(Opdateret med kommentar fra koncerndirektør i Region Sjælland Jesper Gyllenborg kl. 15.16)

Datatilsynet udtaler alvorlig kritik af Region Sjælland for bred adgang til patientlister på hospitalsafdelinger og persondata i regionen uden tilstrækkelig sikkerhedsforanstaltninger. Det skriver tilsynet i en pressemeddelelse.

Kritikken er rettet mod, at regionen har givet alle autoriserede brugere adgang til patientlister med personoplysninger på samtlige af regionens hospitalsafdelinger. Ifølge tilsynet va over 16.000 brugere i marts 2022 autoriseret til at tilgå alle hospitalernes patientlister.

Datatilsynet modtog en henvendelse om, at medarbejdere hos regionen via forsiden på Sundhedsplatformen har adgang til alle patientlister på tværs af alle regionens hospitaler. På den baggrund indledte tilsynet en sag af egen drift, hvilket er baggrunden for den udtalte kritik.

Derudover mener tilsynet, af regionens logningspraksis ikke har kunnet skabe en sammenhæng mellem konkrete opslag og personoplysninger, som er blevet tilgået gennem patientlisten. Det vil sige, at man kan ikke se, hvem der har tilgået hvilken patients oplysninger.

”Regionen kunne derfor ikke dokumentere og følge op på et eventuelt misbrug af den omfattende brugeradgang til persondata,” skriver tilsynet.

Patientlisterne indeholder blandt andet navn, cpr-nummer og indlæggelsessteder. Derudover kan de indeholde diagnoser og andre oplysninger.

”Det er et udtryk for et generelt problem. Det er af mere universel karakter,” siger Allan Frank, it-sikkerhedsspecialist hos Datatilsynet.

I forbindelse med Datatilsynets sag har Styrelsen for Patientsikkerhed udtalt, at der ikke foreligger ”vægtige grunde” for den meget brede adgang til patientlisterne. Datatilsynet skriver i sin afgørelse, at uretmæssig adgang til personoplysninger er et ”trusselsscenarie”, at de scenarier forekommer, og de fører til brud på persondatasikkerheden.

Kritik vil udløse ændringer, lover koncerndirektør

Fra koncerndirektør i Region Sjælland Jesper Gyllenborg lyder det, at kritikken er modtaget - og at den vil udløse ændringer i systemerne omkring patientdata.

”Vi tager kritikken til efterretning. Det er jo rigtig ærgerligt, når man får alvorlig kritik,” siger han.

Ifølge koncerndirektøren har regionen i omkring halvandet år allerede været i dialog med tilsynet omkring de patientlister, der på sygehusene fungerer som overblikslister over, hvilke patienter der er indlagt på hvilke sygehuse i regionen. Det har hjulpet i behandlingen af patienter, fordi forskellige sygehuse har forskellige specialer, samtidig med at flere patienter fejler flere ting, forklarer han. 

Listerne har derfor været tilgængelige på tværs af sygehusene, men som følge af kritikken vil adgangen til dem nu blive indskrænket.

”Vi har hidtil ment, at vi har ramt en god balance mellem hensynet til data og hensynet til patientsikkerheden. Det har Datatilsynet så sagt, at det har vi ikke. Derfor lukket vi adgangen til listerne på tværs,” siger Jesper Gyllenborg, der vurderer, at dette tiltag vil være tilstrækkeligt for at møde Datatilsynets alvorlige kritik.

”Processen herfra bliver IT-mæssige ændringer, og så kommer der selvfølgelig en dialog med sundhedspersonalet,” siger han.

Han kan ikke sige, præcis hvornår Region Sjællands system vil stå færdigtilpasset til kritikken, men forventer, at det bliver inden for de kommende måneder.