DK Nyt
Kommunen.dk
DK Havenergi
DK Vindkraft
DK Social
DK Sundhed
DK Teknik
DK Økonomi
DK IT
DK Job

Sikkerhedsbrist i angst-behandling: It-firma fyret

Psykiatrien i Region Syddanmark afbryder samarbejde med CCBT
6. JUL 2018 10.11

SYDDANMARK: Mails fra it-leverandør til patienter, der er i behandling via internettet, er ved en fejl sendt i kopi til en ubeskyttet mail-adresse. Fejlen er nu blevet rettet, og de berørte patienter er blevet underrettet. Region Syddanmark afbryder samarbejdet med CCBT, der er leverandør af det pågældende behandlingsprogram, oplyser regionen.

Psykiatrien i Region Syddanmark har siden 2015 tilbudt patienter med angst behandling via internettet i behandlingsprogrammet FearFighter. I forbindelse med behandlingen sender programmet automatisk mails til patienterne om for eksempel, hvor langt de er i programmet.

Region Syddanmark har nu opdaget, at disse mails til patienterne ved en fejl også er blevet sendt i kopi til en gratis mailkonto, som ikke kræver password og adgangskode. CCBT har brugt denne mail-adresse som testkonto, og har så glemt at fjerne den igen.

Omkring 220 brugere er berørte
Sikkerhedsbristen betyder, at for eksempel navne, email og tilknytning til internetpsykiatrien for omkring 220 brugere har været tilgængelige på den pågældende mail-konto.

Sikkerhedsbristen omfatter de brugere, der har anvendt FearFighter i perioden 1. november 2016 til den 23. juni 2018. Regionen opdagede fejlen den 14. juni, og kontaktede straks CCBT, som fik rettet deres fejl pr. 23. juni.

Sikkerhedsbristen omfatter både syddanske patienter og patienter fra andre regioner, da tilbuddet om behandling via FearFighter fra 1. marts 2018 gik fra at være et tilbud til syddanske patienter til at være et landsdækkende tilbud.

Udover internetpatienter har hjælpere/pårørende, som internetpatienterne kunne tilknytte i FearFighter, også modtaget mails fra FearFighter.

Personoplysninger kan være misbrugt
Der har i hele perioden været risiko for, at uvedkommende har kunne få adgang til den ubeskyttede mailkonto med navne, email og tilknytning til internetpsykiatrien. Men kun i ni dage, da de mails, der blev sendt til den ubeskyttede konto, blev slettet automatisk efter ni dage.

Det skal understreges, at der på intet tidspunkt i forløbet har været utilsigtet adgang til CPR-numre og mere deltaljerede oplysninger om patienternes behandlingsforløb.

CCBT leverer også internetprogrammet NoDep til internetpsykiatrien. NoDep er ikke omfattet af sikkerhedsbristen.

Afbryder samarbejdet med CCBT
Sikkerhedsbristen betyder, at CCBT klart har overtrådt den aftale CCBT har med Region Syddanmark, fordi leverandøren utilsigtet har videregivet personoplysninger. Regionen afbryder derfor aftalen med CCBT hurtigst muligt.

Det betyder, at både FearFighter og NoDep lukker ned.

Lægefaglig direktør i Psykiatrien i Region Syddanmark, Anders Meinert Pedersen, siger:

- Det er en fejl, som ikke må ske. Jeg beklager, at CCBT's kontraktbrud kan skabe utryghed hos vores patienter. Jeg er meget skuffet over, at CCBT har brudt den tillid, som skal være til stede i behandlingen af personoplysninger. Vi afbryder derfor samarbejdet med CCBT, så hurtigt det kan lade sig gøre, uden at vores patienter kommer i klemme.

Anders Meinert Pedersen fortsætter:

- Det er vigtigt for mig at understrege, at oplysningerne har været tilgængelige på en bestemt side, der krævede, at man vidste, hvor de lå, for at finde dem. Alligevel ser vi med stor alvor på sagen. Vi lukker nu ned for FearFighter og NoDep.

- De patienter, der lige nu er i behandling i programmerne tilbyder vi andre muligheder for behandlinger – for eksempel videokonsultationer. Vi arbejder på at introducere nye internet-baserede programmer, som kan erstatte FearFighter og NoDep. Så snart de er klar, vil de blive tilbudt nye patienter.

Brugere underrettet
Regionen har skrevet til de berørte patienter og pårørende/hjælpere, og også til de patienter, som lige nu er i behandling i FearFighter og NoDep og tilbudt dem andre muligheder for behandling.

Region Syddanmark har anmeldt sagen til Datatilsynet, og regionen har også orienteret Danske Regioner og de fire andre regioner.

  • Sikkerhedsbristen betyder, at navne, email og tilknytning til internetpsykiatrien for 139 patienter har været tilgængelige på den pågældende mail-konto i perioder på ni dage.
  • For yderligere to patienter har der også været oplysninger om selvmordtanker i de mails, der har været adgang til. For 78 hjælpere/pårørende har der været adgang til navne, email, patientens navn og det faktum, at de er pårørende til en, der deltager i et angstbehandlingsprogram.