BA: I tillegg til namn, adresse og fødselsnummer var òg informasjon om talet på foster, terminar, barselforlaup og detaljar frå sjølve fødselen tilgjengelege for 40.000 tilsette.
Dette galdt over 2600 fødslar på Kvinneklinikken og Voss sjukehus mellom juni og november 2022.
I kvar sak er det òg registrert informasjon som gjeld mor, barn og eventuelt òg far eller medmor.
– Dette er alvorleg. Denne informasjonen er sensitiv for dei det gjeld, om dei hamnar i feil hender, seier Cathrine Vånge Singstad, ekspert i datatryggleik og personvern.
Dei råka er ikkje informerte.
– Årsaka til dette er at me vurderer det som lite sannsynleg at informasjon har kome på avvegar eller vorte forsøkt misbrukt på nokon måte, skriv fagdirektør Marta Ebbing i Helse Bergen i ein e-post til BA.
– Konfigurasjonsfeil
På grunn av ein feil i konfigurasjonen då eit nytt filområde vart etablert juni 2022, har informasjon om fødande vore tilgjengeleg for tilsette i heile Helse Vest. Ein internkontroll avdekte feilen fem månader og sju dagar seinare.
Filene var lagra på eit filområde etablert for å støtta opp under teknisk funksjonalitet i fagsystemet Natus, vert det opplyst.
Desse hadde tilgjenge
På førespurnad frå BA har Helse Bergen lista opp alle føretaka og samarbeidspartnarane som hadde tilgjenge til dette filområdet:
- Helse Bergen
- Helse Fonna
- Helse Førde
- Helse Stavanger
- Helse Vest IKT
- Helse Vest RHF
- Sjukehusapoteka Vest
- Betanien sykehus
- Haraldsplass Diakonale Sykehus
- Haugesund Sanitetsforenings Revmatismesykehus
- NKS Jæren distriktpsykiatriske senter
- NKS Olaviken alderspsykiatriske sykehus
- Solli Distriktspsykiatriske Senter - NKS Bjørkeli
Sjukehusinnkjøp HF divisjon Vest og eventuelle andre kundar av Helse Vest IKT AS kjem i tillegg.
Det er snakk om kring 40.000 tilsette samanlagt.
– Har ikkje motteke klagar
Helse Bergen seier til BA at dei ikkje trur at uvedkomande kan ha fått tilgjenge til opplysningane.
– For å få tilgjenge til filene, måtte ein leita aktivt etter informasjon i kompliserte filstrukturar. Alternativt ville ein måtta bruka særskilde verkty for dette føremålet, skriv fagdirektøren.
Ho legg til at for å finna informasjon om einskildpersonar, ville det i tillegg vera naudsynt å søkja gjennom større mengder med filer, og at det ikkje dreiar seg om eit filområde som helsepersonell bruker for den vanlege utføringa av arbeidsoppgåvene sine.
– Korleis kan de vera sikre på at uvedkomande ikkje har vore inne, når det vert opplyst at det ikkje var loggføring på dette filområdet?
– Ein kan aldri verta 100 prosent sikker, men me er sikre nok til å ikkje føretaka oss noko meir her, svarer Ebbing.
Korona-listen: Slik samlet Bergen kommune informasjon om 120.000 bergensere uten å fortelle om det
Fire liknande avvik i 2022
I ei avviksmelding til Datatilsynet vart det opplyst at feilen vart oppdaga etter ei skanning etter filområde med manglande tilgangsstyring.
Det vert òg vist til at Helse Vest i dei seinare åra har vorte kjende med fleire liknande avvik.
Ebbing opplyser til BA at Helse Bergen i 2022 varsla Datatilsynet om fire slike saker, i tillegg til denne.
– Felles for dei aktuelle sakene var at avvik var knytte til manglande tilgangsstyring og at feil kunne knytast til forvaltinga av tenesta. Me har ikkje grunn til å tru at personopplysningar har kome på avvegar eller har vore forsøkt misbrukte i nokre av desse sakene, skriv ho.
Ebbing opplyser vidare at arbeidet med å avdekkja og lukka avvik med manglande tilgangsstyring, er under kontroll.
Trugsmål frå innsida
– Informasjon om fødande er sårnæm informasjon og noko ein stolar på at er verna, seier Cathrine Vånge Singstad, partnar og rådgjevar i Otte.
Ho har jobba i mange år med digital tryggleik, personvern og teknologi, og peikar på at tilgangsstyring og loggføring er to viktige verkty for datatryggleiken.
På spørsmål om kor alvorleg denne bresten i tryggleik er, seier ho det ikkje er mogleg å rekna seg fram til, då det ikkje var noka form for loggføring på dette filområdet.
Singstad påpeikar at trugsmålet om verksemd frå innsida er eit av hovudområda som vert trekte fram i ein årleg, nasjonal risikorapport som kom frå Nasjonal sikkerhetsmyndighet i førre veke.
– Det er viktig at verksemder tenkjer over kven som faktisk treng tilgjenge til kva, for å kunna gjera jobben ein skal. Omdøme og tillit er veldig viktige.
– Helse Bergen melder om fire tilsvarande avvik i tillegg til dette i 2022, er det urovekkjande?
– Dei viser ansvar ved at dei finn og faktisk varslar om dette. Det er verre med situasjonane som ikke vert oppdaga, dei kan ein iallfall ikkje handtera. Saker som dette aukar medvitet og set tryggleik på agendaen, rosar ho.
Avslutta saka
Hjå Datatilsynet opplyser kommunikasjonsdirektør Janne Stang Dahl i ein e-post at dei har lukka saka etter å ha registrert avviket.
– Grunnen er at opplysningane er lagra i sikre system innanfor brannmuren. Helse Bergen vurderer det òg som lite sannsynleg at sensitiviteten kan ha vorte utnytta.
– Har de føreteke nokre undersøkingar eller vurderingar i saka frå dykkar side?
– Me vurderte berre avviket som dei sjølv sende inn, og avslutta saka på grunn av at utgreiinga kom fram i meldinga.
