Tre ud af fem regioner har i flere tilfælde lagt manualer til it-systemer på nettet, der indeholder fortrolige og personfølsomme oplysninger om deres ansatte og patienter.
Gennem søgninger på Google har Fagbladet FOA fundet frem til fem dokumenter med cpr-numre, navne og tilhørende sygdomsoplysninger på over 50 forskellige patienter. Flere af patienterne er efterfølgende døde, viser research, som Fagbladet FOA har lavet i forbindelse med verificeringen af patientoplysningerne.
“Det er i strid med persondataloven og sikkerhedsbekendtgørelsen. Præcist hvad myndighederne har gjort, for at informationerne er kommet ud, er ikke til at sige. Men at de ikke har gjort det godt nok, det er helt oplagt,” siger han.
Brist opstår i Word
Problemet med de usikre manualer opstår, fordi myndighederne bruger Word til at indsætte skærmbilleder, der indeholder fortrolige sundhedsoplysninger på deres patienter. I de fleste tilfælde er billederne redigeret, så de fortrolige oplysninger ikke kan ses.
“Du skal gøre noget aktivt for at få adgang til det, men ikke desto mindre er det et brud på datasikkerheden. Hvis der sidder nogen med onde hensigter, som ved, at det her er et issue, så er det slemt nok, for det kan jo tilgås, hvis man gør det på den rigtige måde,” siger Jesper Husmer Vang, kontorchef hos Datatilsynet.
Dokumentdatabaser
Fire ud af fem dokumenter, som Fagbladet FOA har fundet, har været gemt i Region Nordjyllands og Region Syddanmarks database med dokumenter til personalet.
Det femte dokument, der indeholder navne, cpr-numre og sygdomsinformation om 33 patienter, er oprettet af personale i Region Hovedstaden og sendt til det private it-firma MedCom, som har lagt det på nettet.
“Hvis vi kan se, at en myndighed har flere af denne typer dokumenter liggende, så plejer vi normalt at bede dem om at gennemgå deres hjemmeside og sikre, at der ikke ligger mere derude. Så de skal simpelthen gennemgå deres side med en tættekam, vil vi normalt sige til dem,” siger Jesper Husmer Vang
Regioner: Godt det blev opdaget
Hos de tre dataansvarlige regioner og it-firmaet MedCom beklager man fejlen.
“Vi lægger os fladt ned. Det her må ikke forekomme, men desværre er der tale om nogle menneskelige fejl, som vi skal vi lære af. Jeg vil gerne sige tak for jeres henvendelse. Det er vigtigt, at der her kommer til vores kendskab,” siger Mads Haugaard, afdelingschef i Region Syddanmark.
Region Nordjylland har nu slettet vejledningen med patientdata og er i gang med at kontakte de 19 berørte patienter i vejledningen.
“Regionen har desuden allerede i dag foranstaltninger der skal opdage, hvis der – mod forventning - er sket offentliggørelse af personoplysninger,” skriver Karin Bruhn Termannsen, kontorchef i Intern administration og service, Region Nordjylland.
Læs også: Skjult overvågning på jobbet: Her er reglerne
MedCom - det private it-firma - gør i en mail opmærksom på, at de ‘tager it-sikkerhed meget alvorlig’ og takker for at blive gjort opmærksom på fejlen. I en mail skriver Region Hovedstaden, at den sætter ‘stor pris på at være blevet gjort opmærksomme på denne hændelse’.
“Region Hovedstaden arbejder løbende med at øge vores medarbejderes viden om og opmærksomhed på at håndtere personfølsomme oplysninger fortroligt,” skriver enhedschef Cecilie Spence Bager i en opfølgende mail.