Et stort databrud i Region Midtjylland har fået regionen til at sende beskeder ud til omkring 100.000 borgere via Digital Post om brud på deres datasikkerhed fra enten Region Midtjylland eller Region Hovedstaden..
En sikkerhedsbrist i en digital samarbejdsplatform har betydet, at ansatte i regionen utilsigtet har kunnet tilgå følsomme oplysninger. I alt har 335 medarbejdere tilgået data, uden at regionen umiddelbart kan forklare formålet. Selvom der ikke er tegn på misbrug, understreger Region Midtjylland alvoren i sagen.
“Det er afgørende for os, at borgerne kan være trygge ved den måde, vi behandler deres data på. Derfor tager vi sagen meget alvorligt,” siger koncerndirektør i Region Midtjylland, Poul Michaelsen, i en pressemeddelelse.
Haft svært at ved at skaffe overblikket
Fejlen opstod, når nye mapper blev oprettet i systemet. Standardindstillingen gav flere ansatte adgang til oplysninger, der ikke var relevante for deres arbejde. Regionens it-afdeling rettede hurtigt fejlen og anmeldte bruddet til Datatilsynet i november 2024.
Men hvorfor skulle der gå så lang tid – tre måneder – inden vi hørte om sagen?
“Der er ikke gået en dag mere, end vi har haft brug for. Det handler om, at de her åbne områder, hvor der ligger forskningsprojekter, har været ganske omfattende for os, når vi har skulle identificerer, dels hvor er der data der har stået åbne, og dernæst, hvilke borgere har det berørt,” siger Poul Michaelsen, til TV2 Midtvest.
Konkret er der tale om, at regionen har 1800 forskellige forskningsprojekter, men der har kun været udfordringer på de 25, alligevel har det været svært at finde ud af præcist, hvilke borgere der skulle have orienteringen.
Samlet er der tale om 260.000 borgere, hvis data har været i spil, men for størstedelen er der tale om data, hvor borgerne ikke umiddelbart kan identificeres, skriver regionen.
Omkring 60.000 berørte borgere i Region Midtjylland er blevet kontaktet direkte, mens Region Hovedstaden har orienteret cirka 40.000 personer, da de var dataansvarlige for en del af oplysningerne. For mange af de berørte er data anonymiserede, men for nogle har der været tale om oplysninger, der kunne identificere individer.
Databrud gav Region Syddanmark millionbøde
Denne sag vækker minder om et andet databrud i Region Syddanmark, der dog endte med en retssag og en millionbøde. Her blev regionen i december 2023 idømt to bøder á 500.000 kroner af Retten i Kolding for sikkerhedsbrud, der havde gjort patientdata tilgængelige via offentlige systemer.
Læs også: Et spørgsmål om rimelighed får region til at anke dom
Den gang argumenterede Region Syddanmark for, at bøden var urimelig, da lignende sager tidligere kun havde medført kritik fra Datatilsynet. Sagen er siden anket til landsretten med henvisning til, at der manglede en rød tråd i afgørelserne om datasikkerhed.
En væsentlig forskel mellem de to sager er, at Region Syddanmarks brud involverede data, som kunne findes af offentligheden på nettet, mens Region Midtjyllands brud primært involverer interne ansatte med tavshedspligt.
Dog rejser sagen i Midtjylland et principielt spørgsmål: Skal regionen kunne slippe med en beklagelse og en rettelse af fejlen?
Uanset hvad understreger de to tilfælde behovet for øget datasikkerhed i de danske regioner.
