Med få måneders mellemrum politianmeldte Datatilsynet Region Syddanmark i to forskellige sager om databrud tilbage i 2021. Det fremgår af Datatilsynets hjemmeside.
Nu er Region Syddanmark endt på anklagebænken og sagen behandles i denne uge ved retten i Kolding.
Datatilsynet har rullet det hårde skyts frem med krav om de største bøder nogensinde mod en offentlig virksomhed. Samlet set en million kroner (En halv for hver sag). oplyser Datatilsynet.
Den ene sag drejer sig om databrud i forhold til en database til forskningsmæssige og kliniske formål, hvor 30.000 borgeres personlige helbredsdata blev eksponeret ifølge Datatilsynet. (bl.a. udsatte børn)
Den anden sag handler om undervisningsmateriale i form af en PowerPoint-præsentation fra 2011 med CPR-numre på 3903 borgere, ifølge Region Syddanmark.
I begge tilfælde kunne borgere opnå uautoriseret adgang. Det skal her bemærkes, at Datatilsynet ved et konkret tilsyn i 2022 ikke havde væsentlig kritik ift tre udvalgte forskningsprojekter.
Burde have opdaget lækagemulighed
Datatilsynet har tidligere udtalt, at man med en relativt basal it-viden kunne trænge ind via regionens hjemmeside.
“Hertil kommer at det er en velkendt sårbarhed, som man burde havde taget højde for under udviklingen af løsningen, og som man i hvert fald burde have opdaget i forbindelse med test,” skrev Datatilsynet i en pressemeddelelse, da man politianmeldte regionen.
I forbindelse at power-pointsagen blev undersøgt af Datatilsynet kom det frem, at Region Syddanmark, siden 2013 havde anvendt et screeningsværktøj til at scanne dokumenter på regionens hjemmeside for evt. utilsigtede personnumre, men screeningsværktøjet scannede ikke for andre typer af oplysninger, herunder f.eks. helbredsoplysninger, samt bagvedliggende dokumenter.
Region Syddanmark opdagede først, da Odense Universitetshospital blev kontaktet af en borger om PowerPoint-præsentationen i februar 2020, at screeningsværktøjet ikke var i stand til at finde personnumre i f.eks. diagrammers bagvedliggende data i PowerPoint-præsentationer.
Burde vide bedre
At Datatilsynet har politianmeldt de to sager handler om, at der er tale om grove eksempler og gentagelser.
“Vi går ikke til en politianmeldelse, medmindre vi mener, det er noget særdeles dadelværdigt,” siger Allan Frank, it-sikkerhedsspecialist og jurist i Datatilsynet til ritzau.
Der er flere elementer som er baggrunden for, at man politianmelder regionen. Det handler bl.a. om:
- at personhenførbare helbredsoplysninger var tilgængelige
- at regionen tidligere har anmeldt et lignende brud på persondatasikkerheden til Datatilsynet, som gav anledning til alvorlig kritik fra tilsynet..
- at regionen som offentlig myndighed og professionel part på det her område burde vide bedre.