Region Syddanmark passer godt på borgerne og patienternes personoplysninger
Region Syddanmark har i 2018 indberettet 25 brud på persondatasikkerheden. Kun få af bruddene skyldes fejl i it-systemer eller hackerangreb. Det fremgår af den første årsrapport fra regionens databeskyttelsesrådgiver.
Region Syddanmark indsamler, opbevarer og behandler dagligt tusindvis af personoplysninger fra regionens medarbejdere og fra de borgere og patienter, der er i kontakt med det syddanske sundhedsvæsen. Man kan trygt stole på, at regionen passer godt på personoplysningerne og lever op til sit ansvar som dataansvarlig.
Alle brud bliver indberettet til Datatilsynet
Region Syddanmark er ifølge Databeskyttelsesforordningen, der trådte i kraft 25. maj 2018, nemlig forpligtet til at anmelde til Datatilsynet, hvis der sker brud på persondatasikkerheden. Det skete i 2018 i alt 25 gange. Det fremgår af den årsrapport, som Mia Bekker Leimand, der blev ansat som regionens første databeskyttelsesrådgiver 1. marts 2018, har udarbejdet.
Databeskyttelsesrådgiver Mia Bekker Leimand siger:
- Der er et stort fokus på datasikkerhed i organisationen. 25 brud kan være et udtryk for, at vi har skabt en fin awareness omkring, at brud på persondatasikkerheden skal anmeldes til Datatilsynet.
I årsrapporten kan man læse, at ud af de 25 anmeldte brud til Datatilsynet skyldes 16 brud utilsigtet videregivelse af personoplysninger, og 8 brud skyldes utilsigtet adgang til personoplysninger i regionens systemer. Ét brud har endnu ikke fået fastslået en årsag.
Uddannelse og information til medarbejdere
Ifølge Mia Bekker Leimand er 10 af de 25 brud sket fra Outlook, der er regionens mail-system:
- De fleste brud er opgjort som menneskelige fejl i modsætning til deciderede hackerangreb eller fejl i it-systemer. Datasikkerhedsbrudene i Outlook er typisk sket, fordi en medarbejder har sendt en mail til en forkert modtager. Menneskelige fejl kan aldrig helt undgås, men undervisning af vores medarbejdere vil have høj prioritet i 2019, hvor vi vil udarbejde flere informationsmaterialer, som skaber viden og opmærksomhed omkring de situationer – f.eks. når man sender mails – hvor man skal passe ekstra godt på personoplysningerne.
Ét brud har givet anledning til kritik fra Datatilsynet
Regionen vil også styrke adgangskontrollen med regionens it-systemer, så det sikres, at medarbejderne kun har adgang til de personoplysninger, som de skal bruge i deres arbejde. I 2018 indberettede Region Syddanmark 8 tilfælde, hvor medarbejdere utilsigtet havde adgang til personoplysninger i regionens systemer.
Kun et fåtal af de 25 anmeldte brud er afgjort af Datatilsynet, og heraf har Datatilsynet henlagt de fleste uden sanktioner. I ét tilfælde har Region Syddanmark modtaget kritik for et brud på datasikkerheden i et system, der efter tilsynets vurdering ikke levede op til det påkrævede sikkerhedsniveau.
Bruddet skyldes, at personoplysninger om et stort antal patienter potentielt kunne tilgås af alle regionens ansatte i en lang periode, og at det – med en vis lægefaglig viden – var muligt at udrede helbredsoplysninger.
Første interne audit gennemført
Region Syddanmark har i 2018 for første gang gennemført en intern audit, hvor aftalegrundlaget for it-systemerne COSMIC, Cetrea og BCC, der er hhv. regionens patientjournalsystem, et system til patientbookninger og patientflow samt et system til bestilling af blodprøver, blev gennemgået. I auditten blev databehandleraftalerne mellem regionen og dennes leverandører også gennemgået.
Region Syddanmarks regionsråd behandler databeskyttelsens årsrapport på deres møde 29. april.
Yderligere oplysninger:
Nicolai Arvedsen, konsitueret afdelingschef, Styring og Informationssikkerhed, Regional IT,
Tlf.: 29 20 13 31