3903 borgeres cpr-numre lækket: Følsomme oplysninger lå frit fremme

Sagen befinder sig nu hos Datatilsynet. Foto: Datatilsynet

Datatilsynet har modtaget en anmeldese om et brud på persondatasikkerheden.

Odense Universitetshospital (OUH) har på en del af Region Syddanmarks hjemmeside, der har været anvendt til undervisningsformål, fundet en PowerPoint-præsentation fra 2011 med CPR-numre på 3903 borgere. Størstedelen af CPR-numrene lå som bagvedliggende data til en graf og har altså ikke været direkte synlige i præsentationen. 22 CPR-numre optræder dog i en indlejret tabel i selve præsentationen.

PowerPoint-præsentationen indeholdt desuden 12 tilfælde af patient-id og operationstype på borgere – dog uden navn og CPR-nummer. Både den del af hjemmesiden og den pågældende PowerPoint-præsentation er fjernet. Det oplyser Odense Universitethospital i en pressemeddelelse. 

Region Syddanmarks undersøgelser viser, at præsentationen har været åbnet i alt 15 gange i perioden 2011 til den blev fjernet 6. februar 2020.

De følsomme oplysninger har været tilgængelige på en af de sidste sider i præsentationen, der er på 52 sider, og langt de fleste CPR-numre har ligget som bagvedliggende data. Den pågældende data var fra Dansk Lunge Cancer Registers database.

Læs også

Betjent bevogter bil alene: Omringes pludseligt af fem truende mænd

Har fået brev om situationen

Af de 3903 udsatte borgere er 672 stadig er i live. Af disse bor 668 fortsat i Danmark, og de er blevet underrettet om situationen via brev fra OUH, hvor de også er blevet oplyst om deres muligheder for at klage.

Administrerende sygehusdirektør på OUH, Niels Nørgaard Pedersen, siger:

"Vi sørgede for at der blev lukket for adgangen til filen, så snart vi blev gjort opmærksomme på det. Heldigvis er der kun 15 personer, der har åbnet præsentationen, og materialet har indgået i et fagligt undervisningsmateriale, der er rettet mod fagfolk, som er vant til at håndtere personoplysninger. Når det er sagt, er der selvfølgelig stadig tale om et brud på persondatasikkerheden, og derfor har vi anmeldt det til Datatilsynet. Jeg vil samtidig gerne undskylde til de patienter, der er berørt af dette."

Allerede i 2016 etablerede Region Syddanmark en ny sikkerhedsproces, der skal forhindre, at medarbejdere lægger CPR-numre på regionens hjemmesider. Denne proces bør fange CPR-numre, der er synlige på hjemmesider eller i dokumenter. Det undersøges i øjeblikket, hvorfor processen ikke har fanget de synlige CPR-numre i præsentationen, ligesom det undersøges, om sikkerhedsprocessen kan justeres til at finde bagvedliggende ”usynlige” data.

Læs også

16-årige Julie var sund og rask: Torsdag døde hun af corona