Brugernavne og adgangskoder til systemer i sundhedssektoren lå frit tilgængelige på nettet

Dokumenter med brugernavne og adgangskoder til systemer i sundhedssektoren lå frit tilgængelige på nettet i et af Region Hovedstadens online dokumentstyringssystemer.

»Vi vil gerne være åbne og dele vores vejledninger med samarbejdspartnere og andre fagfolk udenfor regionen«. Fold sammen
Læs mere
Foto: Ólafur Steinar Gestsson

En lang række dokumenter, indeholdende adgangsgivende brugernavne og koder, har ligget frit tilgængelige i online dokumentstyringssystemet »VIP« hos Region Hovedstaden.

Enhver med kendskab til webadressen har såvel kunnet skaffe sig adgang til blandt andet hospitalsscannere og andet medicinsk udstyr på hospitaler, samt flere online-tjenester hos sundhedssektoren i Region Hovedstaden. Det skriver mediet Version2.

Det er en fejl, der bunder i forkert brug af dokumentstyringssystemet.

»Jeg vil gerne slå fast, at det ikke er meningen, at kodeord og brugernavne skal være offentligt tilgængeligt på VIP. Det er en fejl, og vi har nu gennemgået alle de dokumenter med adgangskoder og brugernavne, vi kunne finde, og lukket dem for offentlig adgang,« siger direktør i Region Hovedstadens Center for Sundhed, Anne Skriver Andersen, i et skriftligt svar til Version2.

Det er meningen, at enhver, der kender til webadresse, kan tilgå systemet uden brugernavn og adgangskode. Det kan de ved hjælp af et såkaldt anonymt login.

»Vi vil gerne være åbne og dele vores vejledninger med samarbejdspartnere og andre fagfolk udenfor regionen. Dette er dels vigtigt i relation til samarbejdet med Region Sjælland, hvor det fælles elektroniske journalsystem, Sundhedsplatformen forudsætter fælles guidelines. Men det er også vigtigt for os af hensyn til videndeling og samarbejde med sundhedspersoner i praksissektoren og kommunerne,« siger Anne Skriver Andersen til Version2.

Det er dog ikke meningen, at dokumenterne skal indeholde brugernavne og adgangskoder. At det ikke er godt nok, erkender Anne Skriver Andersen over for Version2.

»Vi har et ansvar for, at retningslinjerne for, hvad der skal ligge offentligt tilgængelig i VIP (systemet, red.), bliver fulgt. Version2s research har vist, at det desværre ikke altid er tilfældet. Det skal jeg være den første til at beklage,« siger Anne Skriver Andersen.

Selvom dokumentstyringssystemet ikke har givet adgang til helbredsoplysninger om borgere, strammer Region Hovedstaden nu op på IT-sikkerheden, der indtil nu har haltet.

»Jeg vil dog gerne understrege, at VIP ikke er et sundheds-it-system, der indeholder personfølsomme oplysninger som fx blodprøvesvar eller medicinordinationer. Derfor er VIP underlagt andre regler end fx Sundhedsplatformen,« siger Anne Skriver Andersen til Version2.

Hun gør opmærksom på, at de ikke oplevet, at systemet er blevet misbrugt på nogen måde. Desuden kan dokumentstyringssystemet fortsat tilgås med anonymt login.