Alvorlig kritik: Gravide kunne se hinandens navne og personnumre

Region Syddanmark kritiseres af Datatilsynet for en sag fra 2018, som involverede 365 gravide.
31. JUL 2020 14.45

SYDDANMARK: Datatilsynet udtaler alvorlig kritik af Region Syddanmark i en sag, hvor manglende risikovurdering og test under udvikling af et it-system gav uautoriseret adgang til gravide kvinders navne og personnumre.

Regionen anmeldte selv episoden som et brud på datasikkerheden i maj 2018. 

Omkring 2.000 gravide kvinder blev bedt om at udfylde et spørgeskema, men fordi listen over personerne var placeret på en forkert server, havde de adgang til at se listen over de øvriges navn og personnummer, hvis de brugte en del af den modtagne URL til spørgeskemaet. Ud fra sammenhængen fremgik det, at alle kvinderne var gravide.

Samlet set blev 365 kvinder oplysninger på den måde vist for uvedkommende personer. Logfiler tyder på, at seks af de 2.000 modtagere nåede frem til en del af listen.

Datatilsynet kritiserer blandt andet, at der ikke var lavet den krævede risikovurdering, og at afdækning og dokumentation af sikkerhedsbruddet har været mangelfuld, hvilket førte til skiftende forklaringer til tilsynet. Regionen var nødt til at indhente nye oplysninger fra en ekstern leverandør for at kunne svare på, hvordan den uautoriserede adgang kunne opnås. 

Desuden kritiseres det, at de involverede ikke fik klar besked om, at ikke kun deres navn og cpr-nummer, men også deres graviditet kunne blive kendt af uvedkommende.

Læs hele afgørelsen her

Stillinger fra Lundgaard Konsulenterne
Lundgaard