Region Sjælland får alvorlig kritik for manglende sikkerhedsforanstaltninger

Dato: 13-09-2023

Datatilsynet har udtalt alvorlig kritik af Region Sjællands manglende sikkerhed omkring brede adgange til persondata og for at have en logning, der ikke gav mulighed for at kunne se, hvilke personoplysninger en given bruger tilgik.

Datatilsynet modtog en henvendelse om, at medarbejdere hos Region Sjælland via forsiden i Sundhedsplatformen har adgang til patientlister på tværs af alle Region Sjællands Hospitaler.

Datatilsynet valgte at starte en sag af egen drift for at undersøge spørgsmålet.

Resumé

Autoriserede brugeres uretmæssige adgang til personoplysninger udgør en betydelig risiko, som alle dataansvarlige skal forholde sig til.

Datatilsynet har i flere sager konstateret, at dataansvarlige ikke har gennemført tilstrækkelige sikkerhedsforanstaltninger for at imødegå den risiko. I disse sager har dataansvarlige anført, at de – som den eneste sikkerhedsforanstaltning – har oplyst brugerne om deres tavshedspligt og de mulige strafferetlige konsekvenser, hvis tavshedspligten overtrædes. 

Det er dog i de fleste tilfælde ikke tilstrækkeligt til at beskytte de registreredes rettigheder. Selv i tilfælde, hvor brugerne bliver godt informeret, modtager Datatilsynet anmeldelser om brud på persondatasikkerheden, hvor netop uretmæssig brug af adgangsrettigheder er årsagen til bruddet.

Skærpede sikkerhedsforanstaltninger 

Selvom afgørelsen vedrører en konkret sag, skal Datatilsynet indskærpe følgende sikkerhedsforanstaltninger overfor alle dataansvarlige:

  • Adgang til personoplysninger bør kun gives til en bruger efter en dokumenteret vurdering af den dataansvarlige.
  • Ansatte bør kun have adgang til personoplysninger, som vedkommende har et arbejdsbetinget behov for at tilgå.
  • Den dataansvarlige skal reducere risikoen ved adgang til personoplysninger.
  • Den dataansvarlige skal implementere passende kontrolforanstaltninger.

Det er Datatilsynets opfattelse, at kontrollen af adgangsrettigheder som minimum bør bestå af en verifikation af det arbejdsbetingede behov ved tildelingen, en løbende kontrol baseret på verifikation af, at behovet stadig er relevant og en form for auditering heraf. Hvis auditeringen udføres som stikprøvekontroller, skal antallet og frekvensen af udtagne stikprøver stå repræsentativt i forhold til antallet af mulige hændelser og risikoen for de registreredes rettigheder.

Region Sjælland får alvorlig kritik 

I den konkrete sag fandt Datatilsynet, at der på sundhedsområdet – i visse tilfælde – kan være behov for en bredere adgang til personoplysninger. Denne adgang skal dog begrænses til de medarbejdere, hvor der er et konkret arbejdsbetinget behov og kun i de arbejdssituationer, hvor det er relevant. Behovet for denne bredere adgang skal altid afvejes mod de kendte risikoscenarier.

Datatilsynet udtalte alvorlig kritik af Region Sjælland for at give alle autoriserede brugere adgang til patientlister med personoplysninger på samtlige af Regionens hospitalsafdelinger - uden tilstrækkelige sikkerhedsforanstaltninger.

Datatilsynet fandt endvidere, at Regionens logningspraksis ikke kunne skabe en sammenhæng mellem et opslag og de konkrete personoplysninger, som blev tilgået gennem patientlisten. Regionen kunne derfor ikke dokumentere og følge op på et eventuelt misbrug af den omfattende brugeradgang til persondata. Region Sjælland havde på den baggrund ikke overholdt databeskyttelsesforordningens artikel 32, stk. 1.  

 

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Region Sjællands behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

2.1. Region Sjællands bemærkninger

Datatilsynet modtog en henvendelse om, at medarbejdere hos Region Sjælland via forsiden i Sundhedsplatformen har adgang til patientlister på tværs af alle Region Sjællands Hospitaler. Patientlisterne indeholder oplysninger om bl.a. personnumre, navne og aktions- eller indlæggelsesdiagnoser på patienter, som medarbejderne ikke nødvendigvis har en behandlerrelation til.

Region Sjælland har til sagen oplyst, at patientlisterne kan tilgås fra forsiden i Sundhedsplatformen fra og at funktionen har eksisteret siden systemet blev implementeret i november 2017.  

Antallet af brugere på det oplyste tidspunkt var 16.322.

Patientlisterne er lister over patienter, der er indlagt på sygehusenes afdelinger.

Patientlisterne er præindstillede til at bl.a. at indeholde navn, cpr.nr og indlæggelsessted, men at kan udvides med flere oplysninger, f.eks. diagnoser eller andre oplysninger, hvis det anses for nødvendigt.

Regionen anser patientlisterne som et tværfagligt arbejdsredskab for alle personalegrupper, hvorfor alle med login til Sundhedsplatformen har mulighed for at tilgå patientlisterne.

Den beskrevne anvendelse er patientlisterne medvirker til at understøtte både de lokale kliniske arbejdsgange, den tværgående patientbehandling og dermed også sikkerheden i patientbehandlingen.

Som et led i patientlisternes funktion i forhold til den tværgående patientbehandling og arbejdstilrettelæggelsen har alle personalegrupper i Region Sjælland med login til Sundhedsplatformen mulighed for at tilgå oplysningerne.

Region Sjælland oplyser videre, at adgangen til patientlisterne logges, men at det ikke fremgår af loggen hvilke patienter der er på patientlisten på det pågældende tidspunkt.

2.2. Styrelsen for Patientsikkerheds bemærkninger

Styrelsen For Patientsikkerhed har – på baggrund af en modtaget underretning – skrevet til Datatilsynet om adgange i Sundhedsplatformen. I den korrespondance har Styrelsen udtalt, at der efter deres vurdering ikke foreligger vægtige grunde for den – uden for egen afdeling – meget brede adgang til patientlisterne i behandlingsmæssige sammenhæng. En sådan adgang vil i realiteten kun være relevant for læger og andet fagligt personale med specifikke relevante tilsynsgående funktioner.

Med hensyn til den lægelige behandling er det almindeligvis stamafdelingen, hvor patienten er indlagt eller tilknyttet, som har ansvaret for at tilkalde eller orientere læger fra andre specialer/afdelinger med henblik på fx undersøgelse eller faglig rådgivning om patientbehandlingen, herunder om patienten skal overflyttes til andet afsnit, afdeling eller sygehus.

Styrelsen vurderer derfor, at der ikke foreligger vægtige grunde for den uden for egen afdeling meget brede adgang til patientlisterne i behandlingsmæssige sammenhæng. En sådan adgang vil i realiteten kun være relevant for læger og andet fagligt personale med specifikke relevante tilsynsgående funktioner.

Styrelsen anførte yderligere, at det er vanskeligt nærmere at vurdere det omtalte behov for bred adgang til listerne til brug for det af regionen omtalte tværfaglige tilsyn på tværs af afdelinger og regionernes sygehuse, da der alene gives en overordnet beskrivelse heraf uden nærmere konkrete eksempler eller henvisninger til relevante faglige instrukser for sådanne tværgående tilsyn.

Det er samtidig styrelsens umiddelbare opfattelse, at det almindeligvis i patientbehandlingen er tilstrækkeligt, at personalet kan tilgå al relevant information og journalmateriale på tværs af de to regioner vedrørende den konkrete patient ved opslag i SP på CPR.

Styrelsen har anført, at denne ikke er kompetent myndighed, i forhold til GDPR.

2.3. Region Sjællands bemærkninger til Styrelsen for Patientsikkerheds henvendelse

Region Sjælland har – i forhold bemærkningerne fra Styrelsen for Patientsikkerhed – udtalt, at Styrelsen for Patientsikkerhed ikke anser sig som værende kompetent myndighed i forhold til denne databeskyttelsesretlige problemstilling, jf. forvaltningslovens § 7, stk. 2, og at Styrelsen for Patientsikkerhed i den forbindelse og efter nærmere redegørelse ikke ser sig kompetent til at vurdere den redegørelse, som Region Sjælland har givet til Datatilsynet. Region Sjælland har på denne baggrund ikke yderligere bemærkninger til fremsendte henvendelse fra Styrelsen for Patientsikkerhed.

2.4. Region Sjællands yderligere bemærkninger

Opbygning af adgange tager udgangspunkt i principperne fra Sygehusplanen om et sammenhængende behandlingstilbud, der har patienten i fokus og understøtter både de tværgående kliniske arbejdsgange samtidig med, at der er et stærkt fokus på sikkerheden i patientbehandlingen.

Sygehusplanen er bl.a. udtryk for regionens udmøntning af Sundhedsloven § 2, hvor eksempelvis behandling af høj kvalitet, sammenhæng mellem ydelserne, let adgang til information, et gennemsigtigt sundhedsvæsen, samt kort ventetid på behandling er centrale faktorer.

For på denne måde at kunne understøtte den bedst mulige patientbehandling på det sygehus, hvor patienten er indlagt, er der udover den egentlige behandlerrelation også andre medarbejdergrupper, der har et legitimt, arbejdsbetinget behov for adgang til patientoplysninger. Disse medarbejdere kan med adgang til patientlisterne foretage sundhedsfaglig screening af indlagte patienter, tværfaglig behandling og tilsyn, samt yde beslutningsstøtte. Derudover anvendes patientlisterne til kapacitetsstyring og planlægning.

Behovet for adgang kan derfor ikke alene begrænses til den egentlige behandlerrelation.

Samtidig er medarbejdere i den offentlige forvaltning generelt underlagt tavshedspligt, jf. Forvaltningsloven § 27 m.fl. Derudover er sundhedspersoner i henhold til Sundhedsloven § 40 pålagt at iagttage tavshed i forbindelse med udøvelse af deres erhverv.

3. Begrundelse for Datatilsynets afgørelse

Datatilsynet lægger til grund, at lister over patienter, der er indlagt på sygehusenes afdelinger har kunnet tilgås fra forsiden i Sundhedsplatformen og at funktionen har eksisteret siden november 2017. 

Det lægges herudover til grund, at der har været autoriseret et betydeligt antal brugere med adgang til listen, og at dette antal, konkret i marts 2022, var 16.322.

Det lægges i overensstemmelse med Region Sjællands egne oplysninger til grund, at Patientlisterne kan indeholde navn, cpr.nr og indlæggelsessted, og kan udvides med flere oplysninger, f.eks. diagnoser eller andre oplysninger, hvis det anses for nødvendigt.

Generelt er det Datatilsynets opfattelse, at en brugers adgang til persondata, alene må ske på baggrund af en overvejet og dokumenteret beslutning fra den dataansvarlige.

Brugerens adgang til persondata skal afspejle en nødvendig tilknytning til realiseringen af det formål oplysningerne lovligt bliver behandlet til. Datatilsynet har i flere afgørelser på tilsynets hjemmeside[2] slået fast, at denne tilknytning til formålet – for ansatte brugere – skal foreligge som et arbejdsbetinget behov, før en adgang tildeles.

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Der påhviler på den baggrund den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Det er Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at den dataansvarlige løbende kontrollerer, om brugeradgange til systemer er begrænset til de personoplysninger, som er nødvendige og relevante for den pågældende bruger.

Yderligere er det Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at den dataansvarlige løbende foretager stikprøver af loggen for at kontrollere, at brugerne kun tilgår oplysninger, de har et arbejdsbetinget behov for.

Det er herudover Datatilsynets opfattelse, at kontrollen af adgangsrettigheder, normalt, som minimum, bør bestå af en verifikation af det arbejdsbetingede behov ved tildelingen, en løbende kontrol baseret på verifikation af, at dette behov stadig er til stede og en form for auditering heraf. Såfremt auditeringen udføres som stikprøvekontroller, skal antallet og frekvensen af udtagne stikprøver stå repræsentativt i forhold til antallet af mulige hændelser og risikoen for de registreredes rettigheder.

Datatilsynet har forståelse for, at sundhedsområdet generelt kan have et behov for en bredere adgang til persondata, med henblik på at sikre, at relevante sundhedspersoner har en viden og kendskab til patienten så de kan udføre deres arbejde i overensstemmelse med de sundhedsretlige regler de er underlagt.

Datatilsynet skal dog indskærpe, at denne bredere adgang alene sker for de medarbejdere, for hvilke det måtte være et konkret arbejdsbetinget behov og kun i de arbejdssituationer dette måtte være relevant. Et abstrakt behov, bør i stedet for håndteres ved, at der differentieret på arbejdsopgaver og lovgivningsmæssig eller faglig forpligtelse, gives særskilte adgange til brugerne til at foretage søgninger, eller får præsenteret oversigter, der skaber den nødvendige information.

Uretmæssig adgang til personoplysninger – foretaget af autoriserede brugere – er et trusselscenarie, der ikke alene er potentielt, men udtryk for et reelt og relativt hyppigt forekommende scenarie, der fører til brud på persondatasikkerheden. Scenariet indtræffer tilbagevendende, trods et generelt højt informationsniveau målrettet mod brugerne, om lovlighed og eventuel straf efter straffeloven, ved at foretage de uretmæssige opslag.

Det er Datatilsynets opfattelse, at der henset til de nævnte reelle trusselscenarier og realiseringen af disse – på trods af de organisatoriske foranstaltninger til at imødegå risikoen – skal ske en begrænsning i den umiddelbare og universelle adgang til listefunktioner og skabte repræsentationer af persondata, der ligger udover den pågældende brugers behandlingsansvar eller ikke er nødvendig for at varetage en konkret opgave, der kræver en sådan adgang til persondata.

Det er yderligere Datatilsynet opfattelse, at det for at kunne vurdere hvorvidt et givent opslag har været berettiget eller ej, er nødvendigt at logge korrelationen mellem de konkrete personoplysninger der præsenteres, fremsøges eller kan ses på skærmen og den brugermæssige kontekst herfor.

Datatilsynet finder, at Region Sjælland – ved at give adgang for 16.322 brugere til patientlister på samtlige Regionens hospitaler – har haft en adgang til personoplysninger, der ud fra den konkrete risiko, ikke udgjorde et passende sikkerhedsniveau. Herudover finder Datatilsynet, at Region Sjælland – ved ikke at have en log der afspejlede hvilke personoplysninger en given bruger havde set – ikke har haft passende tekniske og organisatoriske foranstaltninger, der kunne dokumentere og følge op på eventuelt misbrug af den meget brede tildelte brugeradgang til persondata. Herved har Region Sjælland ikke overholdt databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet udtaler derfor alvorlig kritik af, at Region Sjællands behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet har også tillagt det vægt, at Styrelsen for Patientsikkerhed, har udtalt, at der efter deres vurdering ikke foreligger vægtige grunde for den – uden for egen afdeling – meget brede adgang til patientlisterne i behandlingsmæssige sammenhæng. Og at en sådan adgang kun vil være relevant for læger og andet fagligt personale med specifikke relevante tilsynsgående funktioner.

Datatilsynet skal indskærpe, at den vurdering af risikoen som afgørelsen giver udtryk for, bør få Region Sjælland til at foretage en revision af hele den adgangsrettighedsstruktur der benyttes generelt, og at det er tilsynets forventning, at Regionen reviderer samtlige de områder hvor en bred adgang benyttes uden en konkret behandlerrelation eller et konkret dokumenteret behov for adgang til personoplysningerne.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] bl.a. 2012-622-0004, 2014-632-0075 og 2022-423-0261