Sundheds- og Ældreudvalget 2015-16
SUU Alm.del Bilag 694
Offentligt
1660699_0001.png
Ministeriet for Sundhed og Ældre
Sundhedsdatastyrelsen
Ørestads Boulevard 5
2300 København S
www.sundhedsdata.dk
[email protected]
+45 7221 6800
Dato: 31. august 2016
Redegørelse om fremsendelse af e-mail indeholdende persondata til forkert modta-
ger (eBoks)
Sundhedsdatastyrelsen har den 27. august 2016 registreret en sikkerhedshændelse,
hvor en email stilet til en borger fejlagtigt blev sendt til en anden borgers eBoks.
Sundhedsdatastyrelsen blev gjort opmærksom på fejlen af den uberettigede modta-
ger.
Mailen indeholdt helbredsoplysninger i form af et vedhæftet dataudtræk. Dataud-
trækket indeholdt oplysning om CPR-nummer, patienttype, behandlingssted, behand-
lingstidspunkt, sengedage, diagnosekoder mv. Oplysningerne om patienttype, behand-
lingssted og diagnosekoder består af talkoder. De pågældende oplysninger kræver så-
ledes, at koden ”oversættes” til en diagnose, hospitalsafdeling mv. En sådan oversæt-
telse kan dog foretages ved hjælp af offentligt tilgængelige kilder.
Den uberettigede modtager har efterfølgende bekræftet, at mailen er slettet.
Hændelsen skyldes en menneskelig fejl i Sundhedsdatastyrelsen og der er nu indført
en ændret proces for at minimere risikoen for gentagelse.
Sagens baggrund og forløb
Mails indeholdende følsomme persondata skal sendes som sikker email. Sikker email
kan sendes fra Sundhedsdatastyrelsens hovedpostkasse samt fra enkelte andre funkti-
onspostkasser. Når styrelsen sender følsomme persondata til borgere sker det til bor-
gerens digitale postkasse Digital Post (eBoks). Der sendes en mail til en mailadresse af
formen [borgerens CPR-nummer]@digital-post.dk.
En sagsbehandler i styrelsen skulle sende flere forskellige sikre emails ud i forbindelse
med svar på henvendelser om egenacces fra en række borgere. Derfor fremsendte
sagsbehandleren et antal emails til hovedpostkassen med anmodning om, at de blev
videresendt til de pågældende borgeres Digital Post. De enkelte mails indeholdt kor-
rekt angivelse af modtager.
 SUU, Alm.del - 2015-16 - Bilag 694: Orientering vedr. to sikkerhedsbristsager, fra sundheds- og ældreministeren
1660699_0002.png
Proceduren for at sende til Digital Post Sundhedsdatastyrelsen Hovedpostkasse var, at
der trykkes ”Videresend” i den oprindelige mail. Inden afsendelse redigeres den op-
rindelige mail ved at overskydende tekst slettes, og adresse på modtageren klippes fra
den oprindelige mail og sættes ind som modtageradresse. Herefter trykkes ”Send”.
I forbindelse med videresendelsen af de pågældende mails bliver modtageradressen
fra én mail fejlagtigt sat ind som modtageradresse på en anden mail. Resultatet blev,
at to mails – en korrekt og en fejladresseret – blev sendt til den samme borger.
Da Sundhedsdatastyrelsen blev opmærksom på fejlen, gennemgik sagsbehandler og
den ansvarlig for videresendelse fra hovedpostkassen alle afsendte mails i sagen for at
kortlægge om der var sket fejl i andre afsendelser. Gennemgangen har vist, at der er
tale om en enkeltstående fejl.
Der er således tale om en enkeltstående menneskelig fejl i form af manglende kontrol
af modtageradresse før afsendelse af sikker email.
Ændring i processer som følge af hændelsen
Hændelsen har givet anledning til følgende korrigerende handlinger i Sundhedsdata-
styrelsen:
1. Det er indskærpet over for den pågældende medarbejder, at der skal udvises
den fornødne omhu ved afsendelse af sikker mail med følsomme persondata.
2. Sagsbehandlere med behov for at sende mange sikre emails får adgang til Ho-
vedpostkassen, så de kan sende sikker mail direkte til de involverede borgere.
Ved at reducere antallet af led, reduceres antallet af indtastninger og dermed
risikoen for fejl.
3. I Sundhedsdatastyrelsens instruks om forsendelse af sikker mail ændres in-
struksen, så det fremgår, at man ikke må ”copy-paste” adresser, når man sen-
der flere sikre mails. Krav om indtastning af adresser sikrer fokus på korrekt
adressering.
4. Endelig er Sundhedsdatastyrelsen ved at undersøge, om der kan etableres
supplerende tekniske foranstaltninger til at imødegå fejlindtastning ved for-
sendelse af sikker mail, fx bekræftelse på modtager inden afsendelse e.l.
Underretningspligt mv.
Det følger af Datatilsynets praksis, at det i tilfælde, hvor personoplysninger er kommet
til uvedkommendes kendskab eller har været i risiko herfor som følge af en sikker-
hedsbrist – afhængigt af de konkrete omstændigheder – vil følge af persondatalovens
2/3
 SUU, Alm.del - 2015-16 - Bilag 694: Orientering vedr. to sikkerhedsbristsager, fra sundheds- og ældreministeren
1660699_0003.png
grundregel om god databehandlingsskik
1
, at den ansvarlige myndighed eller virksom-
hed skal underrette de berørte personer.
Ved vurderingen af spørgsmålet om underretning må den dataansvarlige blandt andet
tage oplysningernes karakter og de mulige konsekvenser for de berørte personer i be-
tragtning. Efter tilsynets praksis vil det endvidere kunne være påkrævet, at den data-
ansvarlige påser, at data bliver slettet eller eventuelt afhentet eller returneret fra ube-
rettigede modtagere.
Som ovenfor nævnt bad Sundhedsdatastyrelsen straks modtager om at slette den fejl-
agtigt modtagne mail, da styrelsen blev bekendt med fejlen. Videre fik Sundhedsdata-
styrelsen i forlængelse heraf samme dag en bekræftelse på, at de pågældende oplys-
ninger var blevet slettet af modtager.
Sundhedsdatastyrelsen vil herudover kontakte den borger, hvis data har været sendt
til den forkerte modtager og orientere vedkommende om fejlen.
Da hændelsen er en enkeltstående menneskelig fejl og håndteres direkte i forhold til
de to berørte personer, vil Sundhedsdatastyrelsen ikke orientere Datatilsynet.
1
Persondatalovens § 5, stk. 1.
3/3