Medarbejdere havde adgang til CPR-numre

Region Syddanmark har konstateret brud på persondatasikkerheden i tre af regionens it-systemer. 

Regionen har efter reglerne anmeldt bruddene til Datatilsynet.

Det oplyser regionen i en pressemeddelelse. 

Region Syddanmark satte i foråret 2020 gang i en omfattende og grundig intern undersøgelse af risikoen for sikkerhedsbrud vedrørende mulige åbne netværksdrev, som er virtuelle drev, hvor medarbejdere kan dele filer og dokumenter. 

"Den interne undersøgelse blev igangsat af regionen på eget initiativ på baggrund af egne erfaringer om tidligere lignende sikkerhedsbrud og Datatilsynets afgørelse vedrørende en anden offentlig myndigheds åbne netværksdrev", oplyser regionen. 

Endnu tre brud

Den interne undersøgelse kører fortsat, og den har resulteret i, at der er identificeret yderligere tre brud på persondatasikkerheden. 

"Alle tre sikkerhedsbrud er blevet håndteret, og der vil fremadrettet være fokus på, at lignende situationer ikke gentager sig", skriver Region Syddanmark. 

Det konkrete brud på persondatasikkerheden i to af de tre pågældende netværksdrev har det til fælles, at der har været adgang på sygehusniveau, men ikke adgang for medarbejdere i hele regionen.

Begge netværksdrev er blevet lukket igen.

Umuligt at kontrollere misbrug

Det har ifølge Region Syddanmark været meget besværligt at søge direkte på bestemte navne eller på bestemte CPR-numre for at finde oplysninger om patienter. 

Der var imidlertid ingen logning på de pågældende netværksdrev, hvorfra data kunne tilgås.

Derfor har det ikke været muligt at kontrollere, om nogen ansatte har tilgået personoplysninger uberettiget.

Læs uddybende informationer om bruddet HER.