Afsløringen af en læge, der systematisk har misbrugt sin adgang til patientjournaler, har ikke blot rystet borgerne i Region Sjælland og Region Hovedstaden – den kan også forstærke en bredere bekymring for om regionerne er i stand til at beskytte vores sundhedsdata.
Det viser sig nemlig at en læge over en årrække foretaget tusindvis af ulovlige opslag i borgeres elektroniske patientjournaler – ikke for at søge helbredsoplysninger, men for at finde cpr-numre, adresser og telefonnumre.
Ifølge en pressemeddelelse fra de to regioner har han dermed brugt journalen som en slags digital telefonbog – Et slags Krak – eller måske snarere en slags “dating-register”.
Sagen blev først opdaget, da to kvinder ifølge TV2 Kosmopol via sundhed.dk bemærkede, at lægen havde tilgået deres oplysninger. Begge havde tidligere takket nej til dating-invitationer fra lægen om at mødes. Det satte gang i alarmklokkerne – og afslørede hurtigt, at problemet var langt større end først antaget.
“Vi beklager dybt, at rigtig mange borgere har været udsat for, at en læge har handlet ulovligt og uetisk ved at misbruge den adgang, vedkommende har haft til borgeres oplysninger,” siger Mette Harbo, direktør i Center for IT og Medicoteknologi i Region Hovedstaden
Regionerne har siden politianmeldt lægen, orienteret Datatilsynet og Styrelsen for Patientsikkerhed – og er i gang med at sende besked til de borgere, der er blevet berørt.
Kontrolsystemer er atter under kritik
Sagen sætter ikke blot lægens adfærd i søgelyset, men retter en ny og skarp projektør mod regionernes egne kontrolsystemer, som åbenlyst har svigtet.
“Vi har vores automatiske log, der kører. Den finder det meste. Men den finder ikke alt, desværre,” forklarer Mette Harbo.
Ifølge pressemeddelelsen blev lægens aktivitet ikke opdaget af nogen kontrolalgoritmer. Først da borgerne selv reagerede, begyndte regionerne at efterforske sagen. Og her står det klart: Lægen har snaget i flere tusinde journaler.
Kritikken falder i en tid, hvor alle fem regioner inden for de seneste år har været ramt af enten databrud eller fået kritik for utilstrækkelig IT-sikkerhed af Rigsrevisionen.
Læs også: Regionalt databrud udløser dom på millionbøde
Fra udfordringer med cybersikkerhed i alle fem regioner til seneste et databrud i Region Midtjylland der eksponerede over 250.000 personers data og så har vi naturligvis også den igangværende sag i Region Syddanmark, som har anket en sag, hvor regionen er idømt en millionbøde for databrud.
Mønstret er ved at tegne et meget tydeligt billede af hvor sårbare regionerne er.
Udelukket fra ansættelse – uden dom
En bemærkelsesværdig konsekvens i den aktuelle sag er, at lægen nu er udelukket fra ansættelse i både Region Sjælland og Region Hovedstaden, indtil sagen er fuldt undersøgt – på trods af, at han ikke er dømt for noget endnu.
Regionerne forsøger nu at dæmme op mod skaderne hos enkeltpersoner
“De berørte borgere, hvis privatliv er blevet krænket, vil få direkte besked via e-Boks (…), ligesom regionerne stiller sig til rådighed for at hjælpe borgerne med spørgsmål,” lyder det fra Jan Kold, direktør i Koncern Digitalisering i Region Sjælland.
At tage en så drastisk midlertidig sanktion – uden retslig afgørelse – er usædvanligt i det offentlige system. Vi ved fra andre sager på det offentlige område fx. kommunerne, at det har været næsten umuligt at udelukke sundhedspersonale fra ansættelse på tværs af kommuner medens en politiundersøgelse pågår.
Det vidner om, hvor alvorligt regionerne vurderer sagen, at de nu gør fælless sag, men rejser samtidig spørgsmål om hvorvidt man har handlet i tide.
Patienter og eksperter: “Ikke godt nok”
Både patientorganisationer og eksperter har udtrykt forfærdelse over sagen. Ifølge Morten Freil fra Danske Patienter er sagen et tydeligt bevis på, at regionernes kontrolsystemer ikke er tilstrækkelige:
“Det er simpelthen ikke godt nok. Der skal være systemer, der fanger det her på forhånd,” siger han til TV2 Kosmopol.
Fra Region Hovedstaden lyder det, at de først inden for de seneste uger har foretaget en indledende undersøgelse af sagen, selv om anmeldelserne fra kvinderne er sket for måneder siden.
Professor i dataetik Thomas Ploug hæfter sig især ved, at det er patienterne selv, der skal opdage misbruget og stiller spørgsmål ved om regionerne gør nok.
