Ny afgørelse: Utilstrækkelige sikkerhedsforanstaltninger hos Region Syddanmark

Dato: 23-06-2020

I en årrække var der potentiel adgang for 30.000 medarbejdere til mere end 800.000 borgeres personoplysninger. Datatilsynet udtaler alvorlig kritik og giver påbud om underretning af borgerne.

Region Syddanmark har siden 2013 anvendt et netværksdrev til midlertidig opbevaring af dokumenter, der skulle tilknyttes regionens Elektroniske Patient Journal (EPJ). Netværksdrevet og det midlertidige lager blev i 2017 udvidet til at dække alle Region Syddanmarks enheder. Formålet med det midlertidige lager var at kvalificere dokumenterne og kvalitetssikre disse ved at tilføje meta-data for derefter at arkivere dokumenterne i EPJ. Efter færdigbehandling skulle dokumenterne automatisk slettes fra det midlertidige lager. Imidlertid kunne en række forskellige faktorer indebære, at enkelte dokumenterne befandt sig på det midlertidige lager i op til nogle måneder.

Netværksdrevet var ikke beskyttet med tilstrækkelig adgangskontrol, idet alle Region Syddanmarks ca. 30.000 ansatte havde adgang til drevet og dermed dokumenterne. Der blev ikke foretaget maskinel registrering (logning) af adgangen til dokumenterne.

Alle ansatte med et log-on til regionens netværk havde derfor adgang til dokumenter, der indeholdt almindelige, fortrolige og personoplysninger af særlige kategorier, herunder oplysninger vedrørende børn eller særligt udsatte grupper og registrerede med beskyttet adresse.

Datatilsynet udtaler på dette grundlag alvorlig kritik af Region Syddanmarks behandling af personoplysninger.

Samtidig har Datatilsynet, henset til det store antal ansatte, der har haft adgang til drevet, perioden, hvor muligheden har været der, og personoplysningernes karakter, fastslået, at der er en høj risiko for de registreredes rettigheder, og meddelt Region Syddanmark påbud om at underrette af de registrerede om bruddet på persondatasikkerheden.

Datatilsynet udtaler bl.a. i afgørelsen, at når den dataansvarlige ikke har kunnet fastslå, om en potentiel adgang er udnyttet eller ej, er det ikke nok at lukke adgangen, men nødvendigt også at underrette de registrerede, fordi risikoen for dem er vurderet som høj.

Region Syddanmark har efterkommet påbuddet 23. juni 2020.

Læs mere

Læs selve afgørelsen her.

Læs mere om persondatasikkerhed.

Læs Datatilsynets vejledning om håndtering af brud på persondatasikkerheden.