Skip to main content

Sundhedspolitisk Tidsskrift

800.000 patienter ramt af datasikkerhedsbrud

Datatilsynet beder nu Region Syddanmark om at underrette 800.000 patienter om et datasikkerhedsbrud i et af regionens it-systemer, der anvendes af regionens sygehuse.

Teoretisk har datasikkerhedsbruddet gjort det muligt for regionens medarbejdere at skaffe sig adgang til patientoplysninger – herunder navn og CPR-nummer.

Bruddet angår Region Syddanmarks platform til restjournaler, som er filer, der skal knyttes til patientjournaler i Region Syddanmarks elektroniske patientjournalsystem Cosmic. Systemet har kørt i syv år og har i den perioden behandlet patientoplysninger om over 800.000 personer.

Ifølge regionen er det ikke muligt at underrette de berørte direkte.

"Systemet har kørt i syv år og har behandlet patientoplysninger om over 800.000 patienter, og det er ikke praktisk muligt for os at gå så langt tilbage og udpege, hvis patientoplysninger der har været igennem systemet. Derfor vælger vi at leve op til underretningsforpligtelsen via pressen, så vi kommer bredt ud," siger adm. sygehusdirektør Niels Nørgaard Pedersen fra Odense Universitetshospital.

Region Syddanmark har undersøgt aktivitetsloggen for de forudgående tre måneder, og denne har vist, at filerne i mappen kun er blevet tilgået af ansatte med et arbejdsbetinget formål. Muligheden for uberettiget adgang er i øvrigt nu blevet lukket.

"Vi vurderer ikke, at det er sandsynligt, at patientoplysningerne er faldet i de forkerte hænder. Vores medarbejdere arbejder under ansvar og håndterer under dette ansvar personoplysninger hver dag, og så skal man have en enormt stor viden om it og samtidig vide, præcis hvor og hvornår man skal lede, hvis man skulle have fat i disse oplysninger. Men uanset hvad, så skal sikkerheden være i orden, og derfor følger vi op og følger Datatilsynets anvisninger," siger Niels Nørgaard Pedersen.

Der er sat gang i undersøgelser, som skal klargøre, om der kan være lignende fejl i regionens øvrige it-systemer. Region Sydanmark har desuden henvendt sig til Datatilsynet, da bruddet blev opdaget, og det er tilsynet, der har afgjort, at regionen skal underrette de berørte borgere.

Del artikler