Region Hovedstaden er næsten færdig med at rydde op i adgange til patientjournaler

​Vicedirektør i CIMT fastslår, at der ikke er problemer med uberettiget adgang til patientjournalerne, men erkender, at 20.000 brugerkonti har været håndteret forkert i regionen – de er ved at være lukket.​​

​"Der er ingen, der har uautoriseret adgang til vores patientjournaler i Region Hovedstaden. I medier samt på Facebook kører der i disse dage historier om, at 20.000 tilfældige personer bare kan gå ind og se patienternes journaler. Det er altså én stor misforståelse," siger vicedirektør i Center for It, Medico og Telefoni (IMT) i Region Hovedstaden, Pia Kopke.

Problemerne er opstået på grund af dårlig disciplin i forbindelse med procedurerne for at lukke brugerkonti til patientjournalerne i OPUS, når de ansatte har flyttet til et andet hospital i regionen eller har forladt regionen. I de tilfælde, hvor en medarbejder har forladt regionen er adgangen til regionens netværk blevet lukket og dermed også den tidligere medarbejders mulighed for at få adgang til OPUS.

Godt 52.000 brugerkonti er identificeret i starten af 2015, og det forventes at omkring 20.000 af disse konti skal lukkes.

Oprydning

Region Hovedstaden har været opmærksom på rettighedsproblematikken siden 2015, hvor Datatilsynet rettede blikket mod problemerne. Det betyder, at der er ved at blive renset godt og grundigt op i rettighederne i henhold til en procedure, som er godkendt af Direktørkredsen.

"Vi skal nok ned på cirka 33.000 personer med adgang. Alle dubletter og lignede problemer er renset ud ved udgangen af marts," siger Pia Kopke.

"Der har primært været tale om dubletter, bl.a. fordi vores ansatte jo flytter rundt mellem hospitalerne. Gamle passive adgange opstår, når den gamle afdeling i forbindelse med medarbejderskift ikke får nedlagt deres rettigheder til systemet. Det er bare ikke ensbetydende med, at der er en sikkerhedsrisiko. En medarbejder, som har skiftet til et job uden for regionen vil ikke i praksis kunne tilgå GS!ÅBEN/OPUS, da dette alene kan gøres "indefra". Dvs. via en PC på én af regionens lokationer samt med et bruger-id til regionens netværk, som deaktiveres, når man ophører med at være ansat i regionen," forklarer Pia Kopke.

Hun understreger, at ingen tidligere medarbejdere således har haft uberettiget adgang, da alle adgange oprettes på baggrund af henvendelser fra hospitalerne. Men hun erkender, at de procedurer, regionen har haft, ikke har været tilstrækkelige og ikke overholdt regionens politik på området: Den siger, at der skal tildeles rettigheder, når en person startet, og at de skal nedlægges igen, når vedkommende forlader os.

Opdateret 10. marts 2016

Redaktør