Læk: Havde adgang til 800.000 borgeres oplysninger

Datatilsynet beder Region Syddanmark at underrette borgere om brud på datasikkerhed.

En hel regions medarbejdere har kunnet skaffe sig personfølsomme oplysninger om 800.000 borgere. Foto: Colourbox.
Offentliggjort Sidst opdateret

Region Syddanmark har konstateret et datasikkerhedsbrud i et af regionens it-systemer, der anvendes af regionens sygehuse.

Det oplyser Region Syddanmark.

Region Syddanmark har konstateret et brud på persondatasikkerheden, der teoretisk har gjort det muligt for regionens medarbejdere at skaffe sig adgang til patientoplysninger – herunder navn og CPR-nummer.

Bruddet angår Region Syddanmarks platform til restjournaler, som er filer, der skal knyttes til patientjournaler i Region Syddanmarks elektroniske patientjournalsystem Cosmic.

“Region Syddanmark har lukket ned for bruddet og har sat gang i undersøgelser, der skal kortlægge, om der kan være lignende sårbarheder i regionens øvrige it-systemer”, skriver regionen.

Region Syddanmark har undersøgt aktivitetsloggen for de forudgående 3 måneder, og denne har vist, at filerne i mappen kun er blevet tilgået af ansatte med et arbejdsbetinget formål. Muligheden for uberettiget adgang er i øvrigt nu blevet lukket.

Tidlig kontakt til Datatilsynet

Da bruddet blev opdaget, rettede Region Syddanmark hurtigt henvendelse til Datatilsynet for at få råd og vejledning til vurderingen af sagen. Datatilsynet har nu afgjort, at Region Syddanmark skal underrette de berørte.

Administrerende sygehusdirektør på OUH, Niels Nørgaard Pedersen, siger:

– Vi vurderer ikke, at det er sandsynligt, at patientoplysningerne er faldet i de forkerte hænder. Vores medarbejdere arbejder under ansvar og håndterer under dette ansvar personoplysninger hver dag, og så skal man have en enormt stor viden om it og samtidig vide, præcis hvor og hvornår man skal lede, hvis man skulle have fat i disse oplysninger. Men uanset hvad, så skal sikkerheden være i orden, og derfor følger vi op og følger Datatilsynets anvisninger.

Kan ikke underrette direkte

Niels Nørgaard Pedersen understreger, at det ikke er muligt for Region Syddanmark at underrette borgerne direkte:

– Systemet har kørt i syv år og har behandlet patientoplysninger om over 800.000 patienter, og det er ikke praktisk muligt for os at gå så langt tilbage og udpege, hvis patientoplysninger der har været igennem systemet. Derfor vælger vi at leve op til underretningsforpligtelsen via pressen, så vi kommer bredt ud.

Underretning

På baggrund af Datatilsynets afgørelse udsender Region Syddanmark denne underretning:

Region Syddanmark underretter hermed 800.000 patienter i Region Syddanmark om et brud på persondatasikkerheden i et it-system til restjournaler. Datatilsynet har bedt regionen underrette patienterne, hvilket hermed sker.

Du kan læse resten af underretningen på Region Syddanmarks hjemmeside.

Hvis du som patient er bekymret, kan du kontakte Region Syddanmarks databeskyttelsesrådgiver på telefonnummer 24 75 62 90 eller databeskyttelsesraadgiver@rsyd.dk

Powered by Labrador CMS