Annonce
Sydjylland

Regionen dropper it-leverandør efter data-brist

Anders Meinert Pedersen i forbindelse med en anden problematisk sag for Psykiatrien i Region Syddanmark, da en læge og to sygeplejersker på afdelingen i Odense blev stukket ned af en patient. Arkivfoto.

Mails fra en it-leverandør til 220 patienter, der er i psykiatrisk behandling via internettet og deres pårørende, er ved en fejl sendt i kopi til en ubeskyttet mail-adresse. Region Syddanmark afbryder samarbejdet med CCBT, der er leverandør af det pågældende behandlingsprogram.

Psykiatrien i Region Syddanmark dropper samarbejdet med den engelske it-leverandør CCBT, som ved en fejl har sendt kopier af personlige mails til patienter til en ubeskyttet mail-konto. Omkring 220 brugere er berørt af fejlen, og oplysningerne kan være blevet misbrugt.

Siden 2015 er patienter med angst blevet tilbudt behandling via internettet i behandlingsprogrammet FearFighter. I forbindelse med behandlingen sender programmet automatisk mails til patienterne, for eksempel om hvor langt de er i programmet.

Men Region Syddanmark har nu opdaget, at disse mails til patienterne, pårørende og hjælpere ved en fejl også er blevet sendt i kopi til en gratis mail-konto, der ikke kræver password og adgangskode.

CCBT har brugt denne mail-adresse som testkonto hos en underleverandør og har så glemt at stoppe overførslen af mails igen.

Sikkerhedsbristen betyder, at for eksempel navne, email og tilknytning til internetpsykiatrien for 141 patienter samt en række pårørende og hjælpere har været tilgængelige på den pågældende mail-konto. Det er de brugere, der har anvendt FearFighter i perioden 1. november 2016 til 23. juni 2018.

Regionen forklarer, at man opdagede fejlen den 14. juni, og kontaktede straks CCBT, som dog først fik stoppet problemet 23. juni.

Fejlen omfatter både syddanske patienter og patienter fra andre regioner, da behandling via FearFighter fra marts 2018 blev et landsdækkende tilbud.

Sikkerhedsbrist i behandlingsprogram

Sikkerhedsbristen i et it-behandlingsprogram mod angst betyder, at navne, email og tilknytning til internetpsykiatrien for 139 patienter har været tilgængelige på den pågældende mail-konto i perioder på ni dage.For yderligere to patienter har der også været oplysninger om selvmordtanker i de mails, der har været adgang til.

For 78 hjælpere/pårørende har der været adgang til navne, email, patientens navn og det faktum, at de er pårørende til en, der deltager i et angstbehandlingsprogram.

Adgang til mails

Der har i hele perioden været risiko for, at uvedkommende har kunnet få adgang til den ubeskyttede mailkonto med navne, email og tilknytning til internetpsykiatrien. Men der har ikke været adgang til CPR-numre og mere deltaljerede oplysninger om patienternes behandlingsforløb.

For to patienters vedkommende har mails indeholdt oplysninger om, at de var selvmordstruede.

På grund af sikkerhedsbristen og manglende evne til at klarlægge forløbet efterfølgende stopper regionen samarbejdet med CCBT hurtigst muligt. Det betyder, at både FearFighter og et andet program, som firmaet leverer, NoDep, lukker ned.

De patienter, der lige nu er i behandling i programmerne, tilbydes andre muligheder for behandlinger - for eksempel videokonsultationer. Der arbejdes på at introducere nye internet-baserede programmer, som kan erstatte FearFighter og NoDep.

Region Syddanmark har skrevet til de berørte patienter samt pårørende og hjælpere, og regionen har også skrevet til de patienter, som lige nu er i behandling i FearFighter og NoDep og tilbudt dem andre muligheder for behandling.

Samtidig har regionen anmeldt sagen til Datatilsynet og overvejer et erstatningskrav mod firmaet.

Det har ikke været muligt at finde frem til og få fat i en talsperson for CCBT for at få en forklaring på fejlen.

Annonce
Annonce
Annonce
Annonce
Esbjerg

Kvinde anholdt med favnen fuld: Sigtet for at stjæle indbo og ejendele fra sammenstyrtet hus

Sydjylland

Region Syddanmark i top: Markant færre corona-patienter i respirator døde end i resten af landet

Annonce