Brud på persondatabeskyttelsen i Region Sjælland

Region Sjælland opdagede den 2. juni 2023, at det har været muligt for omkring 2.500 brugere af regionens administrative ESDH-system at søge en sagsliste med cirka 25.000 fortrolige, historiske sager frem. Det har ikke været muligt at tilgå selve indholdet i de enkelte sager, med mindre en bruger har haft særlig, berettiget adgang. I en del af disse sagers titler fremgår oplysninger om konkrete personer, herunder navne og cpr-numre. Bruddet er nu stoppet og meldt til Datatilsynet.

MERE END 90 DAGE GAMMEL

mandag den 19. juni 2023

De fortrolige sager stammer fra et tidligere journaliseringssystem og er i forbindelse med konvertering til nyt system placeret i et historisk arkiv med afsluttede sager. Derfor var det kun ved en særlig søgning i dette arkiv, at oplysningerne om de konkrete personer kunne ses i flere felter med informationer om sagerne. De sager, der potentielt har været adgang til, er alle dateret inden oktober 2020.

Det er kun medarbejdere med særlig adgang og et arbejdsmæssigt behov, der kan åbne disse fortrolige sager, men sagerne har ved en fejl kunnet søges frem af alle brugere i en liste med titel og metadata. I nogle af sagernes titler og/eller sagsidentitet-feltet kan have fremgået personoplysninger, herunder cpr-nummer og oplysninger om behandlingssted.

Det drejer sig om et elektronisk system til sags- og dokumenthåndtering indeholdende sager af administrativ karakter. Der er ikke tale om et patientjournalsystem som eksempelvis Sundhedsplatformen.

Det er ikke muligt at få information om, hvor mange af de cirka 2.500 brugere, der har foretaget en søgning i det historisk arkiv, og som har fået fremvist en sagsliste med fortrolige sager. Der er dog grund til at antage, at det kun er få af systemets brugere, der har anvendt de historiske søgninger. Brugerne af systemet er administrative medarbejdere i Region Sjælland.

Bruddet på persondatabeskyttelsen er ifølge den eksterne it-leverandør formentlig opstået i oktober 2022 i forbindelse med en systemopdatering. Det kan imidlertid ikke udelukkes, at bruddet har varet længere.

Region Sjællands nuværende journaliseringssystem har været i brug siden oktober 2020. Da regionen blev opmærksom på problemet, blev der straks lavet en midlertidig ændring, så det ikke længere var muligt at se sagernes titler. Regionen går nu i gang med at finde en permanent løsning, så fortrolige sager fremover ikke kan søges frem af alle.

Bruddet er stoppet 7. juni 2023 og er meldt til Datatilsynet.

Region Sjælland beklager bruddet. Hvis du har spørgsmål til bruddet, er du velkommen til at kontakte regionens databeskyttelsesrådgiver på dpo-funktion@regionsjaelland.dk.