Region Syddanmark advarer om databrud: 1700 skolebørns cpr-numre kan være lækket

Region Syddanmark skriver i en pressemeddelelse fredag eftermiddag, at der er konstateret brud på datasikkerheden i tre af regionens it-systemer.

Alle tre sikkerhedsbrud er blevet håndteret, og regionen har efter reglerne anmeldt bruddene til Datatilsynet og underretter med pressemeddelelsen borgerne i regionen.

Region Syddanmark advarer om, at medarbejdere og borgere, der har været i kontakt med Region Syddanmark kan være i risiko for, at at andre medarbejdere i Region Syddanmark end dem, der skulle håndtere kontakten, har haft adgang og kendskab til deres oplysninger.

Disse oplysninger kan i værste scenarie have været eksporteret og brugt til bl.a identitetstyveri, skriver regionen.

To af af de berørte netværksdrev, der bruges henholdsvis på Odense Universitetshospital og til et særligt forskningsprojekt, har haft adgang på sygehusniveau. På Universitetshospitalets drev lå der 5.802 filer med navne og helbredsoplysninger på patienter, og i forskningsprojektets drev lå cpr-numre og navne på cirka 1.700 skolebørn.

Bruddet på patientdrevet blev opdaget 17. november og lukket to dage senere, mens forskningsprojektets drev blev opdaget 3. november og lukket samme dag.

Regionen understreger dog i pressemeddelelsen, at en uvedkommende har skullet gætte det rigtige servernavn, det rigtige netværksnavn og sammensætte den rigtige netværksadresse for at få adgang til mapperne med personfølsomme data.

»Det har altså været meget besværligt at søge direkte på bestemte navne eller på bestemte CPR-numre for at finde oplysninger om patienter,« skriver regionen, men da der ikke har været logning på de berørte netværksdrev, har regionen ikke været i stand til at kontrollere, om nogen ansatte har tilgået personoplysninger uberettiget.

Det tredje sikkerhedsbrud angår interne fællesdrev, som er Region Syddanmarks fælles dokumentopbevaringsplatform, der har gjort det muligt for alle regionens medarbejdere at skaffe sig adgang til personoplysninger, de ikke burde have adgang til. Dette brud blev opdaget den 30. december, og oplysningerne er blevet slettet.

Hvis man som borger i Region Syddanmark »eksempelvis modtager bekræftelser på køb, man ikke selv har foretaget, eller bliver kontaktet af mennesker, der siger, de har personlige oplysninger om en, skal man kontakte de rette myndigheder og anmelde det,« lyder rådet fra regionen i pressemeddelelsen.

Regionen igangsatte i foråret 2020 en omfattende og grundig intern undersøgelse af risikoen for sikkerhedsbrud vedrørende mulige åbne netværksdrev, som er virtuelle drev, hvor medarbejdere kan dele filer og dokumenter.

Denne interne undersøgelse kører fortsat, og har indtil videre ført til fem underretninger om brud på persondatasikkerheden i Region Syddanmark de seneste to år.

Ifølge mediet Version2 har Datatilsynet i forvejen indstillet Region Syddanmark, som den eneste dataansvarlige i Danmark, til to GDPR-bøder på hver 500.000 kroner.

Hvis man som patient i Region Syddanmark har spørgsmål, kan man kontakte Region Syddanmarks databeskyttelsesrådgiver på databeskyttelsesraadgiver@rsyd.dk eller telefonnummer 24 75 62 90.