Underretning om brud på persondatasikkerheden i Region Syddanmark
Region Syddanmark har konstateret sikkerhedsbrud på fire af regionens it-systemer. Regionen har efter reglerne anmeldt bruddene til Datatilsynet og underretter hermed borgerne. Bruddene er blevet fundet i forbindelse med den interne undersøgelse, regionen satte i gang i foråret. Alle bruddene er lukkede.
Region Syddanmark satte i foråret 2020 gang i en grundig undersøgelse af risikoen for sikkerhedsbrud på alle regionens netværksdrev. Den interne undersøgelse blev igangsat af regionen selv på baggrund af to lignende sager om brud på persondatasikkerheden.
Henover sommeren har regionen identificeret fire yderligere it-sikkerhedsbrud, som er blevet anmeldt til Datatilsynet 18. august.
Region Syddanmarks it-direktør Morten Lundgaard siger:
- Reglerne for beskyttelse af følsomme personoplysninger betyder, at kravene til vores it-sikkerhed er høje. Vi har benyttet 2020 til en grundig gennemgang af sikkerheden på vore netværksdrev. Vi har i den forbindelse fundet og anmeldt to it-sikkerhedsbrud i løbet af foråret og fire yderligere brud henover sommeren, som borgerne hermed underrettes om.
Han fortsætter:
- Jeg vil gerne understrege, at vi, via vores undersøgelse, ikke har nogen som helst formodning om, at uvedkommende har fået adgang til oplysninger via vores systemer. Og jeg ved, at det vil kræve ualmindelig indgående it-kendskab og umådelig held via gætterier for at finde frem til informationer på de fællesdrev, det handler om.
De fire it-sikkerhedsbrud
Bruddene angår fire forskellige it-systemer Mosaiq, Callisto Eye, DICOM billedserver og Høreapparatspecifikke Data.
Mosaiq
Bruges til at understøtte kræftbehandlingen, herunder booking, stråleplaner, notater og indkaldelsesbreve med helbredsoplysninger, på Onkologisk Afdeling R på Odense Universitetshospital. Kort tid efter bruddet i Mosaiq blev opdaget, blev adgangen til det konkrete netværksdrev lukket ned. Det skete den 10. juli 2020. Bruddet går tilbage til januar 2017.
Callisto Eye
Bruges til at indsamle personoplysninger om patienternes helbred og CPR-numre til øjenafdelingen på Odense Universitetshospital og Sygehus Sønderjylland. Kort tid efter bruddet i Callisto Eye blev opdaget, blev adgangen til det konkrete netværksdrev lukket ned. Det skete den 9. juli 2020. Bruddet går tilbage til juni 2020.
DICOM billedserver
Bruges til at indsamle personoplysninger om patienternes helbred, navne, CPR-numre og DICOM scanningsbillede til Kæbekirugisk Afdeling på Odense Universitetshospital. Kort tid efter bruddet i DICOM billedserver blev opdaget, blev adgangen til det konkrete netværksdrev lukket ned. Det skete den 9. juli 2020. Bruddet går tilbage til juni 2020.
Høreapparatspecifikke Data.
Bruges til at indsamle personoplysninger om patienternes helbred, navne, CPR-numre og oplysninger tilknyttet høreapparater til Høreklinikken på Odense Universitetshospital. Kort tid efter bruddet i DICOM billedserver blev opdaget, blev adgangen til det konkrete netværksdrev lukket ned. Det skete den 12. august 2020. Der er således ikke længere adgang til netværksdrevet. Bruddets oprindelse er endnu ikke identificeret.
Fælles for de fire systemer
I alle fire systemer bestod det konkrete brud på persondatasikkerheden i, at det teoretisk var muligt for andre medarbejdere, end dem, der var tilknyttet patienten, at tilgå dokumenter fra systemets netværksdrev. I de to af systemerne kunne man, hvis man fik adgang, også ændre i dokumenter. Men i alle fire tilfælde har det ikke uden videre været muligt at få adgang til nogen af de fællesdrev, der indeholdt personoplysninger.
Gruppen af medarbejdere med teoretisk mulighed for adgang begrænses også, fordi Windows 10 er det gennemgående operativsystem på regionens arbejdsstationer. Der er derfor indført restriktioner for almindelige brugere, således at det ikke er muligt at foretage søgninger på netværk efter netværksdrev.
Det er heller ikke muligt for almindelige medarbejdere at installere programmer, der kræver administratorrettigheder. Man kan dog ansøge om kortvarigt at opnå større privilegier på sin egen pc. Denne ansøgning registreres, og det er derfor muligt at finde tilbage til den pågældende medarbejder, hvis det skulle vise sig at være tilfældet.
De fire systemer har den samme tekniske fremgangsmetode, hvis man vil tiltvinge sig adgang til dem og åbne dokumenter fra deres fællesdrev. Men de patientgrupper og personoplysninger, der indsamles i de forskellige systemer og datoen for, hvornår de er blevet opdaget i den interne undersøgelse og lukket ned, er forskellige.
For at lokalisere og få adgang til de fire netværksdrev skulle en medarbejder aktivt lede efter det. De dokumenter, der ligger på fællesdrevet, er ikke navngivet med persondata, men er en sammensætning af information, der kun er forståelig for de medarbejdere, der arbejder med de pågældende patienter. Dokumenttitlerne indeholdt ikke i sig selv indikation af, hvorvidt der var tale om personoplysninger, eller hvis personoplysninger der var tale om.
For at tiltvinge sig adgang til dokumenter skulle den pågældende bruger igennem de følgende fem trin:
Brugeren skulle først gætte sig til et virtual storage-navn, også kendt som servernavn, da visning af servere på netværksniveau er slået fra. Derefter skulle brugeren gætte et sharenavn, sammensætte den rigtige syntaks og taste det gættede navn i stifinder eller en kommando prompt – en sort DOS box. Først da ville en bruger kunne få adgang til datamapperne i systemet, hvor det både har været muligt at læse, og ændre i dokumenter.
Det har altså været meget besværligt at søge direkte på bestemte navne eller på bestemte CPR-numre for at finde oplysninger om patienter. Der var imidlertid ingen logning på det pågældende netværksdrev, hvorfra data kunne tilgås. Derfor har det ikke været muligt at kontrollere, om nogen ansatte har tilgået personoplysninger uberettiget.
CPR-numre, kontaktinformationer og helbredsoplysninger m.v.
I en offentlig administration kan medarbejdere støde på personoplysninger. Nogle arbejder med det til dagligt, mens andre kun er i kontakt med den slags oplysninger få gange. Dog er alle medarbejdere underlagt tavshedspligt, så de ikke deler de oplysninger, som de får i løbet af arbejdsdagen, med andre.
Region Syddanmarks sygehuse behandler personoplysninger, som patienter giver til regionen, ligesom regionen behandler personoplysninger, hvor det er nødvendigt til behandling af en konkret patients behandling.
Oplysningerne i de fire it-systemers-netværksdrev er bl.a. navne, fødselsdato, kontaktoplysninger, CPR-numre, scanningsbilleder, behandlingsinformationer og helbredsoplysninger på patienter, der har været i kontakt med Region Syddanmark/sygehusene i regionen.
Vær opmærksom på dine personlige oplysninger
For patienter, der har været behandlet på ovenstående afdelinger mellem januar 2017 og juni 2020, har der altså været risiko for, at andre medarbejdere i Region Syddanmark end dem, der har behandlet patienten, har haft adgang og kendskab til deres oplysninger. Med adgang til personoplysninger på den måde kunne det være muligt at eksportere dem og benytte dem til egne formål, som regionen ikke vil have kontrol over – f.eks. identitetstyveri.
Modtager man eksempelvis bekræftelser på køb, man ikke selv har foretaget, eller bliver man kontaktet af mennesker, der siger, de har personlige oplysninger om en, skal man kontakte de rette myndigheder og anmelde det.
Region Syddanmarks undersøgelse med henblik på at afdække, om regionen har andre systemer med lignende sårbarheder, fortsætter, til alle netværksdrev er blevet grundigt gennemgået.
Hvem kan man kontakte, hvis man som borger har spørgsmål
Hvis man som patient i Region Syddanmark har spørgsmål, kan man kontakte Region Syddanmarks databeskyttelsesrådgiver på databeskyttelsesraadgiver@rsyd.dk eller telefonnummer 24 75 62 90.