Region Syddanmark har konstateret et brud på persondatasikkerheden, der teoretisk har gjort det muligt for regionens medarbejdere at skaffe sig adgang til personoplysninger. Bruddet angår it-systemet Acadre, som er Region Syddanmarks centrale administrative sagsbehandlingssystem. Systemet indeholder almindelige, fortrolige og følsomme personoplysninger. Fejlen er udbedret.

Bruddet på persondatasikkerheden bestod i, at det teoretisk var muligt for alle ansatte i regionen at tilgå dokumenter fra Acadre-sager – også uden en Acadre-profil. Netværksdrevet kunne lokaliseres, hvis en medarbejder aktivt ledte efter det på sin PC. Dokumenterne på netværksdrevet var navngivet efter Acadres ID-system, som er en sammensætning af en række af tal og tegn, og dokumenttitlerne indeholdt ikke i sig selv indikation af, hvorvidt der var tale om personoplysninger eller hvis personoplysninger, der var tale om, skriver Region Syddanmark i en pressemeddelelse.

Det var ikke muligt at søge på netværksdrevet; der kunne således ikke søges på hverken et bestemt navn eller på bestemt CPR-nummer. Der var imidlertid ingen logning på det pågældende netværksdrev, hvorfra data kunne tilgås. Derfor har det ikke været muligt at kontrollere, om ansatte har tilgået personoplysninger uberettiget.

I en offentlig administration kan medarbejdere støde på personfølsomme oplysninger. Nogle arbejder med det til dagligt, mens andre kun er i kontakt med den slags oplysninger få gange. Dog er alle medarbejdere underlagt tavshedspligt, så de ikke deler de informationer, som de får i løbet af arbejdsdagen med andre.

Kort tid efter bruddet blev opdaget, blev adgangen til netværksdrevet lukket. Det skete den 7. maj. Der er således ikke længere adgang til Acadre-data via netværksdrevet.

Region Syddanmark behandler personoplysninger, som de registrerede giver til regionen, ligesom regionen behandler personoplysninger, hvor det er nødvendigt til behandling af den registreredes sag. De listede oplysninger går ikke igen i alle sager. Nogle oplysninger forekommer i få sager, mens andre oplysninger – såsom navn og kontaktoplysninger – forekommer i flere. Nogle oplysninger forekommer udelukkende, fordi den pågældende borger selv har valgt at gøre Region Syddanmark bekendt med dem.

Oplysningerne i Acadre-netværksdrevet er bl.a. navne, fødselsdato, kontaktoplysninger, CPR-numre, økonomiske forhold, oplysninger om lokation, oplysninger om strafbare forhold og oplysninger om religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold samt seksuelle forhold eller orientering og helbredsoplysninger på borgere, der har været i kontakt med Region Syddanmark samt oplysninger i personalesager på ansatte i Region Syddanmark.

Mens det er kutyme at opbevare oplysninger såsom navn og kontaktoplysninger, hører det til sjældenhederne, at der er sager, hvor der opbevares oplysninger om eksempelvis seksuel orientering eller religiøs overbevisning.

For borgere og ansatte har der været risiko for, at andre medarbejdere i Region Syddanmark end de, der behandler borgerens/den ansattes sag, har haft adgang og kendskab til deres oplysninger. Med adgang til personoplysninger på den måde, kunne det være muligt at eksportere dem og benytte dem til egne formål, som regionen ikke vil have kontrol over – f.eks. identitetstyveri.

Den generelle agtpågivenhed i forhold til, om ens personlige oplysninger er blevet misbrugt, er også gældende her.

Region Syddanmark har ikke kendskab til, at regionens medarbejdere har benyttet denne adgang.

Den pågældende adgang til netværksdrevet blev lukket umiddelbart efter konstatering af bruddet.

På baggrund af bl.a. denne sag har Region Syddanmark iværksat en større undersøgelse med henblik på at afdække, om regionen har andre systemer med lignende sårbarheder.

Hvis man som ansat i Region Syddanmark eller borger har spørgsmål, kan man kontakte Region Syddanmarks databeskyttelsesrådgiver på [email protected] eller telefonnummer 24 75 62 90.