Utilstrækkelige sikkerhedsforanstaltninger hos Region Syddanmark

Dato: 12-06-2020
Afgørelse Offentlige myndigheder Alvorlig kritik Påbud Anmeldt brud på persondatasikkerheden Behandlingssikkerhed Følsomme oplysninger Underretning af registrerede ved brud på persondatasikkerheden

I en årrække var der potentiel adgang for 30.000 medarbejdere til mere end 800.000 borgeres personoplysninger. Datatilsynet udtaler alvorlig kritik og giver påbud om underretning af borgerne.

2020-442-6448

Resumé

Region Syddanmark har siden 2013 anvendt et netværksdrev til midlertidig opbevaring af dokumenter, der skulle tilknyttes regionens Elektroniske Patient Journal (EPJ). Netværksdrevet og det midlertidige lager blev i 2017 udvidet til at dække alle Region Syddanmarks enheder. Formålet med det midlertidige lager var at kvalificere dokumenterne og kvalitetssikre disse ved at tilføje meta-data for derefter at arkivere dokumenterne i EPJ. Efter færdigbehandling skulle dokumenterne automatisk slettes fra det midlertidige lager. Imidlertid kunne en række forskellige faktorer indebære, at enkelte dokumenterne befandt sig på det midlertidige lager i op til nogle måneder.

Netværksdrevet var ikke beskyttet med tilstrækkelig adgangskontrol, idet alle Region Syddanmarks ca. 30.000 ansatte havde adgang til drevet og dermed dokumenterne. Der blev ikke foretaget maskinel registrering (logning) af adgangen til dokumenterne.

Alle ansatte med et log-on til regionens netværk havde derfor adgang til dokumenter, der indeholdt almindelige, fortrolige og personoplysninger af særlige kategorier, herunder oplysninger vedrørende børn eller særligt udsatte grupper og registrerede med beskyttet adresse.

Datatilsynet udtaler på dette grundlag alvorlig kritik af Region Syddanmarks behandling af personoplysninger.

Samtidig har Datatilsynet, henset til det store antal ansatte, der har haft adgang til drevet, perioden, hvor muligheden har været der, og personoplysningernes karakter, fastslået, at der er en høj risiko for de registreredes rettigheder, og meddelt Region Syddanmark påbud om at underrette af de registrerede om bruddet på persondatasikkerheden.

Datatilsynet udtaler bl.a. i afgørelsen, at når den dataansvarlige ikke har kunnet fastslå, om en potentiel adgang er udnyttet eller ej, er det ikke nok at lukke adgangen, men nødvendigt også at underrette de registrerede, fordi risikoen for dem er vurderet som høj.

Afgørelse

Region Syddanmark har den 6. februar 2020 anmeldt et brud på persondatasikkerheden. Anmeldelsen har følgende referencenummer:

941b32124259375be065efbf5d0b70ebdf5ef776

Datatilsynet skal indledningsvis oplyse, at persondataloven[1] pr. 25. maj 2018 er blevet ophævet og erstattet af databeskyttelsesforordningen[2] og databeskyttelsesloven[3]. Denne afgørelse er derfor truffet efter de nu gældende regler.

Da bruddet på persondatasikkerheden har omfattet perioder, også før databeskyttelsesforordningen fandt anvendelse, har Datatilsynet ladet dette indgå ved fastsættelsen af sanktionen.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Region Syddanmarks behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningensartikel 32, stk. 1.

Samtidig finder Datatilsynet grundlag for, at meddele Region Syddanmark påbud om at foretage underretning af de registrerede om bruddet på persondatasikkerheden. Påbuddet gives i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra e.

Fristen for efterlevelse af påbuddet er den 26. juni 2020. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet, sammen med en anonymiseret kopi af underretningen. Ifølge databeskyttelseslovens § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra e.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at Region Syddanmark siden 2013 har anvendt en restjournalplatform til midlertidig behandling af indkomne dokumenter, der skulle lagres i filarkivet OnBase, som er knyttet sammen med Den Elektroniske Patientjournal (EPJ). Brugen af restjournalplatformen blev i 2017 udvidet til alle Region Syddanmarks enheder. Restjournalplatformens formål har været at kvalificere dokumenterne og tilknytte metadata, hvorefter dokumenterne skulle overføres til EPJ. Dokumenterne har indeholdt almindelige og fortrolige personoplysninger, samt personoplysninger af særlige kategorier, herunder oplysninger vedrørende børn eller særligt udsatte og registrerede med beskyttet adresse, for omkring 800.000 registrerede.

Restjournalplatformen fungerede som et midlertidigt opbevaringssted inden oplysningerne blev overført til EPJ systemet, hvorefter de blev slettet fra den midlertidige opbevaring. Af forskellige årsager kunne systemet ikke altid færdigbehandle oplysningerne, hvorfor enkelte af oplysningerne har været opbevaret i længere tid i restjournalplatformen, end det har været hensigten, typisk nogen minutter, men særligt i forbindelse med verifikation eller sletning af filer, har dokumenter kunnet ligge i længere tid, op til nogle måneder.

Den 24. januar 2020 blev regionen gjort opmærksom på, at alle dens mere end 30.000 medarbejdere har haft adgang til det netværksdrev, som bl.a. indeholdt restjournalplatformen. Der har på de pågældende servere været behandlet personoplysninger om mere end 800.000 unikke personer.

Region Syddanmark har ikke underrettet de registrerede, med henvisning til, at der er gennemført passende tekniske og organisatoriske foranstaltninger, der sikrer at den høje risiko for de(n) berørtes rettigheder sandsynligvis ikke længere er reel, og at det herudover vil kræve en uforholdsmæssig stor indsats.

3. Region Syddanmarks bemærkninger

Region Syddanmark har anført, at selvom regionen har anmeldt bruddet, jf. databeskyttelsesforordningen art. 33, er dette efter regionens opfattelse, ikke ensbetydende med, at der har været en ”uretmæssigt” adgang, og regionen har på anmeldelsestidspunktet ikke kendskab til nogen forekomst af uretmæssig adgang til personoplysninger på restjournalplatformen.

Region Syddanmark har om Restjournalplatformen oplyst, at den anvendes til at håndtere og midlertidigt lagre dokumenter, der ikke automatisk kan tilføjes til Den Elektroniske Patientjournal (EPJ). Der kan være tale om prøvesvar, henvisninger, billedmateriale, videoer, korrespondancer, eller andet, der er relevant at dokumentere. Dokumenterne skal endeligt opbevares i filarkivet OnBase og ved oprettelsen knyttes dokumentet sammen med EPJ via et link. Via dette link kan brugerne åbne dokumenterne. For at kunne anvende dokumenterne, skal disse være kvalificeret og i forbindelse med kvalificeringen, sletninger, særlige oprydninger eller nedbrud er det sket, at dokumenter har været tilgængelige i længere tid, maksimalt få måneder.

Om restjournalplatformen har Region Syddanmark videre oplyst, at den midlertidige opbevaring af dokumenter har til formål at opfylde regionens forpligtelse til at foretage journalisering. Der har ikke ligget dokumenter på platformen, som ikke burde være der, og der akkumuleres ikke dokumenter på platformen over tid.

Adgang til dokumenter i restjournalplatformen kunne opnås, såfremt en medarbejder knyttede en PC til netværksdrevet og brugte PC-ens indbyggede muligheder for at finde frem til serverens adresse og mappestruktur. Region Syddanmark skønner, at det ville kræve en vis grad af IT-kundskab for at kunne udføre dette. Det er ikke muligt for Region Syddanmark at oplyse hvor mange gange et enkelt dokument er tilgået. Regionen understreger, at dokumenterne kun ligger i meget kort tid på platformene, inden de ekspederes videre til OnBase og/eller EPJ.

Den 24. januar 2020 blev Region Syddanmark, via en fællespostkasse, gjort opmærksom på, at der i OnBase var en udfordring med rettigheder og at alle i regionens domæne kunne tilgå dette fil-share. Meddelelsen fortsatte: … og der er cpr data til gængelig for alle domæne brugere der er oprettet i rsyd.net domænet (+30.000 medarbejdere). Derudover er der ingen logning af den adgang, så nogen burde bede systemejeren om at få dette rettet snarest.

Regionen brugte de følgende dage til af få overblik over situationen og konstaterede herunder, at: Det er oplyst, at der er overvågning på inputmapperne, og at disse gås igennem af og til. Overvågningen er dog mangelfuld, og lever ikke op til de krav, der er, idet de kun viser, hvem der har tilgået selve serveren og et tidspunkt – og ikke andet.

Region Syddanmark har gennemgået logs for 3 måneder for platformen. Disse logs giver ikke indikation af uretmæssig adgang, men underbygger opfattelsen af, at de, der har benyttet adgangen, har haft et sagligt formål. Behovet for adgang følger af deres arbejdsopgaver. Region Syddanmark finder det således usandsynligt, at der er personer uden behov, som har haft adgang til dokumenterne. Regionen har ikke nogen skriftlig beslutning om at tildele alle regionens mere end 30.000 ansatte adgang til det pågældende netværksdrev.

Region Syddanmark har oplyst, at der samtidig med bruddet blev nedsat en taskforce, der siden har arbejdet fokuseret på at gennemføre passende tekniske og organisatoriske foranstaltninger, bl.a. styrkelse af adgangskontrollen og gennemgang af loggen for restjournalplatformen.

I relation til bruddets konsekvenser for de registrerede har Region Syddanmark lagt vægt på:

  • at der er tale om et brud på fortroligheden,
  • at bruddet indbefatter almindelige personoplysninger, CPR-nummer og særlige kategorier af personoplysninger,
  • at over 800.000 unikke CPR-numre har været behandlet på de pågældende servere i perioden,
  • at bruddet sandsynligvis har stået på siden systemets implementering (første sygehusenhed benyttede systemet fra 2013, og siden er alle enheder kommet til),
  • at de registrerede er identificerbare,
  • at det ikke kan udelukkes, grundet det høje antal registrerede, at der iblandt de 800.000 personer befinder sig særlige registrerede, dvs. børn eller særligt udsatte (f.eks. registrerede med beskyttet adresse),
  • at bruddets mulige konsekvenser er identitetstyveri.

Region Syddanmark har ved anmeldelsen af bruddet den 6. februar 2020 anført, at:

Uanset det vurderes, at risikoen for de(n) registreredes rettigheder og frihedsrettigheder har været/ er høj vil der ikke blive givet en underretning af forurettede, idet Regionen har

  • Gennemført passende tekniske og organisatoriske foranstaltninger (jf. ovenfor under foranstaltninger)
  • Gennemført foranstaltninger, der sikre at den høje risiko for de(n) berørtes rettigheder sandsynligvis ikke længere er reel (brugeradgangsstyring og logning)
  • Idet det vil kræve en uforholdsmæssig stor indsats.

I forbindelse med opfølgning på anmeldelsen om brud på persondatasikkerheden, har Region Syddanmark anført, at:

Med henblik på afklaring af anvendelsen af databeskyttelsesforordningens art. 34 – Underretning om brud på persondatasikkerheden til den registrerede – har Region Syddanmark foretaget en konkret og reaktiv risikovurdering af bruddet herunder dets konsekvenser og sandsynligheden. Region Syddanmark har vurderet risikoen for de registrerede til lav. Vurderingen bygger navnlig på følgende fakta:

  • at platformen ikke har været tilgængelig via det åbne internet, men kun internt i regionen,
  • at platformen for den almindelige bruger ikke har været let at finde,
  • at det har krævet udvidede IT-kundskaber at finde frem til platformen,
  • at alle ansatte er undergivet tavshedspligt.

4. Begrundelse for Datatilsynets afgørelse

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at dataansvarlige og databehandlere under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. Som eksempel på relevante foranstaltninger fremhæves der i bestemmelsen bl.a. evne til at sikre vedvarende fortrolighed og procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed, jf. artikel 32, stk. 1, litra b og litra d.

Det er i forlængelse heraf Datatilsynets opfattelse, at det følger af kravet om passende sikkerhed, jf. artikel 32, stk. 1, at det for bl.a. kommuner og regioner er særligt relevant, at der er etableret procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. Datatilsynet har herved lagt vægt på, at kommuner og regioner behandler store mængder personoplysninger om mange registrerede (borgere, patienter og ansatte), herunder også særlige kategorier af personoplysninger, jf. artikel 9, og at risikoen for de registrerede generelt må antages at være høj ved tab af f.eks. fortrolighed.

Periodisk kontrol skal efter omstændighederne også omfatte kontrol af en organisations centrale it-infrastruktur, herunder servere, netværk og anden it-infrastruktur, som understøtter adgangen til primære administrative systemer, som f.eks. journalsystemer, andre kritiske sagsbehandlingssystemer og økonomisystemer. Det skal i tilknytning hertil bemærkes, at manglende periodisk kontrol efter Datatilsynets opfattelse indebærer en unødig høj risiko for, at utilstrækkelige eller mangelfulde sikkerhedsforanstaltninger ikke identificeres rettidigt.

I forhold til det anmeldte brud på persondatasikkerheden lægger Datatilsynet – ud fra Region Syddanmarks egen forklaring – til grund, at dokumenterne på Region Syddanmarks restjournalplatform uberettiget har været tilgængelige for mere end 30.000 medarbejdere, der var autoriseret til regionens netværk, at der ikke forelå en formel beslutning om at alle medarbejdere i regionen skulle have adgang hertil, at der på platformen blev behandlet dokumenter med personoplysninger for mere end 800.000 personer, herunder helbredsoplysninger, at dokumenterne har været tilgængelige for medarbejdere, der ikke havde et arbejdsbetinget behov, at der ikke er sket logning der kan dokumentere en eventuel anvendelse af personoplysningerne, og at overvågning af mapperne i restjounalplatformen var sporadisk og mangelfuld og ikke levede op til kravene for en procedure til regelmæssig afprøvning og vurdering af effektiviteten af de tekniske og organisatoriske foranstaltning til sikring af behandlingssikkerhed. Derved har Region Syddanmark ikke levet op til bestemmelserne i databeskyttelsesforordningens artikel 32, stk. 1, litra b og litra d.

Datatilsynet har ved valg af sanktion særligt lagt vægt på, at bruddet har omfattet dokumenter for et meget stort antal personer, at der blev behandlet såvel almindelige, fortrolige og personoplysninger af særlige kategorier, herunder oplysninger vedrørende børn eller særligt udsatte f.eks. registrerede med beskyttet adresse, at uvedkommendes adgang til disse oplysninger har indebåret høj risiko for de registreredes rettigheder og frihedsrettigheder, at samtlige medarbejdere, der var autoriseret til Region Syddanmarks netværk – uanset om der forelå et arbejdsbetinget behov – har haft adgang til dokumenterne, og at der ikke var truffet tilstrækkelige tekniske og organisatoriske foranstaltninger, der havde kunnet afdække dette brud på persondatasikkerheden i 7 år.

Som formildende omstændighed har Datatilsynet lagt vægt på, at alene medarbejdere, der i perioden har været autoriseret til Region Syddanmarks netværk, har kunnet tilgå dokumenterne, at medarbejderne er undergivet tavshedspligt, og at risikoprofilen afspejler, at dokumenterne var i transit og hovedsageligt kun har været tilgængelige i et afgrænset tidsrum.

En forseelse som den pågældende, særligt henset til dens udstrækning og omfang ville, hvis hele forseelsen havde fundet sted efter databeskyttelsesforordningens ikrafttræden, normalt kunne give anledning til bødestraf, hvorimod den del af forseelsen, som fandt sted før forordningens ikrafttræden, ikke normalt efter persondataloven ville kunne give anledning til bødestraf.

Efter en samlet vurdering af de ovenstående kriterier finder Datatilsynet, at der er grundlag for at udtale alvorlig kritikaf, at Region Syddanmark ikke har behandlet personoplysninger med passende tekniske og organisatoriske foranstaltninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet har foretaget en vurdering af Region Syddanmarks beslutning om ikke at foretage underretning af de registrerede med henvisning til at dokumenterne ikke har været tilgængelig for andre end ansatte i regionen, at dokumenterne for den almindelige bruger ikke har været let at finde og at det har krævet udvidede IT-kundskaber at finde disse, og at alle ansatte er undergivet tavshedspligt.

Henset til at dokumenterne på Region Syddanmarks restjournalplatform utilsigtet har været tilgængelige for mere end 30.000 medarbejdere i regionen i en periode på 7 år, at der på platformen er blevet behandlet dokumenter med personoplysninger for mere end 800.000 personer, at en del af dokumenterne har indeholdt fortrolige personoplysninger, samt personoplysninger af særlige kategorier, herunder oplysninger vedrørende børn eller særligt udsatte og registrerede med beskyttet adresse, at der ikke er foretaget registrering – herunder logning – af tilgang til oplysningerne, at Region Syddanmark derfor ikke kan godtgøre, at personoplysningerne ikke er kommet til uvedkommendes kendskab og at oplysningerne derved er unddraget Region Syddanmarks kontrol, finder Datatilsynet, at risikoen for de registreredes rettigheder og frihedsrettigheder er høj, hvorfor der skal ske underretning af de registrerede i henhold til databeskyttelsesforordningens artikel 34.

Generelt kan det – hvis man har mistet kontrollen over om oplysningers fortrolighed er kompromitteret – ikke ved at få stoppet den pågældende sårbarhed, siges at risikoen for misbrug af de oplysninger der måtte være tilgået, er blevet mindre.

Henset til det store antal af brugere med adgang til oplysningerne, oplysningernes karakter og den periode der er tale om, finder Datatilsynet ikke, at Region Syddanmark har godgjort forhold der medfører at der ikke skal ske underretning, særligt da de efterfølgende trufne foranstaltninger ikke har sikret, at risikoen for de registreredes rettigheder og frihedsrettigheder sandsynligvis ikke længere er reel, jf. databeskyttelsesforordningens art 34, stk. 3 litra a og b.

Datatilsynet finder således grundlag for at meddele Region Syddanmark påbud om at foretage underretning af de registrerede om bruddet på persondatasikkerheden.

Skønner Region Syddanmark, at det ikke er muligt at foretage individuel underretning til de registrerede, eller, at det vil kræve en uforholdsmæssig indsats at identificere de 800.000 berørte, finder Datatilsynet, at underretning kan ske ved offentlig meddelelse eller tilsvarende foranstaltning, såfremt dette sker på en måde der sikrer, at de registrerede underrettes på tilsvarende effektiv måde jf. databeskyttelsesforordningens artikel 34, stk. 3, litra c

Påbuddet gives i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra e.

Indholdet i underretningen til de registrerede skal opfylde kravene i databeskyttelsesforordningens artikel 34, og dermed i et klart sprog beskrive karakteren af det anmeldte brud på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i artikel 33, stk. 3, litra b, c og d.

Fristen for efterlevelse af påbuddet er den 26. juni 2020. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet, sammen med en anonymiseret kopi af underretningen. Ifølge databeskyttelseslovens § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra e.

Datatilsynet bemærker, at tilsynets afgørelser ikke kan indbringes for anden administrativ myndighed, jf. databeskyttelseslovens § 30. Datatilsynets afgørelse kan dog indbringes for domstolene, jf. grundlovens § 63.

 

[1] LOV nr. 429 af 31/05/2000 om behandling af personoplysninger, som senest ændret ved lov nr. 410 af 27. april 2017.

[2] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[3] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).