Kritikken udtaler Statsrevisorerne på baggrund af en ny beretning fra Rigsrevisionen om regionernes beskyttelse af sundhedsdata mod cyberangreb.

Statsrevisorerne konstaterer, at regionerne generelt har gjort en indsats for at forhindre, at hackere opnår adgang til sundhedsdata, og at alle regionerne har forbedret deres it-sikkerhed i undersøgelsesperioden.

Et af de mest digitale sundhedsvæsener i verden

Det danske sundhedsvæsen er blandt de mest digitale sundhedsvæsener i verden. Sundhedsdata, som før fandtes i fysiske papirjournaler, findes nu som digitale sundhedsdata, blandt andet i de elektroniske patientjournaler, som er et af sundhedspersonalets vigtigste værktøjer i hverdagen.

Center for Cybersikkerhed vurderede i maj 2024, at truslen fra cyberkriminalitet og cyberspionage mod den danske sundhedssektor er meget høj. Et succesfuldt cyberangreb kan sætte hospitalernes kritiske it-infrastruktur ud af drift med den konsekvens, at patienter ikke kan få den nødvendige behandling.

Formålet med undersøgelsen er at vurdere, om regionerne i tilstrækkeligt omfang beskytter sundhedsdata i hospitalsvæsenet mod cyberangreb.

Vurderingen sker på baggrund af 15 konkrete vurderingskriterier, som Rigsrevisionen har defineret på baggrund af den internationale standard for informationssikkerhed ISO 27001 og vejledningen fra Center for Cybersikkerhed ”Cyberforsvar der virker”.

Statsrevisorerne bemærker:

• Alle regionerne har politikker og retningslinjer for, hvordan de skal beskytte sundhedsdata.  
• Region Syddanmark og Region Hovedstaden mangler at vurdere, hvor kritiske de enkelte it-systemer er for hospitalsdriften.
•  Region Sjælland og Region Syddanmark har ikke fulgt samlet op på resultaterne af deres sårbarhedsskanninger på ledelsesniveau.
• Region Sjælland mangler at udarbejde risikovurderinger og handleplaner for sikkerheden omkring sundhedsdata.
• Alle regionerne har generelt iværksat tiltag, der skal forhindre, at hackere kan opnå adgang til regionernes netværk med sundhedsdata. 
• Alle regionerne på nær Region Hovedstaden anvender multifaktorlogin på netværksudstyret for at forhindre, at hackere opnår adgang til netværket. 
• Region Hovedstaden har ikke segmenteret netværket for at forhindre spredning af cyberangreb.
• Alle regionerne har et beredskab til at håndtere konsekvenserne af cyberangreb, men dele af beredskabet er mangelfuldt i Region Midtjylland, Region Nordjylland og Region Syddanmark.
• Alle regionerne har beredskabsplaner til at håndtere cyberangreb, der rammer de elektroniske patientjournaler, men Region Midtjylland og Region Syddanmark har ikke testet deres beredskabsplaner regelmæssigt. 
• Alle regionerne har taget backup af de elektroniske patientjournaler, men Region Nordjylland og Region Syddanmark har ikke i tilstrækkeligt omfang testet, om deres backup kan bruges til at reetablere de elektroniske patientjournaler ved nedbrud.
  
   

Rigsrevisionens beretning om regionernes beskyttelse af sundhedsdata mod cyberangreb er blevet behandlet på statsrevisormødet den 20. januar 2025. 
Find Rigsrevisionens beretning afgivet til Folketinget med Statsrevisorernes bemærkninger, Regionernes beskyttelse af sundhedsdata mod cyberangreb.