Syddanmark melder om persondatabrud i ni af regionens it-systemer

SYDDANMARK: Som følge af Region Syddanmarks interne undersøgelser er der konstateret brud på persondatasikkerheden i ni af regionens it-systemer, oplyser regionen. Alle bruddene er håndteret og meldt til Datatilsynet.

I foråret 2020 igangsatte regionen på eget initiativ en omfattende og grundig intern undersøgelse af risikoen for sikkerhedsbrud vedrørende mulige åbne netværksdrev. En undersøgelse som tidligere tidligere har resulteret i to anmeldelser til Datatilsynet.

Undersøgelsen er fortsat i gang og har nu resulteret i fund af yderligere otte brud på persondatasikkerheden, som alle er blevet håndteret.

Fælles problematik for otte af systemerne

Bruddet på persondatasikkerheden i de otte systemer bestod i, at det teoretisk var muligt for andre medarbejdere, end dem der var tilknyttet patienten, at tilgå dokumenter fra systemets netværksdrev.

Det har dog været meget kompliceret at få adgang til personoplysninger og har krævet, at en medarbejder aktivt ledte efter dem. Dokumenter på fællesdrev var ikke navngivet med persondata, men var en sammensætning af information, der kun var forståelig for de medarbejdere, der arbejdede med de pågældende patienter. Dokumenttitlerne afslørede dermed ikke i sig selv, at der var tale om personoplysninger, eller hvis personoplysninger der var tale om.

Derudover har regionen separat fra den igangværende undersøgelse konstateret et sikkerhedsbrud i regionens elektroniske sags- og dokumenthåndteringssystem Acadre.

Acadre

Systemet Acadre er regionens elektroniske sags- og dokumenthåndteringssystem, som indeholder almindelige, fortrolige og følsomme personoplysninger. 

Det har på grund af både brugerfejl i Acadre og fejl i kvalitetssikringssystemet Adoxa været muligt for en del af regionens medarbejdere at skaffe sig adgang til personoplysninger, de ikke burde have adgang til. Fejlen skulle være udbedret, og der er ikke noget, der tyder på, at den uretmæssige adgang er blevet misbrugt.

I september opdagede regionen, at der fandtes 16.125 dokumenter, herunder pdf'er, word-filer og mails, som fejlagtigt ikke var påført en adgangskode. Den manglende adgangskode på dokumenterne betød, at alle ca. 4.000 medarbejdere med adgang til systemet i teorien kunne tilgå dokumenterne, selvom de ikke har adgang til sagen. Regionen kontaktede leverandøren, som kørte et program for at påsætte adgangskoder på alle 16.125 dokumenter. Regionen skønner, at der er ca. 2.000 berørte registrerede.

Personfølsomme oplysninger

Oplysningerne i de ni it-systemer er af forskellig karakter, og i flere af tilfældene indeholder det alene almindelige personoplysninger. Det vil sige navne, fødselsdato og kontaktoplysninger. I nogle tilfælde indeholder de dog tillige cpr-numre, scanningsbilleder, behandlingsinformationer og helbredsoplysninger på patienter, der har været i kontakt med regionen eller sygehusene.

Dokumenterne i Acadre kan ligeledes indeholde oplysninger af forskellig art, herunder CPR-numre, fagforeningsmæssigt tilhørsforhold, sociale forhold og helbredsoplysninger om ansatte og patienter, der har været i kontakt med Region Syddanmark i forbindelse med personalesager, borgerhenvendelser eller arbejdsskadesager.

Det har ikke været muligt at kontrollere, om ansatte uberettiget har søgt adgang til personoplysningerne, da der ikke var nogen logning på de pågældende netværksdrev. 

De otte systemer, der har været brud på er:

Critical Information System (CIS) benyttes på sygehusenes intensivafdelinger. Der har været adgang for flere brugere end dem, der umiddelbart havde behov for det. Det er regionens vurdering, at der ikke har været tale om eksponering af informationer for andre uvedkommende. Det vides ikke, hvornår bruddet startede, men det blev afsluttet april 2021.

Endobase benyttes til endoskopi-undersøgelser, og der har været læserettigheder for personer på regionens interne netværk. Det er regionens vurdering, at der ikke har været tale om eksponering af informationer for andre uvedkommende. Bruddet startede oktober 2016 og blev afsluttet april 2021.

Carestream RIS benyttes til behandling af patienters røntgenbilleder. Der har været adgang for flere brugere end dem, der umiddelbart havde behov for det. Det er regionens vurdering, at der ikke har været tale om eksponering af informationer for andre uvedkommende. Bruddet startede februar 2020 og blev afsluttet samme måned.

Befordring by Trifork administrerer befordringsrefusion til patienter, herunder udsendelse af breve. Der har været adgang for flere brugere end dem, der umiddelbart havde behov for det. Det er regionens vurdering, at der ikke har været tale om eksponering af informationer for andre uvedkommende. Bruddet startede marts 2018 og blev afsluttet maj 2021.

Buanco er et kantinesystem, der benyttes bl.a. i regionshuset. Der har været adgang for flere brugere end dem, der umiddelbart havde behov for det. Det er regionens vurdering, at der ikke har været tale om eksponering af informationer for andre uvedkommende. Bruddet startede marts 2016 og blev afsluttet januar 2021.

Lifenet benyttes til optagelse af EKG i ambulance. Patienters data ligger kortvarigt i systemet, og det er kun i denne korte periode, der har været adgang for flere brugere end dem, der umiddelbart havde behov for det. Bruddet startede januar 2013 og blev afsluttet juni 2020.

Imagenet i-base benyttes til håndtering af billeder af patienters øjenethinde. Der har været adgang for flere brugere end dem, der umiddelbart havde behov for det. Det er regionens vurdering, at der ikke har været tale om eksponering af informationer for andre uvedkommende. Det vides ikke præcist, hvornår bruddet startede, men det blev afsluttet juni 2021.

Pillcam er et system, der optager billeder af patienters tarmsystem. Der har været adgang for flere brugere end dem, der umiddelbart havde behov for det. Det er regionens vurdering, at der ikke har været tale om eksponering af informationer for andre uvedkommende. Det vides ikke, hvornår bruddet startede, men det blev afsluttet juni 2021.

sfe