Cambridge University Hospitals etterforsker et mulig datainnbrudd etter at rundt 40 ansatte fikk tilgang til pasientjournalen til en tre år gammel gutt som ble behandlet etter en mye omtalt hendelse ved en dyrehage i Cambridgeshire. NHS-stiftelsen har også varslet Storbritannias datatilsyn, Information Commissioner’s Office (ICO), mens den undersøker om alle de ansatte hadde en gyldig grunn til å åpne journalen.

Saken understreker den økende risikoen for innsidetrusler i helsesektoren. Selv om sykehus investerer betydelige ressurser i cybersikkerhet, er uautorisert tilgang fra ansatte fortsatt en av de vanskeligste personvernrisikoene å forhindre.

Datainnbrudd følger etter profilert sykehussak

Ambulansepersonell fraktet den tre år gamle gutten til Addenbrooke’s Hospital etter at noen angivelig dyttet ham fra en hevet utsiktsplattform ned i en krokodilleinnhegning ved en dyrehage i Cambridgeshire.

Ifølge rapportene falt gutten rundt 4,5 meter før minst én krokodille angrep ham. Politiet pågrep kort tid senere en 30 år gammel mann, mistenkt for drapsforsøk. Han ble senere løslatt mot kausjon mens etterforskningen fortsatte.

Da nyheten om hendelsen spredte seg i Storbritannia og internasjonalt, oppdaget sykehuset at rundt 40 ansatte hadde åpnet guttens pasientjournal.

Cambridge University Hospitals gjennomgår nå hver enkelt tilgang for å avgjøre om journalen ble åpnet av legitime kliniske eller administrative årsaker.

Sykehuset gransker ansattes tilgang til pasientjournaler

NHS-stiftelsen opplyser at den følger strenge regler for å beskytte konfidensiell pasientinformasjon. Den understreker også at ivaretakelse av pasientenes personvern er et grunnleggende ansvar for alle ansatte.

En talsperson for sykehuset sier at de fleste av organisasjonens rundt 13 000 ansatte kjenner disse forpliktelsene. Samtidig kan ledelsen innlede disiplinære tiltak mot ansatte som åpner pasientjournaler uten en legitim arbeidsrelatert grunn. I alvorlige tilfeller kan det føre til oppsigelse.

Sykehuset melder også mistenkte personvernbrudd til ICO og informerer berørte pasienter eller deres familier når det er aktuelt.

ICO: Nysgjerrighet er ingen gyldig grunn

Etterforskningen følger en annen nylig personvernsak som involverte pasientjournalene til prinsessen av Wales.

Tidligere denne måneden ga ICO en formell advarsel til en helsearbeider som forsøkte å selge konfidensiell pasientinformasjon for økonomisk vinning.

Tilsynsmyndigheten har siden minnet helsepersonell om at tilgang til et journalsystem ikke automatisk gir rett til å lese alle pasientjournaler.

I et blogginnlegg med tittelen Curiosity is not an excuse advarte ICOs etterforskningsdirektør Paul Arnold om at store nyhetssaker ofte fører til at ansatte søker opp pasientjournaler uten et legitimt behov.

Arnold understreket at helsepersonell alltid må ha en gyldig klinisk eller administrativ grunn før de åpner konfidensielle journaler. Han minnet også om at uautorisert tilgang til personopplysninger er straffbart etter britisk personvernlovgivning.

Innsidetrusler utfordrer fortsatt helsesektorens cybersikkerhet

Eksterne hackere er ikke den eneste trusselen mot sykehus. Ansatte som misbruker sin legitime systemtilgang kan eksponere sensitiv pasientinformasjon uten å omgå tekniske sikkerhetskontroller.

Derfor oppfordrer tilsynsmyndighetene helseorganisasjoner til å styrke overvåkingen av systemtilganger, forbedre opplæringen av ansatte og oppdage mistenkelig aktivitet før den utvikler seg til et større datainnbrudd.

Etterforskningen ved Cambridge University Hospitals viser nok en gang at beskyttelse av pasientjournaler krever både sterke cybersikkerhetstiltak og ansvarlig opptreden fra alle som har tilgang til pasientopplysninger.


0 responses to “Sykehus gransker mulig datainnbrudd etter at ansatte åpnet barns pasientjournal”