Underretning om brud på persondatasikkerheden i Region Syddanmark
Region Syddanmark har konstateret sikkerhedsbrud i to af regionens it-systemer. Regionen har efter reglerne anmeldt bruddene til Datatilsynet og underretter hermed borgerne. Bruddene er blevet fundet i forbindelse med den interne undersøgelse, regionen satte i gang i foråret. Alle sikkerhedshullerne er nu lukkede.
Region Syddanmark satte i foråret 2020 gang i en grundig undersøgelse af risikoen for sikkerhedsbrud på alle regionens netværksdrev. Den interne undersøgelse blev igangsat af regionen selv på baggrund af to lignende sager om brud på persondatasikkerheden.
Henover sommeren har regionen identificeret fire it-sikkerhedsbrud, som er blevet anmeldt til Datatilsynet 18. august. De interne undersøgelser pågår løbende, og der er nu identificeret yderligere to sikkerhedsbrud. Dermed har undersøgelsen resulteret i, at i alt seks sikkerhedshuller er blevet lukket. Region Syddanmark har endvidere i oprydningen konstateret en række sårbarheder og uhensigtsmæssigheder, som regionen har rettet op på under oprydningen af organisationens åbne netværksdrev.
Region Syddanmarks it-direktør Morten Lundgaard siger:
- Reglerne for beskyttelse af følsomme personoplysninger betyder, at kravene til vores it-sikkerhed er høje. Vi har benyttet 2020 til en grundig gennemgang af sikkerheden på vore netværksdrev. Vi har i den forbindelse fundet og anmeldt to it-sikkerhedsbrud i løbet af foråret, fire yderligere henover sommeren, og nu to yderligere sikkerhedsbrud, som borgerne hermed underrettes om.
Han fortsætter:
- Jeg vil gerne understrege, at vi, via vores undersøgelse, ikke har formodning om, at uvedkommende har fået adgang til oplysninger via vores systemer. Og jeg ved, at det vil kræve ualmindelig indgående it-kendskab for at finde frem til informationer på de fællesdrev, det handler om.
De to it-sikkerhedsbrud
Bruddene angår to forskellige it-systemer: Auditbase og GE RIS/PACS.
Auditbase
Systemet indeholder CPR-numre på patienter tilhørende høreklinikken på Sygehus Sønderjylland.
Kort tid efter bruddet blev opdaget, blev adgangen til det konkrete netværksdrev lukket ned. Det skete den 8. september 2020. Der er således ikke længere adgang til netværksdrevet.
Bruddet går tilbage til 22. november 2017.
GE RIS/PACS
Netværksdrevet bruges af et røntgensystem på Odense Universitets hospital. Der er tale om henvisninger og helbredsoplysninger.
Kort tid efter bruddet på systemet blev opdaget, blev adgangen til det konkrete netværksdrev lukket ned. Det skete den 3. september 2020. Der er således ikke længere adgang til netværksdrevet.
Der har været adgang siden maj 2019.
Fælles for de omhandlede systemer
I begge systemer bestod det konkrete brud på persondatasikkerheden i, at det teoretisk var muligt for andre medarbejdere, end dem, der var tilknyttet patienten, at tilgå dokumenter fra systemets netværksdrev. I systemerne kunne man, hvis man fik adgang, også ændre i dokumenter. Men i begge tilfælde har det ikke uden videre været muligt at få adgang til nogen af de fællesdrev, der indeholdt personoplysninger.
De to systemer har den samme tekniske fremgangsmetode, hvis man ville tiltvinge sig adgang til dem og åbne dokumenter fra deres fællesdrev. Men de patientgrupper og personoplysninger, der indsamles i de forskellige systemer, og datoen for, hvornår de er blevet opdaget i den interne undersøgelse og lukket ned, er forskellige.
For at lokalisere og få adgang til de to netværksdrev skulle en medarbejder aktivt lede efter det. De dokumenter, der ligger på fællesdrevet, er ikke navngivet med persondata, men er en sammensætning af information, der kun er forståelig for de medarbejdere, der arbejder med de pågældende patienter. Dokumenttitlerne indeholdt ikke i sig selv indikation af, hvorvidt der var tale om personoplysninger, eller hvis personoplysninger der var tale om.
For at tiltvinge sig adgang til dokumenter skulle den pågældende bruger igennem de følgende fem trin:
Brugeren skulle først gætte sig til et virtual storage-navn, også kendt som servernavn, da visning af servere på netværksniveau er slået fra. Derefter skulle brugeren gætte et netværksdrevnavn, sammensætte den rigtige syntaks og taste det gættede navn i stifinder eller en kommando prompt – en sort DOS box. Først da ville en bruger kunne få adgang til datamapperne i systemet, hvor det har været muligt at læse og evt. ændre i dokumenter.
Det har altså været meget besværligt at søge direkte på bestemte navne eller på bestemte CPR-numre for at finde oplysninger om patienter. Der var imidlertid ingen logning på de pågældende netværksdrev, hvorfra data kunne tilgås. Derfor har det ikke været muligt at kontrollere, om nogen ansatte har tilgået personoplysninger uberettiget.
Gruppen af medarbejdere med teoretisk mulighed for adgang begrænses også, fordi Windows 10 er det gennemgående operativsystem på regionens arbejdsstationer. Der er derfor indført restriktioner for almindelige brugere, således at det ikke er muligt at foretage søgninger på netværk efter netværksdrev.
CPR-numre, kontaktinformationer og helbredsoplysninger m.v.
I en offentlig administration kan medarbejdere støde på personoplysninger. Nogle arbejder med det til dagligt, mens andre kun er i kontakt med den slags oplysninger få gange. Dog er alle medarbejdere underlagt tavshedspligt, så de ikke deler de oplysninger, som de får i løbet af arbejdsdagen, med andre.
Region Syddanmarks sygehuse behandler personoplysninger, som patienter giver til regionen, ligesom regionen behandler personoplysninger, hvor det er nødvendigt til behandling af en konkret patients behandling.
Oplysningerne i de to it-systemers-netværksdrev er bl.a. navne, fødselsdato, kontaktoplysninger, CPR-numre, scanningsbilleder, behandlingsinformationer og helbredsoplysninger på patienter, der har været i kontakt med Region Syddanmark/sygehusene i regionen.
Vær opmærksom på dine personlige oplysninger
For patienter, der har været behandlet på ovenstående afdelinger mellem 22. november 2017 og september 2020, har der altså været risiko for, at andre medarbejdere i Region Syddanmark end dem, der har behandlet patienten, har haft adgang og kendskab til deres oplysninger. Med adgang til personoplysninger på den måde kunne det være muligt at eksportere dem og benytte dem til egne formål, som regionen ikke vil have kontrol over – f.eks. identitetstyveri.
Modtager man eksempelvis bekræftelser på køb, man ikke selv har foretaget, eller bliver man kontaktet af mennesker, der siger, de har personlige oplysninger om en, skal man kontakte de rette myndigheder og anmelde det.
Region Syddanmarks undersøgelse med henblik på at afdække, om regionen har andre systemer med lignende sårbarheder, fortsætter, til alle netværksdrev er blevet grundigt gennemgået.
Hvem kan man kontakte, hvis man som borger har spørgsmål
Hvis man som patient i Region Syddanmark har spørgsmål, kan man kontakte Region Syddanmarks databeskyttelsesrådgiver på databeskyttelsesraadgiver@rsyd.dk eller telefonnummer 24 75 62 90.
FAKTA:
Region Syddanmark har i løbet af den interne undersøgelse tidligere opdaget og lukket datasikkerhedsbrud i følgende systemer:
Mosaiq
Bruges til at understøtte kræftbehandlingen, herunder booking, stråleplaner, notater og indkaldelsesbreve med helbredsoplysninger, på Onkologisk Afdeling R på Odense Universitetshospital. Kort tid efter bruddene i Mosaiq blev opdaget, blev adgangen til de konkrete netværksdrev lukket ned. Det skete hhv. den 9. og 10. juli 2020. Bruddene går tilbage til hhv. februar 2018 og januar 2017.
Callisto Eye
Bruges til at indsamle personoplysninger om patienternes helbred og CPR-numre til øjenafdelingen på Odense Universitetshospital og Sygehus Sønderjylland. Kort tid efter bruddet i Callisto Eye blev opdaget, blev adgangen til det konkrete netværksdrev lukket ned. Det skete den 9. juli 2020. Bruddet går tilbage til juni 2020.
DICOM billedserver
Bruges til at indsamle personoplysninger om patienternes helbred, navne, CPR-numre og DICOM scanningsbillede til Kæbekirugisk Afdeling på Odense Universitetshospital. Kort tid efter bruddet i DICOM billedserver blev opdaget, blev adgangen til det konkrete netværksdrev lukket ned. Det skete den 9. juli 2020. Bruddet går tilbage til juni 2020.
Høreapparatspecifikke Data
Bruges til at indsamle personoplysninger om patienternes helbred, navne, CPR-numre og oplysninger tilknyttet høreapparater til Høreklinikken på Odense Universitetshospital. Kort tid efter bruddet i DICOM billedserver blev opdaget, blev adgangen til det konkrete netværksdrev lukket ned. Det skete den 12. august 2020. Der er således ikke længere adgang til netværksdrevet. Bruddets oprindelse er endnu ikke identificeret.