Hård kritik til Sundhedsdatastyrelsen efter endnu en alvorlig fejl i koden

Datatilsynet udtaler alvorlig kritik af Sundhedsdatastyrelsen for igen at have haft rod med persondatasikkerheden.

8. juli 2022 kl. 09.57

(Foto: Povl D. Rasmussen)

Alexander Haslund Tidligere strategi- og ledelsesredaktør

Sundhedsdatastyrelsen får alvorlig kritik af Datatilsynet for endnu en gang ikke at leve op til kravet om passende sikkerhed.

Det sker i en sag, hvor en kodeændring i Sundhedsplatformen (SP) medførte utilsigtede ændringer i det Fælles Medicinkort (FMK).

Fejlen betød, at doseringsslutdatoen for 267 personer ikke blev fjernet på det Fælles Medicinkort, og dermed ikke slog igennem til Sundhedsplatformen.

Det oplyser Datatilsynet i en meddelelse.

Styrelsen er som udgangspunkt forpligtiget til, skriver Datatilsynet, at teste alle sandsynlige fejlscenarier i forbindelse med udvikling og ændring af software i FMK.

Også selvom kodeændringer leveres af tredjepart, er det Sundhedsdatastyrelsen som dataansvarlig for FMK, der er ansvarlig for, at ændringer bliver testet, lyder det.

"Det er ikke sket i dette tilfælde, og dermed har Sundhedsdatastyrelsen efter Datatilsynets opfattelse ikke levet op til kravet om passende sikkerhed."

I sager, hvor flere aktører udveksler data i en servicebaseret arkitektur, ser Datatilsynet ofte konsekvenser i andre systemer, end der, hvor ændringen er sket, lyder det.

Flere lignende sager

Datatilsynet ligger til grund for den alvorlig kritikudtale af Sundhedsdatastyrelsen, at det ikke er første gang styrelsen har haft problemer.

I februar i år havnede en lignende sag på Datastyrelsens bord, hvor en kodeændring i Sundhedsplatformen også medførte utilsigtede ændringer i FMK.

"Datatilsynet har i forhold til de tidligere afgjorte sager fundet det væsentligt at fastslå, at også en manglende robusthed og manglende integritetstest i FMK er udtryk for et manglende niveau af sikkerhed," lyder det.

"Hyppigheden af fejl i den valgte arkitektur er alt for høj i forhold til risikoen for de borgere, hvis oplysninger bliver behandlet. Og disse fejl kan kun udbedres, hvis alle dataansvarlige i datakæden aktivt samarbejder om den fornødne robusthed og samlede sikkerhed i hele løsningen," lyder det videre.

Desuden overskred Sundhedsdatastyrelsen fristen på 72 timer for at anmelde et sikkerhedsbrud, lyder kritikken fra Datatilsynet, der på den baggrund altså finder grundlag for at udtale "alvorlige kritik".

Du kan finde en gennemgang af hele sagen her.

Cloud computing

Google og Anthropic forhandler om AI-aftale til flere hundrede milliarder kroner

Seneste nyt

|Vis seneste uge

Dreamforce 2025

CIO Christian Braad rydder op hos Norlys: “Det er ikke tidspunktet til kreative udviklingsprojekter”

Infrastruktur

Satya Nadella sætter kursen for fremtidens Microsoft: Her vil selskabet satse

Offentlig it

Stor gennemgang klar: Her er læren af de to store AI-pilotprojekter i Danmark

Internet

Britisk trafik til pornosites styrtdykker efter indførelse af ny alders-verifikation

Læses lige nu

Kultur

Sådan vil AI kunne påvirke de vigtige samfundssøjler på helt nye måder

Annonce

Event: Cyber Security Festival 2025

Sikkerhed | København

Mød Danmarks skrappeste it-sikkerhedseksperter og bliv klar til at planlægge og eksekvere en operationel og effektiv cybersikkerhedsstrategi, når vi åbner dørene for +1.200 it-professionelle. Du kan glæde dig til oplæg fra mere end 50 talere og møde mere end 30 leverandører over to dage.

4. & 5. november 2025 | Gratis deltagelse