Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata

15-11-2017

Beretning nr. 4/2017

Beretningen handler om, hvad 3 regioner – Region Syddanmark, Region Midtjylland og Region Ho­vedstaden – gør for at beskytte adgangen til it-systemer, der indeholder sundhedsdata om borgerne. Regionerne har ansvaret for at beskytte sundhedsdata, der indeholder følsomme persondata om bor­gernes helbred. Regionerne skal sikre, at disse data er fortrolige, men også at de er tilgængelige og pålidelige, så patienter kan få den rette behandling til den rette tid. 

Formålet med undersøgelsen er at vurdere, om de 3 regioner har en tilfredsstillende beskyttelse af ad­gangen til it-systemer og data, der er med til at sikre fortroligheden, tilgængeligheden og på­lidelig­heden af borgernes sundhedsdata. 

Rigsrevisionen vurderer, at beskyttelsen af adgangen til it-systemer og sundhedsdata ikke er tilfreds­stillende i de 3 regioner. Hermed er der en risiko for, at følsomme og fortrolige persondata kommer i hænderne på uvedkommende, og at vigtige sundhedsdata, der indgår i behandlingen af borgere i sy­ge­husvæsenet, ikke er pålidelige eller tilgængelige, når der er brug for dem. 

Rigsrevisionen har selv taget initiativ til undersøgelsen, der bygger på it-revisioner, som Rigsrevi­sio­nen har udført i 1. halvår 2017. 

Hele beretningen (PDF)

Statsrevisorernes bemærkning til beretningen

Den 15. november 2017 behandlede Statsrevisorerne

Beretning nr. 4/2017 om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata

Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:

"Center for Cybersikkerhed vurderer, at offentlige myndigheder i Danmark i stigen­de grad er truet af cyberangreb. Sundhedssektorens it-systemer er udsat for en specifik trussel. Fx har der i Danmark været flere angreb på sygehuse i Region Syddanmark, som kan have haft konsekvenser for patientbehandlingen. 

Regionerne har ansvaret for at beskytte sundhedsdata i Danmark. Beretningen handler om, hvordan 3 regioner – Region Syddanmark, Region Midtjylland og Region Hovedstaden – beskytter adgangen til it-systemer og sundhedsdata. 

Statsrevisorerne finder, at de 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata ikke er tilfredsstillende. Hermed er der risiko for, at følsomme og fortrolige persondata kommer i hænderne på uvedkommende eller ikke er pålidelige og tilgængelige, når der er brug for dem.  

Statsrevisorerne bemærker: 

  • At grundlæggende sikringstiltag mod hackerangreb ikke i tilstrækkelig grad er implementeret i nogen af de 3 regioner. Særligt kritisk er det, at 27.000 medarbejdere i Region Syddanmark har lokaladministratorrettigheder, da det øger risikoen for hackermisbrug.
  • At styring og kontrol af medarbejdere med privilegerede rettigheder er mangelfuld i alle 3 regioner, herunder at der er utilstrækkelig begrænsning af muligheder for at tilgå internettet, når der logges på med privilegerede rettigheder.
  • At Region Syddanmark og Region Hovedstaden har passwords til system- og servicekonti, der ikke har været skiftet i lang tid – op til 9 år – og passwords, der ikke lever op til god praksis.
  • At alle 3 regioners logningstiltag er mangelfulde, hvilket gør det vanskeligt at opdage og opklare hackerangreb og misbrug af rettigheder. Region Midtjylland har ikke implementeret nogen af de undersøgte logningstiltag, selv om regionen har udarbejdet en politik for området."

Rigsrevisionens notat af 4. april 2018

Rigsrevisionen følger i dette notat op på beretning nr. 4/2017 om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata. 

Notatet er baseret på en redegørelse fra sundhedsministeren og handler om de initiativer, som ministeren planlægger at iværksætte som følge af beretningen. 

Rigsrevisionen vurderer, at sagen kan afsluttes.  

Hele notatet (PDF)

Statsrevisorernes bemærkning til Endelig betænkning af 26. april 2018

Beretning nr. 4/2017 om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata

Sagen optages i Endelig betænkning 2017 som fortsat sag med følgende statsrevisorbemærkning:

"Statsrevisorerne konstaterer med tilfredshed, at Region Syddanmark, Region Midtjylland og Region Hovedstaden har iværksat en række tiltag, der skal beskytte adgangen til it-systemer og sundhedsdata. Der udestår dog enkelte tiltag. Henset til områdets væsentlighed og risiko har Statsrevisorerne anmodet Rigsrevisionen om at følge op på, at de udestående initiativer i de 3 regioner bliver implementeret."

Rigsrevisionens notat af 21. januar 2021

Rigsrevisionen følger i dette notat op på beretning nr. 4/2017 om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata.

Der er i notatet fulgt op på de 3 regioners implementering af de tiltag, hvor Rigsrevisionen påpegede mangler.

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om de 3 regioners arbejde med at nå i mål med hver deres sidste udestående tiltag. 

Hele notatet (PDF)

Rigsrevisionens notat af 14. november 2023

Rigsrevisionen følger i dette notat op på beretning nr. 4/2017 om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata. 

Der er i notatet fulgt op på følgende områder: 

  • Region Hovedstadens kontrol af medarbejdere med privilegerede adgangsrettigheder til it-systemer
  • Region Syddanmarks styring af internetadgang for medarbejdere med privilegerede adgangsrettigheder til it-systemer
  • Region Midtjyllands arbejde med at identificere sikkerhedshændelser eller misbrug af privilegerede adgangsrettigheder til it-systemer. 

Rigsrevisionen vurderer, at sagen kan afsluttes. 

Hele notatet (PDF)

Beretningshistorik