Hopp til innhold

Personopplysningar i helseføretaket var tilgjengelege for uvedkomande: – Alvorleg

I 13 år har det vore mogleg for uvedkomande å få tilgang til personopplysningar frå jobbsøknadar i Helse Førde. Feilen vart oppdaga i oktober i fjor.

Helse Førde

FOR DÅRLEGE RUTINAR: Helseføretaket sende personopplysningar ukryptert.

Foto: Oddgeir Sæle

Saka vart oppdaga under ein gjennomgang av datatryggleiken til helseføretaket i oktober i fjor.

– Dette var såpass alvorleg at vi valde å varsle Datatilsynet, seier Frode Schanke, som er IT-ansvarleg i Helse Førde.

Opplysningane som kan ha kome på avvegar i dette tilfelle er ikkje pasientopplysningar, men opplysningar frå jobbsøknadar.

Ikkje kryptert

Helseføretaket har ikkje sørga for at kryptering av personopplysningane då dei skulle overførast frå rekrutteringssystemet til arkivsystemet. Dermed har det vore mogleg for uvedkomande å få tilgang til følsame, fortrulege og private opplysningar, skriv Helse Førde i meldinga til Datatilsynet.

– Dette er jo noko som gjer oss urolege, seier Frode Hatten som er personvernombod i Helse Førde.

Frode Hatten

UROA: Frode Hatten er personvernombod i Helse Førde.

Foto: Privat

Opplysningane som har vore tilgjengelege er til dømes CV-ar og personalia, og dermed opplysningar som kan brukast til identitetstjuveri og bedrageri, skriv helseføretaket i meldinga til Datatilsynet.

– Hadde desse opplysningane kome ut i det offentlege, så hadde det vore alvorleg, seier Hatten.

Ikkje på avvegar

Så langt er det ingenting som tyder på at personopplysningar har kome på avvegar som følge av feilen.

– Det er ikkje snakk om at dokument har lege ut tilgjengeleg, men at det har vore mogleg for personar med «sniffeprogram» å fange opp datatrafikk som har vore sendt ukryptert, seier Schanke.

Datatilsynet ser alvorleg på saka

Veronica Jarnskjold Buer

ALVORLEG SAK: Veronica Jarnskjold Buer er avdelingsdirektør i Datatilsynet.

Foto: Ilja C. Hendel / © Ilja C. Hendel

Dette er ein type avvik som er alvorleg anten det skjer i private verksemder eller i det offentlege, seier Veronica Jarnskjold Buer som er avdelingsdirektør i Datatilsynet.

– Men ein forventar at offentlege instansar og styresmakter er betre rollemodellar på å etterleve lovverk, og dermed har tilstrekkelege sikringstiltak og -rutinar, og sikrare løysingar enn andre, seier Buer.

I Helse Førde tok det altså 13 år før sikkerheitsholet vart oppdaga. Det er uvanleg lenge meiner Buer.

– Det er uvanleg at det får gå føre seg så lenge før det vert oppdaga, men vi har også andre tilfelle der har gått lang tid før det har blitt oppdaga. Stort sett handlar det då om at ein ikkje har systematikk på å ha årlege gjennomgangar av tryggleikstiltaka.

Har retta opp i feila

Då Helse Førde var merksame på sikkerheitsholet stogga dei umiddelbart overføringa av opplysningar mellom dei to datasystema fram til ei kryptert løysinga var på plass.

Frode Schanke

OPPDAGA SIKKERHEITSHOL: Frode Schanke, er IT, ansvarleg i Helse Førde.

Foto: Helse Førde

– Vi tar alle avvik av den typen på høgste alvor, seier Schanke.

– Men dette er feil som har lege her heilt sidan 2008, før de oppdaga feilen i 2021?

– Det er sjølvsagt uheldig. Samstundes har fokuset på sikkerheit og krypterte løysingar berre blitt større med åra som har gått. Her har det vore svikt i rutinane tilbake i tid, men gjennom auka fokus på datasikkerheit får vi avdekka og retta slike feil.

Når feilen først vart oppdaga er personvernombodet nøgd med måten helseføretaket har handtert saka.

– Store ressursar vart umiddelbart sett på saka, slik at når ein først vart kjent med problemet så vart det handtert raskt og effektivt. Slik set er eg nøgd med måten saka vart handtert på, seier Hatten.