Danmark

I 2018 var der 25 brud på persondatasikkerheden i Region Syddanmark: - Det er selvfølgelig ikke godt nok

Region Syddanmarks personale efterspørger uddannelse i de databeskyttelsesretlige krav ifølge databeskyttelsesrådgiveren. Arkivfoto: Morten Pape
I en ny årsrapport fremgår det, at Region Syddanmark havde 25 brud på persondatasikkerheden i 2018. Personfølsomme oplysninger er blandt andet blevet sendt til den forkerte. Det er ikke godt nok, erkender den konstituerede afdelingschef i Styring og Informationssikkerhed.

En ny årsrapport - den første af sin slags - fra Region Syddanmarks databeskyttelsesrådgiver er blevet offentliggjort og viser, at der sidste år har været 25 brud på persondatasikkerheden i regionen.

Det er ikke godt nok, erkender Nicolai Arvedsen, der er konstitueret afdelingschef i Styring og Informationssikkerhed under Regional IT i Region Syddanmark.

- Næ. Det er selvfølgelig ikke godt nok. Jeg kan ikke forsvare det, men det er en god ting, at vi er opmærksomme på det. Jeg ville være langt mere bekymret for, at der ville gemme sig et mørketal, hvis der kun var registreret et eller to brud, siger han.

Størstedelen af bruddene skyldes menneskelige fejl. I 16 tilfælde er der sket en utilsigtet videregivelse af personoplysninger. Det betyder, at oplysningerne er havnet i hænderne hos nogle, der ikke var tiltænkt dem. 10 gange er bruddene sket fra regionens mailsystem, Outlook. Det er typisk, fordi medarbejdere kommer til at sende en mail til en forkert modtager. Det fremgår af årsrapporten.

Derfor anbefaler regionens databeskyttelsesrådgiver også, at der bliver sat ind med uddannelse i reglerne for behandling af personoplysninger.

- Menneskelige fejl kan aldrig helt undgås, men undervisning af vores medarbejdere vil have høj prioritet i 2019, hvor vi vil udarbejde mere nformationsmateriale, som skaber viden og opmærksomhed omkring de situationer – eksempelvis når man sender mails – hvor man skal passe ekstra godt på personoplysningerne, udtaler Mia Bekker Leimand i en pressemeddelelse.

Årsrapport skal behandles af regionsrådet

Der mangler stadig at blive fundet en årsag til ét af de 25 brud.

Det er et nyt krav, at offentlige myndigheder skal udpege en databeskyttelsesrådgiver (DPO2). 1. marts 2018 tiltrådte databeskyttelsesrådgiveren i Region Syddanmark.

Brud er, når håndteringen af personfølsomme oplysninger ikke har været korrekt i forhold til persondataforordningen (GDPR).

Region Syddanmarks regionsråd behandler databeskyttelsens årsrapport på deres møde 29. april.

Der er - ifølge årsrapporten - omkring 24.000 medarbejdere i Region Syddanmark.

Kilde: Region Syddanmark

Flere tiltag er på vej

En anbefaling, der vil blive ført ud i livet, beretter den konstituerede afdelingschef.

- Folk gør ikke det her med vilje. Det er ikke intentionen eller meningen, når der sker brud. Vi forsøger at lave "awareness-tiltag" (tiltag, der skal skærpe opmærksomheden, red.). De ansatte vil blandt andet få undervisning i den rent praktiske håndtering af personoplysninger og det tekniske ved det, siger Nicolai Arvedsen.

Det er ikke det eneste, der kommer til at ske på baggrund af årsrapporten. Én gang har regionen nemlig fået kritik fra Datatilsynet for et system, der ikke har levet op til det påkrævede sikkerhedsniveau. Helt konkret betyder det, at personoplysninger om et stort antal patienter har kunnet tilgås af alle regionens ansatte i regionen. Oplysninger, der med den rette viden kan drages helbredsoplysninger af.

Ifølge årsrapporten har der været otte af sådanne tilfælde i 2018. Derfor vil regionen også se på adgangskontrollen med regionens it-systemer. Det skal sikre, at regionens medarbejdere kun har adgang til de personoplysninger, de skal bruges i deres arbejde. Det fortæller Nicolai Arvedsen.

- Vi er helt enige i kritikken fra Datatilsynet og har sikret, at de oplysninger, det drejer sig om, er beskyttet af et password. Vi er ved at se vores systemer igennem for at sikre, at der er en optimal beskyttelse af personfølsomme oplysninger, siger han.

Venter flere brud i 2019

Årsrapporten kommer efter, at Databeskyttelsesordningen er trådt i kraft 25. maj 2018 og forpligter regionerne til at anmelde brud til Datatilsynet. Og ifølge Nicolai Arvedsen er bruddene et udtryk for øget opmærksomhed i den forbindelse. En opmærksomhed, han forventer, vil føre til et højere antal brud i 2019.

- De 25 brud er opgjort fra 25. maj 2018 og frem, så derfor forventer jeg også, at der vil være flere i 2019. Vi kommer til at se på, hvad vi kan gøre for at reducere de fejl. Men vi vil stadig komme til at lave fejl, siger han.

På trods af det øgede fokus på brud på persondatasikkerheden, har Avisen Danmark de seneste dage kunne beskrive, at man i regionen ikke har et samlet overblik over hverken uberettigede eller mistænkelige opslag i sundhedsjournalen eller patientjournalen. Det vil sige, at personale uberettiget kan slå op i oplysningerne, uden at det bliver registreret som brud. En problemstilling, der ikke er belyst i årsrapporten, og hvor der heller ikke vil komme ændringer, ifølge Nicolai Arvedsen.

- Vi har en ret indgående logning af, hvad medarbejdere foretager sig. Men vi har grundlæggende tillid til medarbejderne, siger han.

0/0
Danmark For abonnenter

Test dig selv: Hvor meget ved du om Game of Thrones?

Danmark

Funding: Fløjkampen i Venstre ulmer igen, og det er meget farligt

Danmark

Se billederne: Greven af Egeskov hemmeligt gift med prinsesse

Danmark

Karsten Hønge: Folketinget er stadig førsteprioritet

Kultur For abonnenter

Anne, Sanne og Lis triumferede: Fortræffelig fredagsfest med toptunet trekløver

Danmark For abonnenter

Gangbang-Putte om dommen: Jeg havde håbet på noget mere

Danmark

Løkkegaard vil veje alt på en klimavægt

Erhverv

Erhvervsredaktøren: Loft over topchefernes løn er en død sild

Danmark

Paludan sendte brev til 500: Alle i chikaneoffers omgangskreds skulle kende hans version