Kriminelle har fået adgang til detaljerede, personfølsomme om syv patienter, fordi en medarbejder, der er tilknyttet en central styrelse i sundhedsvæsenet, har begået et alvorligt sikkerhedsbrud i forbindelse med håndtering af en række klagesager.

Samtidig er der også sket fejl i en anden sag, hvor en e-mail med følsomme personoplysninger om CPR-nummer, sengedage og diagnoser blevet afsendt til en forkert modtager i e-Boks.

Det fremgår af en orientering fra sundhedsminister Sophie Løhde (V) til medlemmer af Folketingets sundhedsudvalg. Sagerne får nu ministeren til at bebude en skærpelse af indsatsen for undgå læk af sundhedsdata.

De to nye tilfælde, hvor personoplysninger er blevet udleveret til uvedkommende, kommer således i kølvandet på en meget omtalt sag, hvor to CD'er fra Statens Serum Institut med flere end fem millioner ukrypterede danske CPR-numre og helbredsoplysninger, som var tiltænkt Danmarks Statistik, ved en fejl havnede hos et kinesisk visum-firma.

»Ekstremt uheldigt«

I Danske Patienter kalder direktør Morten Freil sagerne »ekstremt uheldige«. Han efterlyser, at der strammes op overalt i sundhedsvæsenet.

»Det er helt afgørende, at man kan dele data for at sikre kvaliteten i behandlingen og forbedre forløbene såvel for den enkelte som for patienterne generelt. Derfor er det vigtigt, at der er tillid til, at data opbevares og deles på forsvarlig vis,« siger han.

Den alvorligste af de to nye sager stammer fra Styrelsen for Patientsikkerhed, hvor en sagkyndig konsulent blev bedt om at vurdere en række patient-klagesager. Efter retningslinjerne skal det foregå i et lukket citrix-miljø, men den sagkyndige kunne ikke åbne PDF-filerne med det samlede sagsmateriale og valgte at prøve at sende dem til sin private mail-konto.

En banal slåfejl betød imidlertid, at materialet er havnet hos et firma, som har specialiseret sig i at oprette domæne-navne, der ligner etablerede navne, og udnytte den type slåfejl for at få adgang til f.eks. kreditkortdata og mulighed for identitetstyveri.

En intern undersøgelse i styrelsen når frem til, at der med »stor sikkerhed« er tale om et såkaldt »malicious« domæne, da webtrafik f.eks. sender brugeren videre til websider med malware - skadelig software.

I redegørelsen til politikerne konkluderes det også, at »modtageren uden for enhver tvivl må antages at være kriminel«.

Et privat sikkerhedsfirma, som styrelsen har sat til at efterforske sagen, anbefaler derfor, at de berørte patienter udstyres med en id-tyveriforsikring, og Kammeradvokaten skal se på spørgsmålet om en eventuel erstatning.

Endelig er den ansvarlige medarbejders opgaver for styrelsen »sat i bero«, hedder det.

Menneskelige fejl

I den anden sag, hvor en e-mail havnede hos en forkert modtager i dennes e-Boks, har den pågældende modtager bekræftet, at mailen er slettet, oplyser Sophie Løhde.

Sagerne fører nu til, at hun sætter eksterne konsulenter til at gennemføre et »serviceeftersyn« af hele sundheds- og ældreministeriets koncern, heriblandt de fem styrelser, som hører under ministeriet, for at sikre, at man »håndterer personfølsomme oplysninger korrekt i alle arbejdsgange, så de ikke udleveres til uvedkommende«.

»Vi kan desværre ikke helt gardere os mod, at der sker menneskelige fejl. Men det er utroligt vigtigt, at vi gør alt, hvad vi kan for at minimere risikoen for at personoplysninger, som vi har ansvaret for, kommer uvedkommende i hænde,« skriver ministeren til udvalget.