Tilsyn: Region Sjælland får alvorlig kritik for adgang til persondata

Datatilsynet udtaler alvorlig kritik af Region Sjællands manglende sikkerhed ved adgang til persondata.

Det skriver tilsynet i en pressemeddelelse.

Kritikken er rettet mod, at regionen har givet alle autoriserede brugere adgang til patientlister med personoplysninger på samtlige af regionens hospitalsafdelinger.

Ifølge tilsynet er over 16.000 brugere i marts 2022 var autoriseret til at tilgå alle hospitalernes patientlister.

Datatilsynet modtog en henvendelse om, at medarbejdere hos regionen via forsiden på Sundhedsplatformen har adgang til alle patientlister på tværs af alle regionens hospitaler.

På den baggrund indledte tilsynet en sag af egen drift, hvilket er baggrunden for den udtalte kritik.

Derudover mener tilsynet, af regionens logningspraksis ikke har kunnet skabe en sammenhæng mellem konkrete opslag og personoplysninger, som er blevet tilgået gennem patientlisten.

Det vil sige, at man ikke kan se, hvem der har tilgået hvilken patients oplysninger.

- Regionen kunne derfor ikke dokumentere og følge op på et eventuelt misbrug af den omfattende brugeradgang til persondata, skriver tilsynet.

Patientlisterne indeholder blandt andet navn, cpr-nummer og indlæggelsessteder. Derudover kan de indeholde diagnoser og andre oplysninger.

- Det er et udtryk for et generelt problem. Det er af mere universel karakter, siger Allan Frank, it-sikkerhedsspecialist hos Datatilsynet.

I forbindelse med Datatilsynets sag har Styrelsen for Patientsikkerhed udtalt, at der ikke foreligger "vægtige grunde" for den meget brede adgang til patientlisterne.

Datatilsynet skriver i sin afgørelse, at uretmæssig adgang til personoplysninger er et "trusselsscenarie", at de scenarier forekommer, og de fører til brud på persondatasikkerheden.

Tilsynet forventer, at regionen foretager en revision af strukturen generelt med adgangsrettigheder.

Fra koncerndirektør i Region Sjælland Jesper Gyllenborg lyder det, at kritikken er modtaget - og at den vil udløse ændringer i systemerne omkring patientdata.

- Vi tager kritikken til efterretning. Det er jo rigtig ærgerligt, når man får alvorlig kritik, siger han.

Ifølge koncerndirektøren har regionen i omkring halvandet år allerede været i dialog med tilsynet omkring de patientlister, der på sygehusene fungerer som overblikslister over, hvilke patienter, der er indlagt på hvilke sygehuse i regionen.

Det har hjulpet i behandlingen af patienter, fordi forskellige sygehuse har forskellige specialer, samtidig med at flere patienter fejler flere ting, forklarer han.

Listerne har derfor været tilgængelige på tværs af sygehusene, men som følge af kritikken, vil adgangen til dem nu blive indskrænket.

- Vi har hidtil ment, at vi har ramt en god balance mellem hensynet til data og hensynet til patientsikkerheden. Det har Datatilsynet så sagt, at det har vi ikke. Derfor lukket vi adgangen til listerne på tværs.

Jesper Gyllenborg vurderer selv, at dette tiltag vil være tilstrækkeligt for at møde Datatilsynets alvorlige kritik.

- Processen herfra bliver dels IT-mæssige ændringer, og så kommer der selvfølgelig en dialog med sundhedspersonalet, siger han.

Han kan ikke sige, præcis hvornår Region Sjællands system vil stå færdigtilpasset til kritikken, men forventer, at det bliver inden for de kommende måneder.

/ritzau/