Det var en utilsigtet, menneskelig fejl, der var skyld i, at Sundhedsdatastyrelsen sidste år slettede alle sendte mails i mailboksene hos ansatte i Statens Serum Institut, Sundhedsdatastyrelsen og Koncern HR. Det konkluderer en ekstern undersøgelse, som revisionsfirmaet KPMG har foretaget af sagsforløbet omkring de slettede mails. Et forløb, som Sundhedsdatastyrelsen beklager meget.
Rapporten bekræfter det handlingsforløb, som styrelsen tidligere har redegjort for. Samtidig konkluderer KPMG, at hændelsesforløbet har været karakteriseret af en række alvorlige fejl. Blandt andet at det har været relativt let at slette alle sendte mails, og at det er kritisabelt, at styrelsen ikke havde kendskab til, hvor lang tid der var til at gendanne mails, før de blev slettet fra backuppen.
- Det er en sag, som vi er dybt ulykkelige over, og som vi ikke har håndteret godt nok. Vi formåede ikke at inddæmme konsekvenserne af den menneskelige fejl og var ikke systematiske nok i vores tilgang til at løse problemet, da mailene blev slettet. Her burde vi have stoppet op og dobbelttjekket, hvor lang tid vi havde til at genskabe de slettede mails, siger direktør i Sundhedsdatastyrelsen Lisbeth Nielsen.
KPMG fremhæver i rapporten, at hændelsen og dens håndtering skal ses i lyset af den ekstraordinære situation, som Sundhedsministeriets koncern, herunder Sundhedsdatastyrelsen, har været i som følge af en usædvanligt stor arbejdsbyrde i relation til COVID-19.
De fleste mails er gendannet
I rapporten kommer det også frem, at Sundhedsdatastyrelsen ved hjælp af en teknisk løsning er lykkedes med at genskabe 85-90 procent af de ansattes slettede mails siden januar 2020.
- Vi har brugt mange kræfter på at mindske konsekvenserne og genskabe de slettede mails. Derfor er vi også glade for, at det er lykkedes os at genskabe så mange af de slettede mails, siger direktør i Sundhedsdatastyrelsen Lisbeth Nielsen.
15 gode anbefalinger
KPMG fremlægger i rapporten 15 anbefalinger til, hvordan noget lignende kan forhindres i at ske igen.
- Vi sætter stor pris på de 15 anbefalinger fra KPMG. Otte af dem er direkte knyttet til hændelsen, og dem går vi i gang med at indføre. Det handler blandt andet om at etablere en yderligere backup, en auditlog og to administratorkonti. Vi har lært en hel del af sagen og forventer at kunne afslutte størstedelen af arbejdet inden sommerferien, så en beklagelig hændelse som denne ikke sker igen, siger direktør i Sundhedsdatastyrelsen Lisbeth Nielsen.
De syv resterende anbefalinger har et bredere og længerevarende sigte til at styrke it-sikkerheden i Sundhedsministeriets koncern. Dem går Sundhedsdatastyrelsen og Sundhedsministeriets koncern også i gang med at implementere - blandt andet som en del af en igangværende overgang til Statens It.
Læs KPMG's rapport her