Underretning om brud på persondatasikkerheden i Region Syddanmark

Region Syddanmark satte i foråret 2020 gang i en omfattende og grundig intern undersøgelse af risikoen for sikkerhedsbrud vedr. mulige åbne netværksdrev, som er virtuelle drev, hvor medarbejdere kan dele filer og dokumenter. Den interne undersøgelse blev igangsat af regionen på eget initiativ på baggrund af egne erfaringer om tidligere lignende sikkerhedsbrud og Datatilsynets afgørelse vedrørende en anden offentlig myndigheds åbne netværksdrev.

Den interne undersøgelse kører fortsat, og den har resulteret i, at der er identificeret yderligere 3 brud på persondatasikkerheden. Alle 3 sikkerhedsbrud er blevet håndteret, og der vil fremadrettet være fokus på, at lignende situationer ikke gentager sig. Derfor har regionen iværksat en række awareness-initiativer med henblik på undgå lignende situationer i fremtiden.

Fælles problematik for 2 af de pågældende netværksdrev

Det konkrete brud på persondatasikkerheden i 2 af de 3 pågældende netværksdrev har det til fælles, at der har været adgang på sygehusniveau, men ikke adgang for medarbejdere i hele regionen.

Begge netværksdrev er blevet lukket igen.

For at lokalisere og få adgang til netværksdrevene skulle en medarbejder aktivt lede efter det. Dokumenter på fællesdrev var ikke navngivet med persondata, men var en sammensætning af information, der kun var forståelig for de medarbejdere, der arbejdede med de pågældende patienter. Dokumenttitlerne indeholdt ikke i sig selv indikation af, hvorvidt der var tale om personoplysninger, eller hvis personoplysninger der var tale om.

For at tiltvinge sig adgang til dokumenter skulle den pågældende bruger igennem de følgende trin:

Brugeren skulle først gætte sig til et servernavn, da visning af servere på netværksniveau er slået fra. Derefter skulle brugeren gætte et netværksdrevnavn, sammensætte den rigtige syntaks og taste det gættede navn i stifinder eller en kommandoprompt. Først da ville en bruger kunne få adgang til datamapperne i systemet, hvor det har været muligt at læse og evt. ændre i dokumenter.

Det har altså været meget besværligt at søge direkte på bestemte navne eller på bestemte CPR-numre for at finde oplysninger om patienter. Der var imidlertid ingen logning på de pågældende netværksdrev, hvorfra data kunne tilgås. Derfor har det ikke været muligt at kontrollere, om nogen ansatte har tilgået personoplysninger uberettiget.

De 2 netværksdrev

De to netværksdrev, der er tale om, er DoctorPro og Forskningsprojekt share.

DoctorPro benyttedes på Odense Universitetshospital i forbindelse med patientbehandling. Netværksdrevet har indeholdt 5802 filer med patienters personoplysninger (navne og helbredsoplysninger). Sikkerhedshændelsen skyldes, at det pågældende netværksdrev er blevet oprettet i en mappe på et fællesdrev, hvorfor netværksdrevet har nedarvet de oprindelige rettigheder. Bruddet blev konstateret den 17. november 2021 og blev afsluttet den 19. november 2021.

Forskningsprojekt share benyttedes i forhold til et konkret sundhedsvidenskabeligt forskningsprojekt. Netværksdrevet med excel-filer er blevet oprettet i forbindelse med et sundhedsvidenskabeligt forskningsprojekt. På det pågældende netværksdrev var der tale om fortrolige oplysninger (CPR-numre) og almindelige personoplysninger (navne) på cirka 1700 skolebørn. Bruddet blev konstateret den 3. december 2021 og lukket samme dag.

Regionens interne fællesdrev

Region Syddanmark har som nævnt derudover konstateret et brud på persondatasikkerheden, der har gjort det muligt for alle regionens medarbejdere at skaffe sig adgang til personoplysninger, de ikke burde have adgang til. Bruddet angår interne fællesdrev, som er Region Syddanmarks fælles dokumentopbevaringsplatform.

30. december 2021 opdagede Region Syddanmark ifm. en omstrukturering af det pågældende fælles netværksdrev, som også indebar en sletning af dokumenter med personoplysninger, at der på daværende tidspunkt fandtes et dokument på netværksdrevet, som indeholdt personoplysninger. Det kan ikke udelukkes, at der har været andre dokumenter, men dokumenterne er nu slettet.   

CPR-numre, kontaktinformationer og helbredsoplysninger m.v.

I en offentlig administration kan medarbejdere støde på personoplysninger. Nogle arbejder med det til daglig, mens andre kun er i kontakt med den slags oplysninger få gange. Dog er alle medarbejdere underlagt tavshedspligt, så de deler ikke de oplysninger, som de får i løbet af arbejdsdagen, med andre.

Region Syddanmarks sygehuse behandler personoplysninger, som patienter giver til regionen, ligesom regionen behandler personoplysninger, hvor det er nødvendigt for en konkret patients behandling.

Oplysningerne i de 2 første netværksdrev er af forskellig karakter. I det ene tilfælde indeholder det CPR-numre og almindelige personoplysninger (navne), og i det andet indeholder det udover almindelige personoplysninger (navne) også helbredsoplysninger på de patienter, der har været i kontakt med Region Syddanmark/sygehusene i regionen.

Dokumentet i det interne fælles netværksdrev indeholder CPR-numre og helbredsoplysninger om borgere.

Vær opmærksom på dine personlige oplysninger

For medarbejdere og borgere, der har været i kontakt med Region Syddanmark, har der altså været risiko for, at andre medarbejdere i Region Syddanmark end dem, der skulle håndtere kontakten, har haft adgang og kendskab til deres oplysninger. Med adgang til personoplysninger på den måde kunne det være muligt at eksportere dem og benytte dem til egne formål, som regionen ikke vil have kontrol over – f.eks. identitetstyveri.

Modtager man eksempelvis bekræftelser på køb, man ikke selv har foretaget, eller bliver man kontaktet af mennesker, der siger, de har personlige oplysninger om en, skal man kontakte de rette myndigheder og anmelde det.

Hvem kan man kontakte, hvis man som borger har spørgsmål?

Hvis man som patient i Region Syddanmark har spørgsmål, kan man kontakte Region Syddanmarks databeskyttelsesrådgiver på databeskyttelsesraadgiver@rsyd.dk eller telefonnummer 24 75 62 90.