De senaste veckorna har ett 15-tal patienter hos Region Östergötland fått information via brev om att de blivit utsatta för misstänkt dataintrång.
– När det här upptäcktes agerade vi med en gång. Vi har nolltolerans mot dataintrång och ser allvarligt på det här, säger Rickard Lundin, säkerhetschef inom Region Östergötland.
Det misstänkta intrånget bestod i att en anställd vid en avdelning gått in och läst läkarjournaler som hen inte hade rätt att läsa. Den anställda ska även ha gått in och tittat på patientjournaler från andra avdelningar.
– När det upptäcktes tog vi kontakt med den anställda. Då valde personen självmant att avsluta sin tjänst, säger Rickard Lundin.
Hur kan det här hända?
– Vi följer lagarna och har arbetssätt för att upptäcka misstänkta dataintrång. Samtidigt har vi ju personal på sjukhusen och vårdcentraler som måste kunna komma åt den här informationen, säger Rickard Lundin.
Hur ofta händer det att anställda slutar på grund av misstänkt dataintrång?
– Under den perioden jag varit säkerhetschef, ett drygt år, har det inte inträffat.
Har ni polisanmält det inträffade?
– Vi har gjort bedömningen att det är patienterna som är målsägande i det här fallet. De får själva avgöra om de vil polisanmäla. Det faktum att personen inte längre jobbar kvar förhindrar dessutom nya fall.
Polisen bekräftar att det i slutet av förra veckan kom in en anmälan om dataintrång. Vi har pratat med en av de 15 personer som ska ha drabbats.
– Det här är mycket obehagligt och kränkande. Att det dessutom ska ha skett så många gånger är ju obegripligt. Den här informationen borde ha varit spärrad, säger personen till oss.
Det misstänkta intrånget ska ha pågått under månaderna april, maj och juni i år. Totalt ska det röra sig om över 30 tillfällen, ibland tio gånger om dagen. Patienten som vi pratat med tycker det är bra att den anställda inte längre är kvar i tjänst.
– Men det är ju uppenbart att det finns säkerhetsbrister i regionens system när sånt här kan hända. Det känns lite som om de vill skydda sig själva.
Rickard Lundin:
– Beslutet om att informera togs tidigt i processen. Vi valde information via brev för att ge informationen samtidigt till de drabbade individerna. Vi har erbjudit kontakt med verksamhetschef vid berörd klinik och dataskyddsombud för de som haft frågor efter att de mottagit brevet.