Skip til primært indhold

Underretning om brud på persondatasikkerheden i Region Syddanmark

Region Syddanmark har konstateret brud på persondatasikkerheden i ni af regionens it-systemer. Regionen har efter reglerne anmeldt bruddene til Datatilsynet og underretter hermed borgerne. Bruddene er blevet fundet som følge af Region Syddanmarks interne undersøgelser. Alle bruddene er håndteret.

Som del af Region Syddanmarks løbende indsats for proaktivt at forebygge og opspore potentielle sikkerhedsbrud blev der i foråret 2020 igangsat i en omfattende og grundig intern undersøgelse af risikoen for sikkerhedsbrud vedr. mulige åbne netværksdrev. Den interne undersøgelse blev igangsat af regionen på eget initiativ og har tidligere resulteret i to anmeldelser til Datatilsynet.

Den interne undersøgelse og oprydning pågår fortsat, og den har resulteret i, at der er identificeret otte brud på persondatasikkerheden. Alle otte sikkerhedsbrud er blevet håndteret. Region Syddanmark vil fortsat arbejde med en proaktiv og struktureret indsats omkring forebyggelse og opsporing af eventuelle lignende sikkerhedsbrud. Derudover har Region Syddanmark separat fra denne undersøgelse konstateret et sikkerhedsbrud i regionens elektroniske sags- og dokumenthåndteringssystem Acadre.

Fælles problematik for de otte systemer

Det konkrete brud på persondatasikkerheden i de otte systemer bestod i, at det teoretisk var muligt for andre medarbejdere end dem, der var tilknyttet patienten, at tilgå dokumenter fra systemets netværksdrev. Det har dog været meget kompliceret at få adgang til de fællesdrev, der indeholdt personoplysninger.

For at lokalisere og få adgang til netværksdrevene skulle en medarbejder aktivt lede efter det. Dokumenter på fællesdrev var ikke navngivet med persondata, men var en sammensætning af information, der kun var forståelig for de medarbejdere, der arbejdede med de pågældende patienter. Dokumenttitlerne indeholdt ikke i sig selv indikation af, hvorvidt der var tale om personoplysninger, eller hvis personoplysninger der var tale om.

For at tiltvinge sig adgang til dokumenter skulle den pågældende bruger:

  1. gætte sig til et virtual storage-navn, også kendt som servernavn, da visning af servere på netværksniveau er slået fra
  2. gætte et netværksdrevnavn
  3. sammensætte den rigtige syntaks
  4. taste det gættede navn i stifinder eller en kommando prompt – en sort DOS-box.

Først da ville en bruger kunne få adgang til datamapperne i systemet, hvor det har været muligt at læse og evt. ændre i dokumenter.

Det har altså været meget besværligt at finde oplysninger om patienter. Der var imidlertid ingen logning på de pågældende netværksdrev, hvorfra data kunne tilgås. Derfor har det ikke været muligt at kontrollere, om ansatte har tilgået personoplysninger uberettiget.

De otte systemer

Benyttes på sygehusenes intensivafdelinger. Der har været adgang for flere brugere end dem, der umiddelbart havde behov for det. Det er regionens vurdering, at der ikke har været tale om eksponering af informationer for andre uvedkommende. Det vides ikke, hvornår bruddet startede, men det blev afsluttet april 2021.

Benyttes til endoskopi-undersøgelser, og der har været læserettigheder for personer på regionens interne netværk. Det er regionens vurdering, at der ikke har været tale om eksponering af informationer for andre uvedkommende. Bruddet startede oktober 2016 og blev afsluttet april 2021.

Benyttes til behandling af patienters røntgenbilleder. Der har været adgang for flere brugere end dem, der umiddelbart havde behov for det. Det er regionens vurdering, at der ikke har været tale om eksponering af informationer for andre uvedkommende. Bruddet startede februar 2020 og blev afsluttet samme måned.

Administrerer befordringsrefusion til patienter, herunder udsendelse af breve. Der har været adgang for flere brugere end dem, der umiddelbart havde behov for det. Det er regionens vurdering, at der ikke har været tale om eksponering af informationer for andre uvedkommende. Bruddet startede marts 2018 og blev afsluttet maj 2021.

Er et kantinesystem, der benyttes bl.a. i regionshuset. Der har været adgang for flere brugere end dem, der umiddelbart havde behov for det. Det er regionens vurdering, at der ikke har været tale om eksponering af informationer for andre uvedkommende. Bruddet startede marts 2016 og blev afsluttet januar 2021.

Benyttes til optagelse af EKG i ambulance. Patienters data ligger kortvarigt i systemet, og det er kun i denne korte periode, der har været adgang for flere brugere end dem, der umiddelbart havde behov for det. Bruddet startede januar 2013 og blev afsluttet juni 2020.

Benyttes til håndtering af billeder af patienters øjenethinde. Der har været adgang for flere brugere end dem, der umiddelbart havde behov for det. Det er regionens vurdering, at der ikke har været tale om eksponering af informationer for andre uvedkommende. Det vides ikke præcist, hvornår bruddet startede, men det blev afsluttet juni 2021.

Er et system, der optager billeder af patienters tarmsystem. Der har været adgang for flere brugere end dem, der umiddelbart havde behov for det. Det er regionens vurdering, at der ikke har været tale om eksponering af informationer for andre uvedkommende. Det vides ikke, hvornår bruddet startede, men det blev afsluttet juni 2021.

Acadre

Region Syddanmark har derudover konstateret et brud på persondatasikkerheden, der har gjort det muligt for en del af regionens medarbejdere at skaffe sig adgang til personoplysninger, de ikke burde have adgang til. Bruddet angår it-systemet Acadre, som er Region Syddanmarks elektroniske sags- og dokumenthåndteringssystem. Systemet indeholder almindelige, fortrolige og følsomme personoplysninger. Bruddet skyldes både brugerfejl i Acadre og uhensigtsmæssighed/fejl i kvalitetssikringssystemet Adoxa. Fejlen er ifølge leverandøren udbedret, og der er ikke noget, der tyder på, at den uretmæssige adgang er blevet misbrugt.

I Acadre styres adgange til sager og dokumenter gennem påsætning af adgangskoder. Der findes forskellige sagstyper i systemet, hvor sagstyperne personalesager, borgersager og arbejdsskadesager automatisk er påført adgangskode, der skal sikre begrænset adgang.

17. september 2021 opdagede Region Syddanmark, at der på daværende tidspunkt fandtes 16.125 dokumenter under disse type sager, som fejlagtigt ikke var påført en adgangskode. Dokumenter kan være bl.a. PDF'er, word-filer og mailkorrespondancer.

Den manglende adgangskode på selve dokumenterne betød, at alle medarbejdere med adgang til systemet (ca. 4.000) i teorien kunne fremsøge og tilgå dokumenterne, selvom de ikke har adgang til sagen.

På det tidspunkt, hvor regionen fik mistanke om omfanget af problemet, kontaktede regionen leverandøren, som 20. september kørte et program for at påsætte adgangskoder på alle 16.125 dokumenter.

En undersøgelse foretaget af leverandøren viser, at der dels er tale om brugerfejl for hele perioden og uhensigtmæssighed/fejl i kvalitetssikringssystemet Adoxa, som regionen har anvendt på sager/dokumenter fra 7. oktober 2020 til nu. Regionen arbejder aktivt og opsøgende for at sikre efterlevelse af krav til journalisering.

Regionen skønner, at der er ca. 2.000 berørte registrerede.

CPR-numre, kontaktinformationer og helbredsoplysninger m.v.

I en offentlig administration kan medarbejdere støde på personoplysninger. Nogle arbejder med det til daglig, mens andre kun er i kontakt med den slags oplysninger få gange. Dog er alle medarbejdere underlagt tavshedspligt, så de deler ikke de oplysninger, som de får i løbet af arbejdsdagen, med andre.

Region Syddanmarks sygehuse behandler personoplysninger, som patienter giver til regionen, ligesom regionen behandler personoplysninger, hvor det er nødvendigt for en konkret patients behandling.

Oplysningerne i de ni it-systemer er af forskellig karakter, og i flere af tilfældene indeholder det alene almindelige personoplysninger. Det vil sige navne, fødselsdato og kontaktoplysninger. I nogle tilfælde indeholder de dog tillige CPR-numre, scanningsbilleder, behandlingsinformationer og helbredsoplysninger på patienter, der har været i kontakt med Region Syddanmark/sygehusene i regionen.

Dokumenterne i Acadre kan ligeledes indeholde oplysninger af forskellig art, herunder CPR-numre, fagforeningsmæssigt tilhørsforhold, sociale forhold og helbredsoplysninger om ansatte og patienter, der har været i kontakt med Region Syddanmark i forbindelse med personalesager, borgerhenvendelser eller arbejdsskadesager.

Vær opmærksom på dine personlige oplysninger

For medarbejdere og borgere, der har været i kontakt med Region Syddanmark, har der altså været risiko for, at andre medarbejdere i Region Syddanmark end dem, der skulle håndtere kontakten, har haft adgang og kendskab til deres oplysninger. Med adgang til personoplysninger på den måde kunne det være muligt at eksportere dem og benytte dem til egne formål, som regionen ikke vil have kontrol over – f.eks. identitetstyveri.

Modtager man eksempelvis bekræftelser på køb, man ikke selv har foretaget, eller bliver man kontaktet af mennesker, der siger, de har personlige oplysninger om en, skal man kontakte de relevante myndigheder og anmelde det.

Hvem kan man kontakte, hvis man som borger har spørgsmål

Hvis man som patient i Region Syddanmark har spørgsmål, kan man kontakte Region Syddanmarks databeskyttelsesrådgiver på databeskyttelsesraadgiver@rsyd.dk eller telefonnummer 24 75 62 90.

Yderligere information

Morten Lundgaard, it-direktør, Region Syddanmark, telefon 21 59 89 58

it-direktør

Morten Lundgaard

IT-direktør


21 59 89 58
APPFWU02V