10 måneder.
Så længe skulle der gå før en berørt borger fik besked på, at en sundhedsfaglig medarbejder på Gentofte og Herlev Hospital havde slået op i kvindens journaler uberettiget. Den nu tidligere medarbejders opslag i patienternes journaler stod på fra 5. november 2019 til 8. juni 2020. Region Hovedstaden opdagede databruddet i maj måned, efter en patient havde klaget til Styrelsen for Patientklager.
‘I den sammenhæng kan vi konstatere, at der beklageligvis har været foretaget uberettiget opslag i din patientjournal. Der er også sket uberettigede opslag i andre patientjournaler,’ skriver Regionen Hovedstadens centerchef og Chief Information Officer Anna Laursen i en underretning til en berørt borger, som Radar har set i anonymiseret form.
Mette Nikander, der er Senior Security Advicer hos Nixu fik brevet med underretningen tilsendt fra den frustrerede borger i sidste uge.
– Jeg kan godt forstå, at hun er meget oprørt, for det her er langt ude og burde ikke kunne ske, siger hun.
“Umindelige tider”
Det første problem er, at selve reaktionen på bruddet ikke er sket uden unødigt ophold. Brevet til borgeren kom nemlig først 8. marts, altså næsten et år efter, at de blev bekendt med at en medarbejder søgte oplysninger uberettiget.
– De har været umindelige tider om at underrette de implicerede borgere, og jeg har svært ved at forstå, at det skal tage så lang tid, siger Mette Nikander.
Region Hovedstaden har i et svar til Radar oplyst, at den lange sagsbehandling skyldes dybdegående undersøgelser og analyser af logmateriale fra medarbejderen.
– I alt er mere end 60 måneders komplet logmateriale gennemgået. Der er tale om et meget omfattende logmateriale, som har krævet mange ressourcer at gennemgå, både fra administration og ledelse, skriver Anna Laursen, Region Hovedstadens CISO.
I underretningen fremgår det, at hændelsen er anmeldt til Vestegnens Politi. Region Hovedstaden skriver også i brevet, at de ikke kan oplyse navnet på personen, da det er fortroligt, men at vedkommende ikke længere arbejder i regionen.
Men det er ikke godt nok, mener Mette Nikander.
– Det er enormt ubehageligt med uvisheden, for hun ved ikke, hvem der har gjort det, eller om hun kan blive udnyttet eller hængt ud. En anden borger har indklaget de uberettigede tilgange til data, så hvad er der sket? Derudover er det problematisk, at den forurettede borger ikke får svar på, om den person, der har foretaget de ulovlige opslag, fortsat kan arbejde andetsteds i en rolle i sundhedsvæsnet, siger hun.
I brevet skriver Regionen, at den ikke har grund til at tro, at personoplysninger er blevet misbrugt. Regionen anmeldte første gang databruddet til Datatilsynet i maj 2022 og fulgte siden op i juli 2022.
Region Hovedstaden har siden 2018 opdaget og registreret 105 tilfælde, hvor læger, sygeplejersker og andre sundhedsansatte har slået sundhedsoplysninger op i journaler, som de ikke har lovlig adgang til. I 2018 og 2019 var antallet meget lavt, men i 2020 og 2021 skete der en markant stigning. Men stigningen skyldes ikke den pågældende medarbejder, skriver de.
– Denne sag har ingen sammenhæng til stigningen i antallet af uberettigede opslag i regionen i perioden 2020-2021, da de uberettigede opslag først blev konstateret senere, lyder det fra Regionen.
I 2022 blev der konstateret 33 brud på persondatasikkerheden. I 2023 er der foreløbigt ikke konstateret brud på persondatasikkerheden vedrørende uberettigede opslag, oplyser regionen.
Bedre beskyttelse
Tilbage står spørgsmålet, hvordan det kunne stå på uden at blive opdaget igennem så lang tid. Mette Nikander mener ikke, at Regionens tekniske set up er tilstrækkeligt.
– Jeg kan ikke forstå, hvorfor digitale adgange ikke er under bedre forvaltning, overvågning og beskyttelse. Selvfølgelig skal du, i en lukket periode med et formålsbestemt vindue, kunne foretage opslag ind til den patient, men det er ikke det samme som, at du som sundhedspersonale, altid skal kunne se folks fulde journal. Når nogen uden formål indsamler data, så skal der være en alarm, der ringer og lukker ned, siger hun og nævner systemer som Identity Access Management og Styring af digitale identiteter, der kan afsløre unormal adfærd og alarmere eller hindre adgange til visse dataniveauer og områder.
Anna Laursen fra Region Hovedstaden skriver til Radar, at det er nødvendigt, at sundhedspersonale har adgang til patientjournaler for, at de kan udfører deres arbejde.
– Sundhedspersonale er betroede medarbejdere, og det er nødvendigt, at de har adgang til patientjournalerne for, at de kan udføre deres arbejde. Region Hovedstaden har implementeret en automatisk logopfølgning og foretager herigennem en omfattende kontrol med de opslag, der foretages i systemet, skriver hun.
Samtidig har borgerne mulighed for at se, hvilke kliniske medarbejdere, der har tilgået deres patientjournaler – bl.a. på Min Sundhedsplatform.
– Hvis en borger har mistanke om uberettiget opslag, kan borgeren altid rette henvendelse til den hospitalsafdeling, borgeren bliver behandlet på, så det kan blive undersøgt nærmere, skriver Anna Laursen.
Mette Nikander mener, at sagen udstiller den manglende eftertanke om privatliv i digitaliseringen.
– Det her er ligesom MitID et eksempel på manglende rettidig omhu, når vi digitaliserer. Sådan nogle ting må ikke kunne lade sig gøre, og det her er noget Digitaliseringsudvalget og Digitaliseringsministeren Marie Bjerre må og skal tage op, hvis vi fortsat skal være det mest digitaliserede land, og skal bevare borgernes tryghed og tillid, siger hun.
