Endnu en sikkerhedsbrist: Region Syddanmark melder sig selv

Region Syddanmark har opdaget sikkerhedsbrister i ni systemer. Det er tredje sag i år, hvor regionen har håndteret personfølsomme oplysninger mod lovgivningen.

Region Syddanmark har meldt sig selv til Datatilsynet, efter der er blevet konstateret endnu et brud på persondatasikkerheden i flere af regionens it-systemer. 

Det har teoretisk været muligt for medarbejdere at tilgå dokumenter om patienter, de ikke er tilknyttet, skriver regionen i en pressemeddelelse.

- Med adgang til personoplysninger på den måde kunne det være muligt at eksportere dem og benytte dem til egne formål, som regionen ikke vil have kontrol over – for eksempel identitetstyveri, lyder det i meddelelsen.

Regionen er allerede blevet politianmeldt af Datatilsynet for to andre tilfælde i år, hvor personfølsomme oplysninger ikke er håndteret korrekt.

Den nyeste brist er kommet frem i forbindelse med en intern undersøgelse, men regionen understreger, at det har været meget kompliceret at få adgang til oplysningerne. Alligevel opfordrer Region Syddanmark til opmærksomhed.

- Modtager man eksempelvis bekræftelser på køb, man ikke selv har foretaget, eller bliver man kontaktet af mennesker, der siger, de har personlige oplysninger om en, skal man kontakte de relevante myndigheder og anmelde det, skriver regionen. 

CPR-numre og scanningsbilleder

Der er tale om i alt ni programmer, som havde samme sikkerhedsbrist og dermed brød reglerne.

- Oplysningerne i de ni it-systemer er af forskellig karakter, og i flere af tilfældene indeholder det alene almindelige personoplysninger. Det vil sige navne, fødselsdato og kontaktoplysninger. I nogle tilfælde indeholder de dog tillige CPR-numre, scanningsbilleder, behandlingsinformationer og helbredsoplysninger på patienter, der har været i kontakt med Region Syddanmark/sygehusene i regionen, skriver regionen.

For at tilgå de omfattede filer, skulle man ifølge Region Syddanmark gætte sig til flere oplysninger, herunder server- og drevnavne. 

Der har ikke være nogen sporing på filerne, og derfor vides det ikke, om der er nogen, der uberettiget har tilgået dem.

Flere alvorlige sager i bagagen

Datatilsynet kan ved alvorlige brud på databeskyttelsesreglerne politianmelde dataansvarlige og indstille dem til bøde.

Senest skete det for Region Syddanmark i september, efter det blev opdaget, at regionen siden maj 2011 har haft personfølsomme oplysninger om 3.915 syddanske patienter liggende frit på sin hjemmeside. 

Det blev først opdaget efter en henvendelse fra en patient og resulterede i en politianmeldelse og en indstilling til en bøde på 500.000 kroner.

Hvis man som patient i Region Syddanmark har spørgsmål, kan man kontakte regionens databeskyttelsesrådgiver på databeskyttelsesraadgiver@rsyd.dk eller telefonnummer 24 75 62 90.