Underretning om brud på datasikkerheden i Region Hovedstaden

Underretning til borgerne i Region Hovedstaden om brud på persondatasikkerheden. Bruddet vedrører risiko for uautoriseret adgang til personoplysninger i fem filmapper på regionens interne netværk. Bruddet er anmeldt til Datatilsynet.
Bruddet på persondatasikkerheden blev fundet i forbindelse med en intern undersøgelse. Undersøgelsen blev igangsat i juli 2020 som opfølgning på hændelser i andre regioner.

Undersøgelsen har vist, at der på Region Hovedstadens interne netværksdrev har været 5 filmapper uden tilstrækkelig adgangsbegrænsning. Filmapperne har indeholdt personoplysninger i form af helbredsoplysninger. Alle filmapper er nu blevet lukket.  

Det har krævet meget præcis og specifik viden om filmappernes placering at få adgang, men på grund af den utilstrækkelige adgangsbegrænsning har indholdet af mapperne reelt været tilgængeligt for alle medarbejdere med et gyldigt regionh-login.

Regionen har ingen indikationer på at adgangen til filmapperne har været udnyttet, men det kan ikke udelukkes. Filmapperne har intet tidspunkt har været tilgængelig for personer udenfor regionen.    

Der har alene været adgang til oplysninger i filmapperne, og dermed ikke generel adgang til data i de tilhørende it-systemer. Det har dermed ikke været muligt bredt at søge på et specifikt navn eller cpr-nr. for på denne måde at finde helbredsoplysninger om en konkret borger.

Anmeldelse til Datatilsynet og underretning af borgerne

Den 30. september blev der på baggrund af den gennemførte undersøgelse identificeret fem filmapper, som indeholdt helbredsoplysninger om patienter. 

Adgangen til filmapperne blev begrænset med det samme, og bruddet blev herefter anmeldt til Datatilsynet indenfor den lovsatte tidsfrist, d. 3. oktober 2020. 

Der har efterfølgende været igangsat en række supplerende undersøgelser af filmapper og data. På denne baggrund kan Region Hovedstaden konkludere, at det ikke er muligt at afklare det præcise antal af borgere, der er berørt af bruddet, eller det specifikke antal af personoplysninger, der indgår i bruddet. 

En sådan afklaring vil kræve en manuel gennemgang af hver enkelt datafil og således medføre en uforholdsmæssigt stor indsats.  

Denne offentlige underretning foretages således efter et forsigtighedsprincip, hvor der sker underretning til alle borgere, som potentielt kan være omfattet af bruddet. 

I FAKTABOKSEN findes en oversigt over de it-systemer, som de konkrete filmapper har været tilknyttet og hermed nærmere oplysning om, hvilke registrerede, der potentielt kan være omfattet af bruddet. 

Lav sandsynlighed men ikke udelukket

Vicedirektør Carsten Nørgaard i Region Hovedstadens Center for IT, Medico og Telefoni udtaler:

”Vi har meget høje krav til vores it-sikkerhed og datahåndtering. Vores borgere skal være sikre på, at det kun er medarbejdere med behandlerrelation, der har tilgået deres personoplysninger. Derfor ser vi med stor alvor på, at der har været en brist i denne håndtering, som kan have betydning for den enkelte patient.”

Carsten Nørgaard vurderer dog, at der er en lav sandsynlighed for, at uvedkommende har set personoplysningerne i de åbne filmapper, fordi det kræver præcis og specifik viden om filmappernes placering for at få adgang. 

Man kan med andre ord ikke ’falde over’ filmapperne ved et tilfælde. Man skal aktivt lede efter dem og have indgående kendskab til placeringen og filmappernes særlige navne for at finde frem til mapperne og deres indhold. 

Det understreges, at filmapper og data på intet tidspunkt har været tilgængelig for personer udenfor regionen.

”Men selv om sandsynligheden er lav, så kan det ikke udelukkes, at en medarbejder ulovligt kan have udnyttet adgangen til filerne. Tilgangen til filerne i mapperne bliver – modsat selve it-systemerne - ikke logget, så vi kan ikke konstatere, om en medarbejder har kigget i dem. Men omvendt vi kan derfor desværre heller ikke udelukke det.”, siger Carsten Nørgaard. 

Personoplysninger i filmapperne

De åbne filmapper lå på regionens netdrev og indeholdt eksempelvis: 
  • Røntgenbilleder 
  • Journaloplysninger 
  • Hjertemålingsresultater 
Der har alene været adgang til oplysningerne i filmapperne, og dermed ikke generel adgang til data i de tilhørende it-systemer. Det har dermed ikke været muligt bredt at søge på et specifikt navn eller cpr-nr. for på denne måde at finde helbredsoplysninger om en konkret borger. 

Filmapperne har tilknytning til specifikke it-systemer, som bruges eller tidligere har været brugt i regionen. Det er ikke ualmindeligt, at der oprettes filmapper i tilknytning til konkrete it-systemer, men adgangen til filmapperne skal altid begrænses. Det er ved en fejl ikke sket ved disse filmapper. 

De åbne filmapper indeholdt tilsammen ca. 240.000 datafiler. Antallet af datafiler kan ikke anses som et udtryk for antallet af berørte borgere. En stikprøvekontrol af et udsnit af filer viser således, at antallet af borgere er markant lavere end antallet af kontrollerede datafiler.

Mulige konsekvenser for den enkelte borger 

I tilfælde af, at en medarbejder har tilgået og efterfølgende udnyttet personoplysninger i en af filmapperne, kan de mulige konsekvenser for den enkelte borger eksempelvis være identitetstyveri, tab af privatliv og tab af omdømme. 

Selvom sandsynligheden er lav, er der således en risiko for den enkelte borger. Carsten Nørgaard opfordrer derfor alle, som har været patienter jf. de nærmere oplysninger herom nederst, til at være opmærksomme: 

”Vi opfordrer hermed vores borgere til at være opmærksomme på, om de har mistanke om, at deres personoplysninger skulle være misbrugt. For eksempel om de bliver kontaktet af personer, der har elementer af deres helbredsoplysninger. Hvis det sker, skal borgeren kontakte Region Hovedstaden samt politiet med det samme.”  

Alle ansatte i sundhedsvæsenet er underlagt tavshedspligt ved deres ansættelse. I tilfælde af, at en ansat har udnyttet den åbne adgang til filmapperne og overtrådt sin tavshedspligt, kan personen straffes.

Hvis du har spørgsmål

Hvis du er eller har været patient i Region Hovedstaden og har spørgsmål, kan du kontakte Region Hovedstadens Sektion for Informationssikkerhed.

K
ontaktoplysninger på regionens DPO
Du kan også kontakte Region Hovedstadens databeskyttelsesrådgiver, Birgitte Hagelskjær Nielsen.

FAKTA om konkrete it-systemer og perioder

Oversigt over de systemer, som de enkelte åbne filmapper har været tilknyttet: 

HERMES 

I den åbne filmappe, som er tilknyttet systemet Hermes, er der filer indeholdende følsomme personoplysninger. Oplysningerne udgjordes konkret af røntgenbilleder af lunger tilknyttet navn og cpr.nr.

Røntgenbillederne er blevet foretaget på Nuklearmedicinsk Afdeling på Gentofte Hospital. Selve it-systemet, som mappen er tilknyttet, har været brugt i regionen siden 1. april 2015.

Hvis du har fået foretaget røntgenbilleder af dine lunger på Gentofte Hospital fra april 2015 og frem t.o.m. oktober 2020, har dine røntgenbilleder muligvis været iblandt filerne. 

BONEXPERT 

I den åbne filmappe, som er tilknyttet systemet Bonexpert, er der filer, indeholdende følsomme personoplysninger. Oplysningerne udgjordes konkret af røntgenbilleder af håndeknogler på børn tilknyttet navn og cpr.nr. 

Røntgenbillederne er blevet foretaget på røntgenafdelingerne på Herlev Gentofte Hospital, Nordsjællands Hospital, Hvidovre Hospital samt Rigshospitalet. Selve it-systemet, som mappen er tilknyttet, har været brugt i regionen siden november 2013.

Hvis du – eller dit barn - har fået foretaget røntgenbilleder af dine knogler på de oplistede hospitaler fra november 2013 og frem t.o.m. oktober 2020, kan dine røntgenbilleder muligvis have været blandt filerne. Filerne slettes automatisk efter 30 dage, hvorfor de maksimalt har ligget tilgængelige i filmappen i 30 dage. 

MUSE

I den åbne filmappe, som er tilknyttet systemet MUSE, er der filer indeholdende følsomme personoplysninger. Personoplysningerne udgjordes konkret af oplysning om foretagelse af EKG (måling af hjerte) tilkoblet navn, cpr.nr. og i visse tilfælde en konkret diagnose på baggrund af det foretagne EKG. 

Oplysningerne stammer fra EKG foretaget på Region Hovedstadens Elektive Laboratorium, som i dag er nedlukket. 

Hvis du har fået foretaget en EKG på RHEL (Region Hovedstadens Elektive Laboratorium) før d. 30. december 2015, er der risiko for, at dine personoplysninger har ligget i denne mappe. 

PICISDOC

I en åben filmappe, som oprindeligt har været tilknyttet systemet PicisDoc, er der filer indeholdende følsomme personoplysninger. De i filmappens indeholdte personoplysninger har ikke alle en direkte tilknytning til systemet PicisDoc. Ved en gennemgang af mappens indhold er der således fundet filer indeholdende journaloplysninger relateret til andre formål. 

Det er ikke muligt identificere, hvilke specifikke helbredsoplysninger, der er tale om. Derfor kan der ikke ske en yderligere præcisering af de potentielt omfattede borgere. 

ONBASE

Det har været muligt at identificere den enkelte borger, hvis personoplysninger der har ligget i denne filmappe. Der vil derfor ske en selvstændig underretning vedrørende disse personoplysninger.


Redaktør