Regioner lagde patienters sundhedsoplysninger på nettet 

Flere patienter har fået navn, cpr-nummer og sygdomsoplysninger lagt på nettet gennem manualer til regionernes it-systemer. Colourbox

Mindst tre af landets fem regioner har medvirket til, at personfølsomme patientdata er endt på nettet. Problematisk og ulovligt, slår eksperter fast.

27. marts 2018

Tre ud af fem regioner har i flere tilfælde lagt manualer til it-systemer på nettet, der indeholder fortrolige og personfølsomme oplysninger om deres ansatte og patienter.

Gennem søgninger på Google har Fagbladet FOA fundet frem til fem dokumenter med cpr-numre, navne og tilhørende sygdomsoplysninger på over 50 forskellige patienter. Flere af patienterne er efterfølgende døde, viser research, som Fagbladet FOA har lavet i forbindelse med verificeringen af patientoplysningerne. 

Læs også: Fortrolige data flyder på nettet

Offentliggørelsen af det personfølsomme data er et klart brud på persondataloven, vurderer Sten Schaumburg-Müller, professor i medieret på SDU.
 
“Det er i strid med persondataloven og sikkerhedsbekendtgørelsen. Præcist hvad myndighederne har gjort, for at informationerne er kommet ud, er ikke til at sige. Men at de ikke har gjort det godt nok, det er helt oplagt,” siger han.
 

Brist opstår i Word

Problemet med de usikre manualer opstår, fordi myndighederne bruger Word til at indsætte skærmbilleder, der indeholder fortrolige sundhedsoplysninger på deres  patienter. I de fleste tilfælde er billederne redigeret, så de fortrolige oplysninger ikke kan ses. 

Læs også: KL’s it-videnscenter lagde fortrolige oplysninger om udsatte børn på nettet

Men når de ligger i et Word-dokument, kan du ‘nulstille’ billederne med to klik, så du får de oprindelige skærmbilleder med de fortrolige oplysninger frem. Det, at de personfølsomme og fortrolige oplysninger ikke i alle manualerne er synlige, er ikke en formildende omstændighed, oplyser Datatilsynet.

“Du skal gøre noget aktivt for at få adgang til det, men ikke desto mindre er det et brud på datasikkerheden. Hvis der sidder nogen med onde hensigter, som ved, at det her er et issue, så er det slemt nok, for det kan jo tilgås, hvis man gør det på den rigtige måde,” siger Jesper Husmer Vang, kontorchef hos Datatilsynet.

Dokumentdatabaser

Fire ud af fem dokumenter, som Fagbladet FOA har fundet, har været gemt i Region Nordjyllands og Region Syddanmarks database med dokumenter til personalet. 

Det femte dokument, der indeholder navne, cpr-numre og sygdomsinformation om 33 patienter, er oprettet af personale i Region Hovedstaden og sendt til det private it-firma MedCom, som har lagt det på nettet. 

Læs også: Heidis sygdomsoplysninger havnede på nettet: Frygter identitetstyveri

Hos Datatilsynet anbefaler man de berørte regionerne, at de giver deres dokumentdatabaser et eftersyn for at sikre, at der ikke ligger mere følsomt materiale i dem.

“Hvis vi kan se, at en myndighed har flere af denne typer dokumenter liggende, så plejer vi normalt at bede dem om at gennemgå deres hjemmeside og sikre, at der ikke ligger mere derude. Så de skal simpelthen gennemgå deres side med en tættekam, vil vi normalt sige til dem,” siger Jesper Husmer Vang

Regioner: Godt det blev opdaget

Hos de tre dataansvarlige regioner og it-firmaet MedCom beklager man fejlen.

“Vi lægger os fladt ned. Det her må ikke forekomme, men desværre er der tale om nogle menneskelige fejl, som vi skal vi lære af. Jeg vil gerne sige tak for jeres henvendelse. Det er vigtigt, at der her kommer til vores kendskab,” siger Mads Haugaard, afdelingschef i Region Syddanmark.

Læs også: 5 trin til at stoppe datasjusk på nettet

Han fortæller, at de har lukket for adgangen til dokumentdatabasen, og de nu vil overveje at ændre retningslinjerne for de dokumenter, de ligger ud på nettet. 

Region Nordjylland har nu slettet vejledningen med patientdata og er i gang med at kontakte de 19 berørte patienter i vejledningen. 

“Regionen har desuden allerede i dag foranstaltninger der skal opdage, hvis der – mod forventning - er sket offentliggørelse af personoplysninger,” skriver Karin Bruhn Termannsen, kontorchef i Intern administration og service, Region Nordjylland.

Læs også: Skjult overvågning på jobbet: Her er reglerne

MedCom - det private it-firma - gør i en mail opmærksom på, at de ‘tager it-sikkerhed meget alvorlig’ og takker for at blive gjort opmærksom på fejlen. I en mail skriver Region Hovedstaden, at den sætter ‘stor pris på at være blevet gjort opmærksomme på denne hændelse’.

“Region Hovedstaden arbejder løbende med at øge vores medarbejderes viden om og opmærksomhed på at håndtere personfølsomme oplysninger fortroligt,” skriver enhedschef Cecilie Spence Bager i en opfølgende mail.