Hospital anmelder læk af tusindvis af kræftpatienters data

En powerpointpræsentation helt tilbage fra 2011, der indeholdt cpr-numre på flere tusind kræftpatienter, lå tilgængelig på Region Syddanmarks hjemmeside.
27. MAR 2020 13.39

Odense Universitetshospital har anmeldt et brud på persondatasikkerheden til Datatilsynet. Det sker efter, at hospitalet fandt en powerpoint fra 2011 på Region Syddanmarks hjemmeside, hvor 3.903 cpr-numre på kræftpatienter indgik. Dataen i powerpointen stammer fra Dansk Lunge Cancers database. 

Powerpointen har været anvendt til undervisningsformål. Regionen oplyser, at størstedelen af cpr-numerene 'lå som bagvedliggende data til en graf og har altså ikke været direkte synlige i præsentationen. 22 cpr-numre optræder dog indlejret i en tabel i selve præsentationen'.

Derudover indeholdt powerpointen også 12 forskellige patient-id samt operationstyper på borgere, hvor tilhørende navn eller cpr-nummer ikke er nævnt. De følsomme oplysninger har været tilgængelige på en af de sidste sider i den 52 sider lange præsentation, oplyser regionen. 

15 personer har tilgået powerpoint
Regionen har efterfølgende undersøgt databruddet og har fundet, at powerpointen er blevet åbnet 15 gange i perioden 2011 til den blev fjernet den 6. februar 2020. Databrudet får nu Niels Nørgaard Pedersen, der er adm. sygehusdirektør på OUH til at undskylde over for patienterne.

- Vi sørgede for at der blev lukket for adgangen til filen, så snart vi blev gjort opmærksomme på det. Heldigvis er der kun 15 personer, der har åbnet præsentationen, og materialet har indgået i et fagligt undervisningsmateriale, der er rettet mod fagfolk, som er vant til at håndtere personoplysninger. Når det er sagt, er der selvfølgelig stadig tale om et brud på persondatasikkerheden, og derfor har vi anmeldt det til Datatilsynet. Jeg vil samtidig gerne undskylde til de patienter, der er berørt af dette, siger han.

Af de 3.903 udsatte borgere oplyser regionen, at 672 stadig er i live. Heraf bor 668 fortsat i Danmark, og de er blevet underrettet om brudet, hvor de også er blevet oplyst om deres mulighed for at klage.

I 2016 oprettede regionen en sikkerhedsproces, der skulle forhindre, at medarbejdere lægger cpr-numre på regionens hjemmesider. Processen burde fange cpr-numre i synlige dokumenter eller på en hjemmeside og forhindre, at de bliver offentliggjort. Derfor undersøger regionen nu, hvorfor processen ikke har virket, og om sikkerhedsprocessen kan justeres.

Både hjemmesiden og den pågældende powerpointpræsentation er fjernet.

jeg

Stillinger fra Lundgaard Konsulenterne
Lundgaard
Nyhedsbrev