Datatilsynet udtaler alvorlig kritik af Region Sjælland for bred adgang til patientlister på hospitalsafdelinger og persondata i regionen uden tilstrækkelig sikkerhedsforanstaltninger, skriver tilsynet i en pressemeddelelse.
Kritikken er rettet mod, at regionen har givet alle autoriserede brugere adgang til patientlister med personoplysninger på samtlige af regionens hospitalsafdelinger. Ifølge tilsynet er over 16.000 brugere autoriseret til at tilgå alle hospitalernes patientlister.
Datatilsynet modtog en henvendelse om, at medarbejdere hos regionen via forsiden på Sundhedsplatformen har adgang til alle patientlister på tværs af alle regionens hospitaler. På den baggrund indledte tilsynet en sag af egen drift, hvilket er baggrunden for den udtalte kritik. Derudover mener tilsynet, af regionens logningspraksis ikke har kunnet skabe en sammenhæng mellem konkrete opslag og personoplysninger, som er blevet tilgået gennem patientlisten. Det vil sige, at man kan ikke se, hvem der har tilgået hvilken patients oplysninger.
»Regionen kunne derfor ikke dokumentere og følge op på et eventuelt misbrug af den omfattende brugeradgang til persondata«, skriver tilsynet.
Patientlisterne indeholder blandt andet navn, cpr-nummer og indlæggelsessteder. Derudover kan de indeholde diagnoser og andre oplysninger.
»Det er et udtryk for et generelt problem. Det er af mere universel karakter«, siger Allan Frank, it-sikkerhedsspecialist hos Datatilsynet.
I forbindelse med Datatilsynets sag har Styrelsen for Patientsikkerhed udtalt, at der ikke foreligger »vægtige grunde« for den meget brede adgang til patientlisterne. Datatilsynet skriver i sin afgørelse, at uretmæssig adgang til personoplysninger er et »trusselsscenarie«, at de scenarier forekommer, og de fører til brud på persondatasikkerheden. Tilsynet forventer, at regionen foretager en revision af strukturen generelt med adgangsrettigheder.
Ritzau
fortsæt med at læse
