgere i hovedstaden kan være berørt

Et brud på persondatasikkerheden i Region Hovedstaden er blevet anmeldt til Datatilsynet, efter en intern undersøgelse.

I forbindelse med en intern undersøgelse har Region Hovedstaden fundet et brud på persondatasikkerheden, som betyder, at borgere har risikeret uautoriseret adgang til deres personoplysninger.

Det skriver Region Hovedstaden selv i en pressemeddelelse.

Undersøgelsen blev igangsat i juli måned som opfølgning på hændelser i andre regioner. Og den 30. september fandt man så et alvorligt brud på persondatasikkerheden, som nu har ført til en anmeldelse til Datatilsynet.

Her viste det sig, at der på Region Hovedstadens interne netværksdrev har været fem filmapper uden tilstrækkelig adgangsbegrænsning. Filmapperne har indeholdt personoplysninger i form af helbredsoplysninger. Alle filmapper er nu blevet lukket.

På grund af den utilstrækkelige adgangsbegrænsning har indholdet af mapperne reelt været tilgængeligt for alle medarbejdere med et gyldigt regionh-login, men intet tyder på, at adgangen til filmapperne har været udnyttet, men det kan ikke udelukkes, skriver Region Hovedstaden.

Dog kan det fastslås, at filmapperne på intet tidspunkt har været tilgængelig for personer udenfor regionen.

Kan ikke udelukke misbrug

Der har alene været adgang til oplysninger i filmapperne, og dermed ikke generel adgang til data i de tilhørende it-systemer. Det har dermed ikke været muligt bredt at søge på et specifikt navn eller cpr-nr. for på denne måde at finde helbredsoplysninger om en konkret borger.

Region Hovedstaden oplyser, at der efterfølgende har været igangsat en række supplerende undersøgelser af filmapper og data.

”På denne baggrund kan Region Hovedstaden konkludere, at det ikke er muligt at afklare det præcise antal af borgere, der er berørt af bruddet, eller det specifikke antal af personoplysninger, der indgår i bruddet. En sådan afklaring vil kræve en manuel gennemgang af hver enkelt datafil og således medføre en uforholdsmæssigt stor indsats.”, skriver Region Hovedstaden i pressemeddelelsen.

Vicedirektør Carsten Nørgaard i Region Hovedstadens Center for IT, Medico og Telefoni udtaler:

- Vi har meget høje krav til vores it-sikkerhed og datahåndtering. Vores borgere skal være sikre på, at det kun er medarbejdere med behandlerrelation, der har tilgået deres personoplysninger. Derfor ser vi med stor alvor på, at der har været en brist i denne håndtering, som kan have betydning for den enkelte patient.

Carsten Nørgaard vurderer dog, at der er en lav sandsynlighed for, at uvedkommende har set personoplysningerne i de åbne filmapper, fordi det kræver præcis og specifik viden om filmappernes placering for at få adgang. Alle borgere kan dog potentielt være omfattet af bruddet.

- Men selv om sandsynligheden er lav, så kan det ikke udelukkes, at en medarbejder ulovligt kan have udnyttet adgangen til filerne. Tilgangen til filerne i mapperne bliver - modsat selve it-systemerne - ikke logget, så vi kan ikke konstatere, om en medarbejder har kigget i dem. Men omvendt vi kan derfor desværre heller ikke udelukke det, siger Carsten Nørgaard.

Personoplysninger i filmapperne

De åbne filmapper lå på regionens netdrev og indeholdt eksempelvis:

 

- Røntgenbilleder

- Journaloplysninger

- Hjertemålingsresultater

 

Der har alene været adgang til oplysningerne i filmapperne, og dermed ikke generel adgang til data i de tilhørende it-systemer. Det har dermed ikke været muligt bredt at søge på et specifikt navn eller cpr-nr. for på denne måde at finde helbredsoplysninger om en konkret borger.

 

Filmapperne har tilknytning til specifikke it-systemer, som bruges eller tidligere har været brugt i regionen. Det er ikke ualmindeligt, at der oprettes filmapper i tilknytning til konkrete it-systemer, men adgangen til filmapperne skal altid begrænses. Det er ved en fejl ikke sket ved disse filmapper.

 

De åbne filmapper indeholdt tilsammen ca. 240.000 datafiler. Antallet af datafiler kan ikke anses som et udtryk for antallet af berørte borgere. En stikprøvekontrol af et udsnit af filer viser således, at antallet af borgere er markant lavere end antallet af kontrollerede datafiler.

 

Alle ansatte i sundhedsvæsenet er underlagt tavshedspligt ved deres ansættelse. I tilfælde af, at en ansat har udnyttet den åbne adgang til filmapperne og overtrådt sin tavshedspligt, kan personen straffes.

 

Kilde: Region Hovedstaden