Ny afgørelse

Alvorlig kritik, påbud og advarsel til Region Hovedstaden efter to sikkerhedsbrud

Dato: 18-02-2022

Datatilsynets afgørelse kommer på baggrund af to sikkerhedsbrud, som var anmeldt af Sundhedsdatastyrelsen i august 2020 og juli 2021. I begge brud var en dataudvekslingsservice fra sundhedsplatformen – som Region Hovedstaden var dataansvarlig for –  involveret.

Datatilsynet har udtalt alvorlig kritik og udstedt et påbud samt en advarsel til Region Hovedstaden.  Afgørelsen kommer på baggrund af to sikkerhedsbrud, som var anmeldt af Sundhedsdatastyrelsen i august 2020 og juli 2021. I begge brud var en dataudvekslingsservice fra sundhedsplatformen – som Region Hovedstaden var dataansvarlig for –  involveret.

I august 2020 påvirkede sikkerhedsbruddet 4.223 medicinordinationer for 2.310 patienter, og i juli 2021 påvirkede sikkerhedsbruddet 1.311 lægemiddelordinationer fordelt på 1.149 patienter fra Region Hovedstaden og Region Sjælland.

Kodeændringer i ét system medførte utilsigtede ændringer i et andet

Begge sikkerhedsbrud opstod, da kodeændringer i Sundhedsplatformen (SP), hvor Region Hovedstaden er dataansvarlig, medførte utilsigtede ændringer i det Fælles Medicin Kort (FMK), hvor Sundhedsdatastyrelsen er dataansvarlig. Sikkerhedsbruddene opstod på baggrund af, at integrationerne mellem FMK og SP muliggør, at en opdatering i SP kan påvirke integriteten af visningen af oplysninger i FMK.

Datatilsynet har efter gennemgang af begge anmeldte brud udtalt alvorlig kritik af Region Hovedstaden for:

  • ikke at have kvalificeret relevante testscenarier med henblik på bedre at kunne identificere afhængigheder til andre it-systemer,
  • ikke at have gennemført nødvendige test inden ændringerne blev sat i produktion,
  • ikke at have informeret Sundhedsdatastyrelsen om sikkerhedsbruddene da hændelserne blev konstateret.

Datatilsynet har meddelt Region Hovedstaden påbud om, at udarbejde og indføre en proces, der sikrer, at ingen ændringer i SP’s funktionalitet eller datagrundlag gennemføres og sættes i drift, før det er sikret, at der ikke ved kendte integrationer med andre systemer skabes urigtige informationer i disse.  Påbuddet omfatter således ikke alene integrationer med FMK, men alle it-systemer der er integreret med SP. Herunder også it-systemer som har andre dataansvarlige.

Datatilsynet har endvidere udstedt en advarsel til Region Hovedstaden om, det sandsynligvis vil være i strid med databeskyttelsesforordningen at idriftsætte systemændringer i SP, hvor der forekommer dataintegration med andre systemer, uden at foretage tests af dataintegritet.

Detaljeret kortlægning og bedre overblik over dataansvar

I forhold til Sundhedsdatastyrelsen har Datatilsynet indskærpet, at de skal foretage en detaljeret kortlægning af den interne it-arkitektur og it-miljøet i samarbejde med de involverede parter. Herunder en kortlægning af integrationer mellem FMK og øvrige kilde- og aftagersystemer, således at det fremgår tydeligt, hvilket dataansvar Sundhedsdatastyrelsen har i forhold til behandling af personoplysninger i FMK, og hvilket ansvar øvrige dataansvarlige har for behandling af personoplysninger i kilde- og aftagersystemer. Dette sætter også involverede parter bedre i stand til at identificere og udbedre integrationsfejl i samarbejde med hinanden.

Datatilsynet har ligeledes præciseret, at det er den dataansvarliges ansvar at anmelde et brud på persondatasikkerheden til tilsynsmyndigheden, når den dataansvarlige har konstateret tab af integritet af personoplysninger i eget it-system - også i situationer, hvor bruddet er forårsaget af fejl i kilde- og aftagersystemer tilhørende en anden dataansvarlig.

Underretning af de registrerede

Region Hovedstaden og Sundhedsdatastyrelsen har i forlængelse af begge sikkerhedsbrud foretaget en sundhedsfaglige underretning af de berørte registrerede. Datatilsynet har i den forbindelse gjort opmærksomhed på, at en sundhedsfaglig underretning ikke uden videre kan sidestilles med en databeskyttelsesretlig underretning i situationer, hvor der er en høj risiko for de berørte registrerede.  Underretning i sådanne situationer skal leve op til kravene fastsat i databeskyttelsesforordningen.

Vil du vide mere? 

Læs afgørelsen om Region Hovedstaden her

Læs Datatilsynets afsluttende brev til Sundhedsdatastyrelsen her

Læs mere om testdata og brug af personoplysninger ved udvikling og test af it-systemer her

Læs mere om behandlingssikkerhed og databeskyttelse gennem design og standardindstillinger her

Pressekontakt

Journalister kan kontakte presseansvarlige Anders Due på tlf. 29 49 32 83.