Styrelse får kritik for at sende 900 sider personfølsomme patientdata med mail-løsning

En medarbejder i Styrelsen for Patientsikkerhed er ved et uheld kommet til at sende 900 siders personfølsomme patientdata uden 2-faktor autentifikation.

Styrelsen for Patientsikkerhed har videresendt 900 siders personfølsomme patientdata uden 2-faktor autentifikation, hvilket ellers er kravet. Det fremgår af en afgørelse, som netop er offentliggjort på Datatilsynets hjemmeside, hvor Datatilsynet kalder episoden kritisabel.

Det er modtageren selv – i afgørelsen omtalt som ”K” – der har klaget til Datatilsynet.

Styrelsen for Patientsikkerhed benytter sig af løsningen Blue-whale i de tilfælde, hvor omfanget er for stort til at blive sendt via Digital Post. Her fremsendes links til dokumenterne i en e-mail. Der ledes så videre til et link, hvor borgeren skal logge ind via en PIN-kode, som er blevet tilsendt på mobilen.

Men denne gang kom styrelsen altså til at sende samtlige 900 sider ved et uheld.

Den normale procedure om 2-faktor autentifikation fandt dog sted, men først efter alle 900 sider var sendt ubeskyttet til ’K’. Han modtog efterfølgende den normale mail, som indeholdt et link til siden, hvor PIN-koden skulle indtastes.

’K’ henvendte sig til Styrelsen for Patientsikkerhed efterfølgende, men ifølge Datatilsynets afgørelse reagerede styrelsen ikke på henvendelserne.

Burde slet ikke være muligt

Styrelsen for Patientsikkerhed har undskyldt sig med, at når oplysninger sendes via Blue-whale, så sker det gennem en ”stærk kryptering” (HTTPS/TLS). Men det har Datatilsynet altså ikke godkendt som værende en ordentlig undskyldning.

Styrelsen har oplyst, at de er i dialog med deres leverandør om muligheden for at fjerne risikoen for, at en medarbejder kommer til at sende oplysningerne uden den fornødne beskyttelse.

Det fastslås i afgørelsen, at Datatilsynet indskærper styrelsens ansvar for, at medarbejderne ikke begår lignende fejl, så længe, at muligheden ikke er fjernet af leverandøren.

Ikke første gang

Og det er ikke første gang, at Styrelsen for Patientsikkerhed frit har sendt mails med personfølsomme patientdata uden nogen form for beskyttelse. I 2016 havde en læge problemer med at åbne PDF-dokumenter om syv patienters klagesager, hvorefter han sendte dem til sig selv. Desværre dukkede de aldrig op.

Det viste sig efterfølgende, at de var sendt til en forkert mailadresse. Desværre var det ikke bare en tilfældig borger, hvis mailadresse tilnærmelsesvis lignede den pågældende læges, men derimod en ’malicious’ adresse, designet til at opsnappe fejlsendt data.

Dengang, i august 2016, lovede daværende Sundhedsminister, Sophie Løhde, at sætte et hold eksterne konsulenter til at gennemføre et ’serviceeftersyn’ af hele Sundheds- og Ældreministeriets koncern.

På Bluewhales hjemmeside er it-chef ved Styrelsen for Patientsikkerhed, Jens Pilekær Henriksen, taget til indtægt for dette PR-fremstød:

»Vi vil bestemt anbefale andre offentlige instanser at bruge Bluewhale. Det er trygt for borgerne og nemt for os.«

Det lader vi stå for sig selv.