Følsomme oplysninger om psykiatriske patienter flød på nettet

Oplysninger om 220 psykiatriske patienter og deres pårørende har ved en fejl været tilgængelige på internettet. Regionen har nu fyret den ansvarlige it-leverandør.

Navne, e-mails og oplysninger om tilknytning til psykiatrien har i en periode på 19 måneder været tilgængelige via en åben mailkonto på internettet.

Fejlen har betydet, at 139 patienters tilknytning til et behandlingsforløb med internetpsykiatri har været frit tilgængelige. Om to patienter har der endvidere ligget oplysninger om selvmordstanker. Derudover har der også ligget oplysninger om 78 pårørende til de psykiatriske patienter. 

De i alt 141 patienter fra hele landet har alle deltaget i behandlingsforløb over internettet gennem softwareprogrammet FearFigther. Programmet har sendt notifikationer via mail til deltagerne, og samtidig er der ved en fejl blevet sendt notifikationer til en åben e-mailkonto, som alle i princippet har haft adgang til fra en bestemt internetside. 

Se interviewet med lægefaglig direktør ved Psykiatrien i Region Syddanmark, Anders Meinert Pedersen.  Ole Holbech

Opdaget ved et tilfælde

- En behandler opdagede ved et tilfælde, at en notifikation også blev sendt til den pågældende adresse i CC-feltet. Han kontaktede Region Syddanmark, og på den måde blev vi opmærksom på databristen, siger lægefaglig direktør ved Psykiatrien i Region Syddanmark, Anders Meinert Pedersen. 

Datalækken har stået på fra november 2016 til juni 2018, hvor fejlen blev opdaget. Notifikationerne har været tilgængelige på den åbne side i ni dage, hvorefter de automatisk blev slettet. 

Firmaet fyret

FearFighers og programmet NoDep er blevet levereret af det britiske firma CCBT. Efter afsløringen af databristen har Region Syddanmark opsagt samarbejdet med firmaet.

- Det er en fejl, som ikke må ske. Jeg beklager, at CCBT´s kontraktbrud kan skabe utryghed hos vores patienter. Jeg er meget skuffet over, at CCBT har brudt den tillid, som skal være til stede i behandlingen af personoplysninger. Vi afbryder derfor samarbejdet med CCBT, så hurtigt det kan lade sig gøre, uden at vores patienter kommer i klemme, siger Anders Meinert Pedersen.

Fejlen er nu blevet rettet, og de berørte patienter er blevet underrettet og får tilbudt alternativ behandling via videokonkultationer og andre softwareprogrammer.

Meldt til datatilsynet

- Det er vigtigt for mig at understrege, at oplysningerne har været tilgængelige på en bestemt side, der krævede, at man vidste, hvor de lå, for at finde dem. Alligevel ser vi med stor alvor på sagen. Vi lukker nu ned for FearFighter og NoDep, siger Anders Meinert Pedersen.

Region Syddanmark har meldt sagen til Datatilsynet og overvejer nu, om der skal tages retslige skridt med krav om tilbagebetaling af penge. Kontrakten med CCBT beløber sig til 45.000 kroner i 2018.

CCBT har ikke været i stand til at levere en logfil til Region Syddanmark, der kunne have afsløret om nogle har været inde og snuse i oplysningerne.