Medarbejdere i Region Syddanmark har haft mulighed for at kigge på personers privatfølsomme data, selvom de ikke burde have haft det. Det slår regionen fast efter at de selv har anmeldt brud på datasikkerheden til Datatilsynet.

Selvom det i flere år har været et samfundstema, at der skal være skrap sikkerhed omkring sundhedsoplysningerne om borgerne, er det tilsyneladende ikke slået igennem hos Region Syddanmark, der blandt andet har haft patientoplysninger liggende på et fælles drev, hvor man end ikke kan se, om nogen har anskaffet sig uberettiget adgang til patientoplysningerne. Regionen forsøger i dag at afmontere alvorsgraden af de datalæk, de selv har fundet under en intern undersøgelse.

“For at lokalisere og få adgang til netværksdrevene skulle en medarbejder aktivt lede efter det. Dokumenter på fællesdrev var ikke navngivet med persondata, men var en sammensætning af information, der kun var forståelig for de medarbejdere, der arbejdede med de pågældende patienter. Dokumenttitlerne indeholdt ikke i sig selv indikation af, hvorvidt der var tale om personoplysninger, eller hvis personoplysninger der var tale om”, skriver Region Syddanmark.

Men hvis en medarbejder uden ret til adgang, alligevel havde fået adgang til dataene, kunne de både læse i dokumenter og ændre dem. Selvom Region Syddanmark ikke mener, det har været let for nogen at finde de pågældende drev, så er alvorsgraden alligevel stor, da man ikke har sikret sig dokumentation for, hvem der har haft adgang til drevene. Derfor ved Region Syddanmark reelt ikke, hvem der har haft adgang til data ulovligt, da de skrives således:

“Der var imidlertid ingen logning på de pågældende netværksdrev, hvorfra data kunne tilgås. Derfor har det ikke været muligt at kontrollere, om ansatte har tilgået personoplysninger uberettiget”.

Region Syddanmark beskriver 8 datasystemer, hvorfra der er konstateret problemer med sikkerheden. Det drejer sig om CIS på sygehusenes intensivafdelinger, Endobase til endoskopi-undersøgelser, Carestream RIS til patienters røntgenbilleder, Trifork til administration af befordringsrefusion til patienter, Buanco der er et kantinesystem, Lifenet der bruges til EKG i ambulancer, Imagenet der bruges til billeder af patienters øjenethinde og Piilcam der bruges til billeder af patienters tarmsystem.

Men ikke kun disse systemer har haft problemer, der nu er meldt til Datatilsynet. Også systemet Acadre er ramt. I dette system har det været muligt for regionens medarbejdere at skaffe sig adgang til personoplysninger, de ikke burde have adgang til. Systemet anvendes som Region Syddanmarks elektroniske sags- og dokumenthåndteringssystem.

“Systemet indeholder almindelige, fortrolige og følsomme personoplysninger. Bruddet skyldes både brugerfejl i Acadre og uhensigtsmæssighed/fejl i kvalitetssikringssystemet Adoxa. Fejlen er ifølge leverandøren udbedret, og der er ikke noget, der tyder på, at den uretmæssige adgang er blevet misbrugt”, skriver Region Syddanmark.

Men selvom Region Syddanmark ikke har konstateret konkret misbrug, efterlader det store tillidsproblemer til regionens IT og datasikkerhed. Da man den 17. september 2021 opdagede, at der på daværende tidspunkt fandtes 16.125 dokumenter om sagstyperne personalesager, borgersager og arbejdsskadesager, og samtidig konstaterede at disse type sager ikke var påført en adgangskode, var det et omfattende svigt i sikkerheden.

Dertil skriver Region Syddanmark:

“En undersøgelse foretaget af leverandøren viser, at der dels er tale om brugerfejl for hele perioden og uhensigtmæssighed/fejl i kvalitetssikringssystemet Adoxa, som regionen har anvendt på sager/dokumenter fra 7. oktober 2020 til nu. Regionen arbejder aktivt og opsøgende for at sikre efterlevelse af krav til journalisering”.

Vi har forsøgt at få en kommentar fra Region Syddanmarks IT-ansvarlige, men han er ikke vendt tilbage inden deadline. Hvis man som patient i Region Syddanmark har spørgsmål, kan man kontakte Region Syddanmarks databeskyttelsesrådgiver på databeskyttelsesraadgiver@rsyd.dk eller telefonnummer 24 75 62 90.

1 KOMMENTAR

Skriv en kommentar