Skip til primært indhold

Databrud i undervisningsmateriale

Odense Universitetshospital har anmeldt brud på persondatasikkerheden til Datatilsynet.

27. marts 2020

It-sikkerhed

Odense Universitetshospital (OUH) har på en del af Region Syddanmarks hjemmeside, der har været anvendt til undervisningsformål, fundet en PowerPoint-præsentation fra 2011 med CPR-numre på 3903 borgere.  Størstedelen af CPR-numrene lå som bagvedliggende data til en graf og har altså ikke været direkte synlige i præsentationen. 22 CPR-numre optræder dog i en indlejret tabel i selve præsentationen.
 
PowerPoint-præsentationen indeholdt desuden 12 tilfælde af patient-id og operationstype på borgere – dog uden navn og CPR-nummer. Både den del af hjemmesiden og den pågældende PowerPoint-præsentation er fjernet.
 
Region Syddanmarks undersøgelser viser, at præsentationen har været åbnet i alt 15 gange i perioden 2011 til den blev fjernet 6. februar 2020. De følsomme oplysninger har været tilgængelige på en af de sidste sider i præsentationen, der er på 52 sider, og langt de fleste CPR-numre har ligget som bagvedliggende data. Den pågældende data var fra Dansk Lunge Cancer Registers database.
 
Af de 3903 udsatte borgere er 672 stadig er i live. Af disse bor 668 fortsat i Danmark, og de er blevet underrettet om situationen via brev fra OUH, hvor de også er blevet oplyst om deres muligheder for at klage.
 
Administrerende sygehusdirektør på OUH, Niels Nørgaard Pedersen, siger:
 
- Vi sørgede for at der blev lukket for adgangen til filen, så snart vi blev gjort opmærksomme på det. Heldigvis er der kun 15 personer, der har åbnet præsentationen, og materialet har indgået i et fagligt undervisningsmateriale, der er rettet mod fagfolk, som er vant til at håndtere personoplysninger. Når det er sagt, er der selvfølgelig stadig tale om et brud på persondatasikkerheden, og derfor har vi anmeldt det til Datatilsynet. Jeg vil samtidig gerne undskylde til de patienter, der er berørt af dette.
 
Allerede i 2016 etablerede Region Syddanmark en ny sikkerhedsproces, der skal forhindre, at medarbejdere lægger CPR-numre på regionens hjemmesider. Denne proces bør fange CPR-numre, der er synlige på hjemmesider eller i dokumenter. Det undersøges i øjeblikket, hvorfor processen ikke har fanget de synlige CPR-numre i præsentationen, ligesom det undersøges, om sikkerhedsprocessen kan justeres til at finde bagvedliggende ”usynlige” data.
 
Region Syddanmark udfører løbende kontrol og opfølgning på nye hjemmesider.

Yderligere oplysninger:

Administrerende sygehusdirektør Niels Nørgaard Pedersen, OUH, tlf. 20 28 20 71

Nyheder

Se flere nyheder

24. februar 2023

It-sikkerhed

Underretning om brud på persondatasikkerheden i Region Syddanmark

Region Syddanmark har konstateret et brud på persondatasikkerheden i et udkaldssystem til akut- og førstehjælpere. Regionen har håndteret bruddet og efter reglerne anmeldt det til Datatilsynet, og regionen underretter hermed berørte borgerne, akut- og førstehjælpere og ejere af hjertestartere.

4. februar 2022

It-sikkerhed

Underretning om brud på persondatasikkerheden i Region Syddanmark

Region Syddanmark har konstateret brud på persondatasikkerheden i 3 af regionens it-systemer. Regionen har anmeldt bruddene til Datatilsynet. Bruddene er blevet fundet i forbindelse med en intern undersøgelse. Alle bruddene er håndteret.

8. oktober 2021

It-sikkerhed

Underretning om brud på persondatasikkerheden i Region Syddanmark

Region Syddanmark har konstateret brud på persondatasikkerheden i ni af regionens it-systemer. Alle bruddene er håndteret.
APPFWU01V