Artikel top billede

(Foto: Computerworld/Google Maps)

Region Syddanmark anmelder persondata-brud til Datatilsynet

To nye brud på persondatasikkerheden er blevet anmeldt til Datatilsynet af Region Syddanmark. Ifølge regionen har der været mulighed for at uvedkommende har haft adgang til patientdata i to it-systemer.

Region Syddanmark har anmeldt to brud på persondatasikkerheden til Datatilsynet.

Regionen har identificeret bruddene efter en undersøgelse af regionens netværksdrev i foråret 2020.

De to seneste brud kommer efter at regionen tidligere på sommeren havde identificeret i alt fire brud på persondatasikkerheden.

“Reglerne for beskyttelse af følsomme personoplysninger betyder, at kravene til vores it-sikkerhed er høje. Vi har benyttet 2020 til en grundig gennemgang af sikkerheden på vore netværksdrev. Vi har i den forbindelse fundet og anmeldt to it-sikkerhedsbrud i løbet af foråret, fire yderligere henover sommeren, og nu to yderligere sikkerhedsbrud, som borgerne hermed underrettes om,” meddeler Morten Lundgaard, it-direktør i Region Syddanmark.

Læs også: Region Syddanmark ramt af fire nye sikkerhedsbrud: Lukker for netværksdrev

Adgang til patientdata

I de seneste to sager har det ifølge regionen været muligt for ansatte at få adgang til dokumenter vedrørende patienter på systemernes netværksdrev, selvom de ansatte ikke nødvendigvis er tilknyttet den pågældende patient.

Den ene brud drejer som it-systemet Auditbase, der har indeholdt CPR-nummer på patienter der er tilknyttet høreklinikken på Sygehus Sønderjylland.

Dette brud går tilbage til november 22. November 2017, men der blev lukket ned for netværksdrevet den 8. Juli 2020.

Det andet brud drejer sig om røntgensystemet GE RIS/Pacs, der anvendes på Odense Universitetshospital, hvor uvedkommende siden maj 2019 har haft adgang til henvisninger og helbredsoplysninger.

Ifølge Region Syddanmark blev der lukket for adgangen den 12. august 2020.

“Jeg vil gerne understrege, at vi, via vores undersøgelse, ikke har formodning om, at uvedkommende har fået adgang til oplysninger via vores systemer. Og jeg ved, at det vil kræve ualmindelig indgående it-kendskab for at finde frem til informationer på de fællesdrev, det handler om,” siger Morten Lundgaard ifølge pressemeddelelsen.

Region: En teoretisk risiko
Ifølge Region Syddanmark har risikoen for persondata-brud være "en teoretisk mulighed" og regionen understreger ligeledes, at det kun er et afgrænset antal brugere, som har haft adgang til data i systemerne.

Regionen forklarer i pressemedddelelsen, at en bruger skulle tiltvinge sig adgang gennem fem trin for at få adgang til oplysningerne.

“Brugeren skulle først gætte sig til et virtual storage-navn, også kendt som servernavn, da visning af servere på netværksniveau er slået fra. Derefter skulle brugeren gætte et netværksdrevnavn, sammensætte den rigtige syntaks og taste det gættede navn i stifinder eller en kommando prompt – en sort DOS box. Først da ville en bruger kunne få adgang til datamapperne i systemet, hvor det har været muligt at læse og evt. ændre i dokumenter,” lyder forklaringen i regionens pressemeddelelse.

Læs mere hos Region Syddanmark her

Læs også: Sikkerhedsbrud hos Region Syddanmark kan have lækket oplysninger fra 173.000 patienter



CIO
Sådan tager top-CIO Pernille Geneser livtag med 40 år gamle it-systemer i Stark Group med 10.000 medarbejdere