16.11.2023

Sikkerhedsbrud i FMK-Online vedr. MinLog

Borgere har potentielt kunnet se CPR-numre på de behandlere, der har set deres sundhedsoplysninger. Fejlen er rettet, og der er ikke noget, der tyder på, at muligheden er blevet brugt.

Det har i en periode været muligt for borgere at se CPR-numre på de sundhedsfaglige, der har set på eksempelvis borgerens medicin- eller vaccinationsoplysninger, hvis borgeren har tilgået MinLog servicen via FMK-Online. 

Sundhedsdatastyrelsen beklager sikkerhedsbruddet, men understreger, at der ikke er noget der tyder på, at muligheden for at tilgå oplysninger skulle være blevet brugt. CPR-numrene har kun kunnet tilgås, hvis man som borger selv har slået en særlig visning for udviklere til i sin browser og derefter opdaget, at der indgik CPR-numre i koden. 

Cirka 31.000 personer har været inde på MinLog det sidste år. Det kan ikke ses, om nogen borgere faktisk har brugt muligheden for at slå udvikler-visningen til.

Sårbarheden har vist sig at have eksisteret siden en systemændring i oktober 2020. Den blev opdaget ifm. overvejelser om en opdatering.

Hele koden i FMK-online.dk er for en sikkerheds skyld blevet gennemgået. Der er ikke fundet andre sårbarheder i løsningen. 

Sikkerhedsbruddet er meldt til Datatilsynet efter gældende regler.