En fejl i Region Syddanmarks udkaldssystem for akut- og førstehjælpere har medført, at ellers fortrolige oplysninger om 15.000 opkald til 112, 2.300 akut- og førstehjælpere samt ejere af hjertestartere har været offentligt tilgængelige. Systemet har været anvendt siden 2015, og fejlen blev først rettet i denne måned.
Det er Region Syddanmark selv, som har konstateret et alvorligt sikkerhedsbrud i regionens udkaldssystem til akut- og førstehjælpere. Udkaldssystemet har været i brug i Region Syddanmark siden september 2015, og fejlen blev rettet 6. februar 2023.
Der er tale om det udkaldssystem til akuthjælperordninger og førstehjælpere, som er blevet anvendt under projektet Danmark Redder Liv. Projektet er efterfølgende blevet afløst af hjerteløberordningen, som ikke er omfattet af fejlen.
Systemet indeholder oplysninger om ca. 2.300 akut-og førstehjælpere, ca. 15.000 hændelser (borgere) samt ejere af hjertestarter i Region Syddanmark.
Gav adgang til hemmelig nøgle
Fejlen bestod i, at man ved at tilgå en bestemt URL – webadresse – fik mulighed for at få vist en konfigurationsfil, der indeholdt en hemmelig nøgle, som tidligere blev anvendt til kommunikation internt mellem systemets enheder. Hvis denne nøgle blev føjet til URL’en, gav det adgang til systemets data uden brugernavn og kode.
For borgerne omfatter de data, der har været offentligt tilgængelige, oplysninger om 112-udkald med involvering af førstehjælpere i perioden medio 2017 til ultimo april 2020, hvor borgere har haft et medicinsk hjertestop/nær-ved-hjertestop i Region Syddanmark. Hertil kommer 112-udkald med involvering af akuthjælpere i perioden 2015 til januar 2023. Her har der været adgang til oplysninger om hændelsens adresse, hændelsesbeskrivelse samt i nogle tilfælde borgerens alder, køn og helbredsoplysninger.
Alle akut- og førstehjælpere i Region Syddanmark, der på et tidspunkt har anvendt Akutudkald-appen, og som har været involveret i en opgave, er også omfattet af sikkerhedsbruddet. Her har der været adgang til for- og efternavn, kontaktoplysninger og hændelsesadressen.
Herudover omfatter sikkerhedsbruddet hjertestarterejere i Region Syddanmark, der har tilmeldt deres hjertestarter i det landsdækkende hjertestarternetværk fra september 2015 til 6. februar 2023. De oplysninger, som har været offentligt tilgængelige, har været unikt ID for hjertestarternes placering til internt brug i systemet, hjerterstarterens adresse, hjertestarterens model, hjertestarterens ejer, kode til adgang til en eventuel lås ved hjertestarterens placering, telefonnummer til kontaktperson for hjertestarteren, nummer på skabet, som hjertestarten er placeret i, og redigeringsmulighed for, om hjertestarter var aktiv eller ej.
”Er du blandt de omtalte borgere, akut-/førstehjælpere eller ejere af hjertestartere, har der altså været risiko for, at andre end dem, der skulle håndtere kontakten, har haft adgang og kendskab til dine personoplysninger. Bliver du kontaktet af mennesker, der siger, de har dine personlige oplysninger, skal du derfor kontakte de rette myndigheder og anmelde det”, lyder opfordringen fra Region Syddanmark.
