SJÆLLAND: Datatilsynet udtaler alvorlig kritik af Region Sjælland for bred adgang til patientlister på hospitalsafdelinger og persondata i regionen uden tilstrækkelig sikkerhedsforanstaltninger. Det skriver tilsynet i en pressemeddelelse.
Kritikken er rettet mod, at regionen har givet alle autoriserede brugere adgang til patientlister med personoplysninger på samtlige af regionens hospitalsafdelinger. Ifølge tilsynet var over 16.000 brugere i marts 2022 autoriseret til at tilgå alle hospitalernes patientlister.
Derudover mener tilsynet, af regionens logningspraksis ikke har kunnet skabe en sammenhæng mellem konkrete opslag og personoplysninger, som er blevet tilgået gennem patientlisten. Det vil sige, at man kan ikke se, hvem der har tilgået hvilken patients oplysninger.
- Regionen kunne derfor ikke dokumentere og følge op på et eventuelt misbrug af den omfattende brugeradgang til persondata, skriver tilsynet.
Trussel
Patientlisterne indeholder blandt andet navn, cpr-nummer og indlæggelsessteder. Derudover kan de indeholde diagnoser og andre oplysninger.
- Det er et udtryk for et generelt problem. Det er af mere universel karakter, siger Allan Frank, it-sikkerhedsspecialist hos Datatilsynet.
I forbindelse med Datatilsynets sag har Styrelsen for Patientsikkerhed udtalt, at der ikke foreligger "vægtige grunde" for den meget brede adgang til patientlisterne.
Datatilsynet skriver i sin afgørelse, at uretmæssig adgang til personoplysninger er et "trusselsscenarie", at de scenarier forekommer, og de fører til brud på persondatasikkerheden. Tilsynet forventer, at regionen foretager en revision af strukturen generelt med adgangsrettigheder.
/ritzau/
Tekst, grafik, billeder, lyd og andet indhold på dette website er beskyttet efter lov om ophavsret. DK Medier forbeholder sig alle rettigheder til indholdet, herunder retten til at udnytte indholdet med henblik på tekst- og datamining, jf. ophavsretslovens § 11 b og DSM-direktivets artikel 4.
Kunder med IP-aftale/Storkundeaftaler må kun dele DK Sundheds artikler internt til brug for behandling af konkrete sager. Ved deling af konkrete sager forstås journalisering, arkivering eller lignende.
Kunder med personligt abonnement/login må ikke dele DK Sundheds artikler med personer, der ikke selv har et personligt abonnement på DK Sundhed.
Afvigelse af ovenstående kræver skriftlig tilsagn fra det pågældende medie.
