Sikkerhedsbrud i FMK-Online vedr. MinLog
Borgere har potentielt kunnet se CPR-numre på de behandlere, der har set deres sundhedsoplysninger. Fejlen er rettet, og der er ikke noget, der tyder på, at muligheden er blevet brugt.
Kontakt
Det har i en periode været muligt for borgere at se CPR-numre på de sundhedsfaglige, der har set på eksempelvis borgerens medicin- eller vaccinationsoplysninger, hvis borgeren har tilgået MinLog servicen via FMK-Online.
Sundhedsdatastyrelsen beklager sikkerhedsbruddet, men understreger, at der ikke er noget der tyder på, at muligheden for at tilgå oplysninger skulle være blevet brugt. CPR-numrene har kun kunnet tilgås, hvis man som borger selv har slået en særlig visning for udviklere til i sin browser og derefter opdaget, at der indgik CPR-numre i koden.
Cirka 31.000 personer har været inde på MinLog det sidste år. Det kan ikke ses, om nogen borgere faktisk har brugt muligheden for at slå udvikler-visningen til.
Sårbarheden har vist sig at have eksisteret siden en systemændring i oktober 2020. Den blev opdaget ifm. overvejelser om en opdatering.
Hele koden i FMK-online.dk er for en sikkerheds skyld blevet gennemgået. Der er ikke fundet andre sårbarheder i løsningen.
Sikkerhedsbruddet er meldt til Datatilsynet efter gældende regler.