Cambridge University Hospitals utreder ett misstänkt dataintrång efter att omkring 40 anställda öppnat patientjournalen för en treårig pojke som vårdades efter en uppmärksammad incident på en djurpark i Cambridgeshire. NHS-stiftelsen har även anmält händelsen till den brittiska dataskyddsmyndigheten Information Commissioner’s Office (ICO) medan den granskar om samtliga anställda hade ett giltigt skäl att ta del av journalen.

Händelsen belyser den växande risken för insiderhot inom sjukvården. Trots stora investeringar i cybersäkerhet är obehörig åtkomst från anställda fortfarande en av de svåraste integritetsriskerna att förebygga.

Dataintrång följer uppmärksammat sjukvårdsärende

Räddningspersonal förde den treårige pojken till Addenbrooke’s Hospital efter att någon misstänks ha knuffat ner honom från en upphöjd utsiktsplattform ner i en krokodilinhägnad på en djurpark i Cambridgeshire.

Enligt uppgifter föll pojken cirka 4,5 meter innan minst en krokodil attackerade honom. Polisen grep kort därefter en 30-årig man misstänkt för mordförsök. Mannen släpptes senare mot borgen medan utredningen fortsätter.

När nyheten om händelsen spreds i Storbritannien och internationellt upptäckte sjukhuset att omkring 40 anställda hade öppnat pojkens patientjournal.

Cambridge University Hospitals granskar nu varje enskild åtkomst för att avgöra om journalen öppnades av legitima kliniska eller administrativa skäl.

Sjukhuset granskar personalens åtkomst till patientjournaler

NHS-stiftelsen uppger att den tillämpar strikta regler för att skydda konfidentiell patientinformation. Den betonar också att skyddet av patienters integritet är ett grundläggande ansvar för samtliga medarbetare.

En talesperson för sjukhuset säger att de flesta av organisationens omkring 13 000 anställda känner till dessa skyldigheter. Samtidigt kan arbetsgivaren inleda disciplinära åtgärder mot medarbetare som öppnar patientjournaler utan ett legitimt arbetsrelaterat skäl. I allvarliga fall kan det leda till avsked.

Sjukhuset anmäler dessutom misstänkta integritetsincidenter till ICO och informerar berörda patienter eller deras familjer när det är motiverat.

ICO: Nyfikenhet är inget giltigt skäl

Utredningen följer på ett annat uppmärksammat fall där patientjournaler som tillhörde prinsessan av Wales hanterades på ett otillåtet sätt.

Tidigare i månaden utfärdade ICO en formell varning till en vårdanställd som försökte sälja konfidentiell patientinformation för ekonomisk vinning.

Myndigheten har därefter påmint vårdpersonal om att tillgång till ett journalsystem inte automatiskt ger rätt att läsa patientjournaler.

I ett blogginlägg med titeln Curiosity is not an excuse varnade ICO utredningschef Paul Arnold för att uppmärksammade nyhetshändelser ofta leder till att personal söker efter patientjournaler utan ett legitimt behov.

Arnold betonade att vårdpersonal alltid måste ha ett giltigt kliniskt eller administrativt skäl innan konfidentiella journaler öppnas. Han påminde också om att obehörig åtkomst till personuppgifter är ett brott mot brittisk dataskyddslagstiftning.

Insiderhot fortsätter att utmana sjukvårdens cybersäkerhet

Externa hackare är inte det enda hotet mot sjukvården. Anställda som missbrukar sin behörighet kan exponera känslig patientinformation utan att kringgå några tekniska säkerhetskontroller.

Därför uppmanar tillsynsmyndigheter vårdgivare att stärka övervakningen av åtkomst, förbättra utbildningen för personal och identifiera misstänkt aktivitet innan den utvecklas till ett större dataintrång.

Utredningen vid Cambridge University Hospitals visar återigen att skyddet av patientjournaler kräver både starka cybersäkerhetssystem och ett ansvarsfullt agerande från alla som har tillgång till patientuppgifter.


0 svar till ”Sjukhus utreder dataintrång efter att personal öppnat barns patientjournal”