Region Nordjylland kritiseres for manglende sikkerhed i selvbetjeningsløsning

Region Nordjylland har anmeldt et brud på persondatasikkerheden, hvor en fejl i it-løsningen "MineAftaler" gjorde det muligt for brugere at tilgå andres personoplysninger og aflyse bookinger. Fejlen, der eksisterede fra maj 2018 til april 2021, skyldtes manglende styring af brugeradgang, en kendt type sårbarhed. Selvom misbrug krævede login med NemID, var det muligt at omgå adgangsbegrænsningerne ved at ændre et tal i en REST-service URL.

Region Nordjylland oplyste, at alle med NemID, der havde været logget på i perioden, potentielt kunne udnytte sårbarheden, hvilket omfattede 498.599 patienter pr. 30. april 2021. De tilgængelige oplysninger inkluderede navn, adresse, personnummer og helbredsoplysninger. Regionen kunne ikke afkræfte, om der var hemmelige adresser blandt de berørte data. Logs viste intet misbrug i de sidste 180 dage før konstateringen, men for resten af perioden kunne misbrug ikke afklares.

Region Nordjylland fremlagde en it-kontrakt og databehandleraftale som dokumentation for foranstaltninger truffet før bruddet. Datatilsynet bemærkede, at it-kontrakten manglede fokus på databeskyttelse i udvikling og test af it-løsningen. En GDPR-audit fra januar 2021 viste et compliance-niveau på 73% inden for behandlingssikkerhed og privacy by design/default, hvilket blev efterfulgt af en anbefaling om at hæve compliance-scoren. Anmeldelsen af bruddet skete ca. 9 dage efter konstateringen, hvilket Region Nordjylland begrundede med yderligere undersøgelser af bruddets omfang.

Afgørelse

Datatilsynet udtaler kritik af, at Region Nordjyllands behandling af personoplysninger ikke er sket i overensstemmelse med Databeskyttelsesforordningen § 32, stk. 1.

Datatilsynet har lagt vægt på:

• Potentielt en halv million registreredes personoplysninger kunne være tilgået af uvedkommende.
• Oplysningerne omfattede helbredsoplysninger og andre beskyttelsesværdige oplysninger.
• Både personoplysningernes fortrolighed og tilgængelighed kunne påvirkes.
• Bruddet stod på i ca. tre år.
• Bruddet skyldtes en kendt type sårbarhed, som burde være håndteret allerede ved udvikling og test af it-løsningen.

Datatilsynet bemærker, at anmeldelsen af bruddet burde være sket tidligere og anbefaler Region Nordjylland at forbedre kvaliteten af den interne registrering af brud på persondatasikkerheden. Datatilsynet henviser til Databeskyttelsesforordningen § 33 og Databeskyttelsesforordningen § 34 i forbindelse med anmeldelse og underretning.