Politianmeldt: Alle kunne se 3.915 patienters helbredsoplysninger og cpr-numre på hjemmeside

For anden gang på to måneder politianmelder Datatilsynet Region Syddanmark efter brud på persondatasikkerheden med krav om bøder på 500.000 kroner begge gange.

En powerpoint-præsentation udarbejdet til uddannelse på Odense Universitetshospital (OUH) har ført til, at Datatilsynet har politianmeldt Region Syddanmark for brud på persondatasikkerheden.

Datatilsynet indstiller regionen til en bøde på 500.000 kroner, fordi powerpoint-præsentationen indeholdt 3.915 patienters helbredsoplysninger og cpr-numre.

Desuden fremgår det af en pressemeddelelse fra Datatilsynet, at oplysningerne havde været tilgængelige på Region Syddanmarks hjemmeside siden maj 2011 - altså i mere end 10 år.

Oplysningerne fremgik af nogle diagrammers bagvedliggende data og kom frem, når man trykkede på dem.

Utilstrækkelig screening

Når man opdager et brud på persondatasikkerheden, har man 72 timer til at melde det til Datatilsynet, som i denne sag vurderer, at Region Syddanmark ikke havde sikret sig imod utilsigtet offentliggørelse af personoplysninger på regionens hjemmeside.

Datatilsynet har politianmeldt Region Syddanmark for ikke at have etableret tilstrækkelige sikkerhedsforanstaltninger.

Region Syddanmark opdagede først fejlen, da OUH i februar 2020 blev kontaktet af en borger om powerpoint-præsentationen.


Anmeldelsen gik på, at det screeningsværktøj, regionen benyttede til at scanne dokumenter på regionens hjemmeside, ikke var i stand til at finde personnumre i for eksempel diagrammers bagvedliggende data i powerpoint-præsentationer.

- Vi er super ærgerlige over den sag. Det burde ikke være sket. Da vi opdager det, gør vi alt, hvad vi kan, for at orientere de berørte og fjerne det pågældende powerpoint-dokument, siger regionsdirektør Jane Kraglund og fortsætter:

- Vi har håndteret sagen, som vi skal, men det ændrer ikke på, at vi er ærgerlige over sagen. Vi kan kun tage det til efterretning, og så må sagen gå den gang, som den skal.

Anden gang på to måneder

Men det er ikke første gang i år, at Region Syddanmark politianmeldes for ikke at have overholdt sin forpligtelse som dataansvarlig til at gennemføre passende sikkerhedsforanstaltninger.

I juli blev Region Syddanmark også indstillet til en bøde på 500.000 kroner for ikke i tilstrækkelig grad at have sikret sig imod, at uvedkommende kunne opnå uautoriseret adgang til en database til forskningsmæssige og kliniske formål.

I databasen lå der blandt andet helbredsoplysninger om mere end 30.000 børn tilknyttet psykiatrien.

Datatilsynet blev opmærksom på sagen, da en borger i 2020 rettede henvendelse til tilsynet over manglende sikkerhed ved regionens behandling af personoplysninger vedrørende borgerens barn.

Oversigt

    Oversigt