Beretning om regionernes beskyttelse af sundhedsdata mod cyberangreb

20-01-2025
Beretning

Beretning nr. 9/2024

Beretningen handler om, hvad regionerne gør for at beskytte hospitalernes sundhedsdata mod cyberangreb. Sundhedsdata kan fx være journaler, prøvesvar og røntgenbilleder. 

Formålet med undersøgelsen er at vurdere, om regionerne i tilstrækkeligt omfang beskytter sundhedsdata i hospitalsvæsenet mod cyberangreb. Rigsrevisionen besvarer følgende spørgsmål i beretningen: 

  • Har regionerne et tilstrækkeligt grundlag for at beskytte sundhedsdata mod cyberangreb?
  • Har regionerne iværksat tilstrækkelige tiltag til at beskytte sundhedsdata mod cyberangreb?
  • Har regionerne et beredskab til at håndtere konsekvenserne af cyberangreb, der rammer de elektroniske patientjournaler? 

Rigsrevisionen vurderer, at regionernes indsats for at beskytte sundhedsdata ikke er helt tilfredsstillende. Regionerne har beskyttet sundhedsdata mod cyberangreb, men alle regioner kan forbedre deres beskyttelse. Regionerne har generelt gjort en indsats for at forhindre, at hackere opnår adgang til sundhedsdata, men har ikke gjort nok for at begrænse skaderne af cyberangreb i de tilfælde, hvor hackere er lykkedes med at opnå adgang til sundhedsdata. Konsekvensen er, at hackere har lettere ved at sprede deres angreb og potentielt sætte større dele af hospitalsvæsenet ud af drift. 

Rigsrevisionen har selv taget initiativ til undersøgelsen i december 2023.

Kort fortalt (PDF) Hele beretningen (PDF)

Statsrevisorernes bemærkning til beretningen

Den 20. januar 2025 behandlede Statsrevisorerne

Beretning nr. 9/2024 om regionernes beskyttelse af sundhedsdata mod cyberangreb

Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:

"Det danske sundhedsvæsen er blandt de mest digitale sundhedsvæsener i verden. Sundhedsdata, som før fandtes i fysiske papirjournaler, findes nu som digitale sundhedsdata, bl.a. i de elektroniske patientjournaler, som er et af sundhedspersonalets vigtigste værktøjer i hverdagen. 

Center for Cybersikkerhed vurderede i maj 2024, at truslen fra cyberkriminalitet og cyberspionage mod den danske sundhedssektor er meget høj. Et succesfuldt cyberangreb kan sætte hospitalernes kritiske it-infrastruktur ud af drift med den konsekvens, at patienter ikke kan få den nødvendige behandling. 

Formålet med undersøgelsen er at vurdere, om regionerne i tilstrækkeligt omfang beskytter sundhedsdata i hospitalsvæsenet mod cyberangreb. Vurderingen sker på baggrund af 15 konkrete vurderingskriterier, som Rigsrevisionen har defineret på baggrund af den internationale standard for informationssikkerhed ISO 27001 og vejledningen ”Cyberforsvar der virker” fra Center for Cybersikkerhed. 

Statsrevisorerne finder, at regionernes beskyttelse af sundhedsdata ikke er helt tilfredsstillende. Dermed er der risiko for, at følsomme og fortrolige sundhedsdata kommer i hænderne på uvedkommende eller ikke er pålidelige og tilgængelige, når der er brug for dem. 

Statsrevisorerne konstaterer, at regionerne generelt har gjort en indsats for at forhindre, at hackere opnår adgang til sundhedsdata. Alle regionerne har desuden forbedret deres cybersikkerhed i undersøgelsesperioden.

Statsrevisorerne bemærker følgende: 

  • Alle regionerne har politikker og retningslinjer for, hvordan de skal beskytte sundhedsdata.
  • Region Syddanmark og Region Hovedstaden mangler at vurdere, hvor kritiske de enkelte it-systemer er for hospitalsdriften.
  • Region Sjælland og Region Syddanmark har ikke fulgt samlet op på resultaterne af deres sårbarhedsskanninger på ledelsesniveau.
  • Region Sjælland mangler at udarbejde risikovurderinger og handleplaner for sikkerheden omkring sundhedsdata.
  • Alle regionerne har generelt iværksat tiltag, der skal forhindre, at hackere kan opnå adgang til regionernes netværk med sundhedsdata.
  • Alle regionerne på nær Region Hovedstaden anvender multifaktorlogin på netværksudstyret for at forhindre, at hackere opnår adgang til netværket.
  • Region Hovedstaden har ikke segmenteret netværket for at forhindre spredning af cyberangreb.
  • Alle regionerne har et beredskab til at håndtere konsekvenserne af cyberangreb, men dele af beredskabet er mangelfuldt i Region Midtjylland, Region Nordjylland og Region Syddanmark.
  • Alle regionerne har beredskabsplaner til at håndtere cyberangreb, der rammer de elektroniske patientjournaler, men Region Midtjylland og Region Syddanmark har ikke testet deres beredskabsplaner regelmæssigt.
  • Alle regionerne har taget backup af de elektroniske patientjournaler, men Region Nordjylland og Region Syddanmark har ikke i tilstrækkeligt omfang testet, om deres backup kan bruges til at reetablere de elektroniske patientjournaler ved nedbrud."

Beretningshistorik