Ny afgørelse

Region Nordjylland får kritik for manglende sikkerhed omkring selvbetjeningsløsning

Dato: 08-11-2021

Datatilsynet har truffet afgørelse i en sag, hvor Region Nordjylland har anmeldt et brud på persondatasikkerheden angående en sårbarhed i en selvbetjeningsløsning.

Fra maj 2018 til april 2021 har det været muligt - via en it-løsning - at tilgås andres personoplysninger og aflyse bookinger, f.eks. aftaler på et sygehus. Der var tale om en velkendt type sårbarhed, som angår manglende styring af brugerens adgang. Misbrug af løsningen krævede, at brugeren var logget ind med NemID, men fejlen gjorde, at adgangen til bookinger og breve ikke blev begrænset til den aktuelle brugers egne bookinger/breve.

Datatilsynet har udtalt kritik af, at Region Nordjylland ikke havde levet op til kravet om passende sikkerhedsforanstaltninger, fordi regionen ikke havde stillet tilstrækkelige krav om sikkerhed i sine aftaler med firmaet, som udviklede løsningen.

Datatilsynet lagde vægt på, at potentielt en halv million registreredes personoplysninger kunne være tilgået af uvedkommende, at oplysningerne omfattede helbredsoplysninger og andre beskyttelsesværdige oplysninger, at både personoplysningernes fortrolighed og tilgængelighed kunne påvirkes, og at bruddet stod på i ca. tre år.

Endvidere har Datatilsynet lagt vægt på, at bruddet på persondatasikkerheden skyldtes en kendt type sårbarhed, og dermed noget som burde være håndteret allerede ved udvikling og test af it-løsningen.

Datatilsynet har i formidlende retning blandt andet lagt vægt på, at misbrug af sårbarheden skulle ske bag et login med NemID, som – om end det ikke kunne forhindre muligheden for misbrug – dog ville give brugerne indtryk af, at de måske kunne blive afsløret, hvis de udnyttede sårbarheden, og at dette muligvis kunne afholde dem fra at gøre det.

Du kan læse afgørelsen her.