Region får alvorlig kritik
Brist på sikkerhed og kritik førte til opdagelse af ny sag om databrist
Region Syddanmark får alvorlig kritik af Datatilsynet for brud på persondatasikkerheden.
Bruddet betød, at der var adgang til 365 personers navn, personnummer og graviditetsoplysninger.
Datatilsynet skriver i afgørelsen, at Region Syddanmark ikke havde foretaget den fornødne risikovurdering og test under udviklingen af et it-system. Det førte altså til en uautoriseret adgang til gravide kvinders navn og personnummer.
Fandt endnu en brist
Afgørelsen kommer samtidigt med, at regionen selv informerer om en anden sag, hvor der ikke har været styr på persondatasikkerheden. I den seneste sag var et et brud på samme it-system, men denne gang i regionens sagsbehandlingssystem. IT-direktør Morten Lundgaard afviser dog, at Region Syddanmark generelt svigter på datasikkerheden.
– Nej, jeg synes ikke, vi har et generelt problem. Men jeg kan ikke garantere, at vi ikke få andre sager. Vi har 1500 forskellige IT-systemer i regionen. Så hvis vi ikke ved, hvad vi skal lede efter, så kan vi reelt ikke vide, at vi har en udfordring, siger IT-direktør Morten Lundgaard.
Region Syddanmark havde selv anmeldt bruddet på datasikkerheden, der førte til adgangen til de gravide kvinders oplysninger.
Åben adgang i fire år
Da regionen for nyligt modtog den alvorlige kritik fra Datatilsynet, satte den gang i en undersøgelse i et andet sted i samme IT-system. Her viste det sig, at der siden 2016 havde været et lignende brud i regionens administrative sagsbehandlingssystem.
– Sagen fra Kolding kommune (med de gravide kvinder, red.) er ved at være to år gammel. Vi har ikke fået en udtalelse på den “nye” sag. Men vi vurderer, at det er en sag, vi bør informere om, siger Morten Lundgaard.
I den nyeste databrist har der siden 2016 og frem til i år 2020 været adgang til personfølsomme oplysninger for både borgere og ansatte i Region Syddanmark. Dog ikke patientoplysninger i forbindelse med indlæggelser, men sagsbehandling eksempelvis i erstatningssager.
– Ja, det er lang tid. Men vi har ikke haft anledning til at tro, at der var en potentiel datasikkerhedsbrist, forklarer Morten Lundgaard.