Gå til indhold
Forsiden | Kontakt | Ledige job | For ansatte | Presse og nyheder | Web-TV | tysk flag engelsk flag |

Region SyddanmarkTil forsiden


ForsidepilPresse og nyhederpilPressemeddelelserpilMarts 2020pilDatabrud i undervisningsmateriale

Databrud i undervisningsmateriale

Odense Universitetshospital har anmeldt brud på persondatasikkerheden til Datatilsynet.
 
Odense Universitetshospital (OUH) har på en del af Region Syddanmarks hjemmeside, der har været anvendt til undervisningsformål, fundet en PowerPoint-præsentation fra 2011 med CPR-numre på 3903 borgere.  Størstedelen af CPR-numrene lå som bagvedliggende data til en graf og har altså ikke været direkte synlige i præsentationen. 22 CPR-numre optræder dog i en indlejret tabel i selve præsentationen.
 
PowerPoint-præsentationen indeholdt desuden 12 tilfælde af patient-id og operationstype på borgere – dog uden navn og CPR-nummer. Både den del af hjemmesiden og den pågældende PowerPoint-præsentation er fjernet.
 
Region Syddanmarks undersøgelser viser, at præsentationen har været åbnet i alt 15 gange i perioden 2011 til den blev fjernet 6. februar 2020. De følsomme oplysninger har været tilgængelige på en af de sidste sider i præsentationen, der er på 52 sider, og langt de fleste CPR-numre har ligget som bagvedliggende data. Den pågældende data var fra Dansk Lunge Cancer Registers database.
 
Af de 3903 udsatte borgere er 672 stadig er i live. Af disse bor 668 fortsat i Danmark, og de er blevet underrettet om situationen via brev fra OUH, hvor de også er blevet oplyst om deres muligheder for at klage.
 
Administrerende sygehusdirektør på OUH, Niels Nørgaard Pedersen, siger:
 
- Vi sørgede for at der blev lukket for adgangen til filen, så snart vi blev gjort opmærksomme på det. Heldigvis er der kun 15 personer, der har åbnet præsentationen, og materialet har indgået i et fagligt undervisningsmateriale, der er rettet mod fagfolk, som er vant til at håndtere personoplysninger. Når det er sagt, er der selvfølgelig stadig tale om et brud på persondatasikkerheden, og derfor har vi anmeldt det til Datatilsynet. Jeg vil samtidig gerne undskylde til de patienter, der er berørt af dette.
 
Allerede i 2016 etablerede Region Syddanmark en ny sikkerhedsproces, der skal forhindre, at medarbejdere lægger CPR-numre på regionens hjemmesider. Denne proces bør fange CPR-numre, der er synlige på hjemmesider eller i dokumenter. Det undersøges i øjeblikket, hvorfor processen ikke har fanget de synlige CPR-numre i præsentationen, ligesom det undersøges, om sikkerhedsprocessen kan justeres til at finde bagvedliggende ”usynlige” data.
 
Region Syddanmark udfører løbende kontrol og opfølgning på nye hjemmesider.
 
Yderligere oplysninger:
Administrerende sygehusdirektør Niels Nørgaard Pedersen, OUH, tlf. 20 28 20 71



Siden er sidst opdateret 27-03-2020.
Kontakt Region Syddanmark

Region Syddanmark | Tlf: 76 63 10 00 | CVR nr. 29190909 | Skriv til Regionen | Om hjemmesiden | Sitemap |