Underretning om brud på persondatasikkerheden i Region Syddanmark
Region Syddanmark underretter hermed borgerne om et brud på persondatasikkerheden i regionens sagsbehandlingssystem. Bruddet er anmeldt til Datatilsynet, og fejlen er udbedret.
Region Syddanmark har konstateret et brud på persondatasikkerheden, der teoretisk har gjort det muligt for regionens medarbejdere at skaffe sig adgang til personoplysninger. Bruddet angår it-systemet Acadre, som er Region Syddanmarks centrale administrative sagsbehandlingssystem. Systemet indeholder almindelige, fortrolige og følsomme personoplysninger. Fejlen er udbedret.
Sagen kort
Den 22. april 2020 traf Datatilsynet afgørelse i en sag vedrørende en anden offentlig myndigheds Acadre-system. Datatilsynet udtalte alvorlig kritik af, at alle medarbejdere teoretisk havde haft adgang til Acadre-data uden om selve Acadre.
På baggrund af denne afgørelse igangsatte Region Syddanmark sin egen undersøgelse af, om regionen kunne stå i en tilsvarende situation. Den 27. april 2020 kunne regionen på baggrund af disse egne undersøgelser fastslå, at der i regionen var et tilsvarende brud på persondatasikkerheden, idet der var mulighed for, at Acadre-data kunne tilgås via et netværksdrev uden om Acadre.
Den 30. april 2020 anmeldte regionen sagen til Datatilsynet som et brud på persondatasikkerheden.
Bruddet på persondatasikkerheden bestod i, at det teoretisk var muligt for alle ansatte i regionen at tilgå dokumenter fra Acadre-sager – også uden en Acadre-profil. Netværksdrevet kunne lokaliseres, hvis en medarbejder aktivt ledte efter det på sin PC. Dokumenterne på netværksdrevet var navngivet efter Acadres ID-system, som er en sammensætning af en række af tal og tegn, og dokumenttitlerne indeholdt ikke i sig selv indikation af, hvorvidt der var tale om personoplysninger eller hvis personoplysninger, der var tale om.
Det var ikke muligt at søge på netværksdrevet; der kunne således ikke søges på hverken et bestemt navn eller på bestemt CPR-nummer. Der var imidlertid ingen logning på det pågældende netværksdrev, hvorfra data kunne tilgås. Derfor har det ikke været muligt at kontrollere, om nogen ansatte har tilgået personoplysninger uberettiget.
I en offentlig administration kan medarbejdere støde på personfølsomme oplysninger. Nogle arbejder med det til dagligt, mens andre kun er i kontakt med den slags oplysninger få gange. Dog er alle medarbejdere underlagt tavshedspligt, så de ikke deler de informationer, som de får i løbet af arbejdsdagen med andre.
Kort tid efter bruddet blev opdaget, blev adgangen til netværksdrevet lukket. Det skete den 7. maj 2020. Der er således ikke længere adgang til Acadre-data via netværksdrevet.
CPR-numre, helbredsoplysninger og personaleoplysninger m.v.
Region Syddanmark behandler personoplysninger, som de registrerede giver til regionen, ligesom regionen behandler personoplysninger, hvor det er nødvendigt til behandling af den registreredes sag. De listede oplysninger går ikke igen i alle sager. Nogle oplysninger forekommer i få sager, mens andre oplysninger – såsom navn og kontaktoplysninger – forekommer i flere. Nogle oplysninger forekommer udelukkende, fordi den pågældende borger selv har valgt at gøre Region Syddanmark bekendt med dem.
Oplysningerne i Acadre-netværksdrevet er bl.a. navne, fødselsdato, kontaktoplysninger, CPR-numre, økonomiske forhold, oplysninger om lokation, oplysninger om strafbare forhold og oplysninger om religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold samt seksuelle forhold eller orientering og helbredsoplysninger på borgere, der har været i kontakt med Region Syddanmark samt oplysninger i personalesager på ansatte i Region Syddanmark.
Mens det er kutyme at opbevare oplysninger såsom navn og kontaktoplysninger, hører det til sjældenhederne, at der er sager, hvor der opbevares oplysninger om eksempelvis seksuel orientering eller religiøs overbevisning.
For borgere og ansatte har der været risiko for, at andre medarbejdere i Region Syddanmark end de, der behandler borgerens/den ansattes sag, har haft adgang og kendskab til deres oplysninger. Med adgang til personoplysninger på den måde, kunne det være muligt at eksportere dem og benytte dem til egne formål, som regionen ikke vil have kontrol over – f.eks. identitetstyveri.
Hvad man skal være opmærksom på
Den generelle agtpågivenhed i forhold til, om ens personlige oplysninger er blevet misbrugt, er også gældende her.
Region Syddanmark har ikke kendskab til, at regionens medarbejdere har benyttet denne adgang.
Kontrollen optimeres
Den pågældende adgang til netværksdrevet blev lukket umiddelbart efter konstatering af bruddet.
På baggrund af bl.a. denne sag har Region Syddanmark iværksat en større undersøgelse med henblik på at afdække, om regionen har andre systemer med lignende sårbarheder.
Hvis man som ansat i Region Syddanmark eller borger har spørgsmål, kan man kontakte Region Syddanmarks databeskyttelsesrådgiver på databeskyttelsesraadgiver@rsyd.dk eller telefonnummer 24 75 62 90.