info@alleslaegehus.dk
info@alleslaegehus.dk

Opdatering 23.01.25

Hackere har lækket flere personfølsomme oplysninger fra angrebet på alles Lægehus

Alles Lægehus har været udsat for et indbrud på virksomhedens servere, hvor kriminelle hackere har stjålet en afgrænset type af data. De kriminelle, der har angrebet IT-systemet, har stjålet tabeller indeholdende stamdata og har nu lækket en række personfølsomme data.

Lækket omfatter disse udvalgte tabeller fra vores systemer, som indeholder berørte personers stamdata – altså grundlæggende oplysninger om navn, telefonnummer, CPR, hvorvidt en patient har KOL eller diabetes. Vi bruger et anerkendt og sikkert system til håndtering af alle personoplysninger.

Det står dog med de nyeste oplysninger i sagen klart, at hackernes lækage indeholder udvalgte personfølsomme oplysninger, der ligger udover de førnævnte typiske stamdata. Disse oplysninger stammer fra de nævnte tabeller, hvor det sundhedsfaglige personale kan tage korte enkeltstående noter om den enkelte patient, hvis disse skønnes relevante af den enkelte sundhedsfaglige person.

Alles Lægehus ansatte arbejder ud fra samme praksis og retningslinjer for dokumentation i kliniksystemer, som landets øvrige lægepraksisser samt i overensstemmelse med de gældende retningslinjer på området. Den konkrete brug varierer mellem de enkelte sundhedspersoner.

Der pågår stadig en politimæssig efterforskning af det kriminelle angreb, og vi holder en tæt dialog med alle relevante myndigheder. Vi kan ikke give et fuldt overblik over, hvad der præcist er af oplysninger i disse skemaer. Vores patientdata inkluderer notater udarbejdet af vores eget personale samt historiske oplysninger, som vi har modtaget enten i forbindelse med, at en patient har skiftet til alles Lægehus fra en anden læge, eller når alles Lægehus har indgået samarbejde om driften af en klinik. Som sundhedspersoner er vi lovmæssigt forpligtet til at opbevare disse oplysninger i 10 år.

Vi arbejder i dialog med myndighederne på at klarlægge, hvad vi præcist kan oplyse nærmere om dette. Men vi kan sige, at det for langt størstedelen af de berørte personer gælder, at der ingen noter er i disse skemaer med følsomme oplysninger udover det, vi tidligere har oplyst. Det er herunder vigtigt at understrege, at det fortsat er gældende, at der ikke er tegn på, at hackerne har stjålet patientjournaler.

Vi har handlet ud fra at kunne kommunikere så hurtigt som muligt og helst direkte med alle berørte, så snart de præcise omstændigheder og tilgængelige informationer gav os mulighed for det. Vi har i vores tidligere kommunikation ikke være tilstrækkeligt opmærksomme på, at der kan have været praksis for at notere følsomme oplysninger i bemærkningsfeltet på en patients stamkort. Det er en fejl fra vores side, og det beklager vi dybt.

Dialog med myndigheder

Vi er i løbende dialog med myndighederne om, hvilken form for kommunikation direkte til de berørte, der er den rigtige – uden at vi optræder på en måde, som i sig selv kan bidrage til, at vi eller andre kompromitterer personfølsomme oplysninger. Derfor denne generelle kommunikation, som siden kan blive fulgt op med anden kommunikation, efterhånden som den fulde efterforskning af sagen når sine konklusioner. Vi er kede af sagen og dens påvirkning på alle berørte.

Vi har holdt en løbende dialog med Datatilsynet om sagens udvikling og vores tiltag målrettet kommunikation til de berørte personer. Vi vil i forlængelse heraf have et transparant samarbejde med Datatilsynet vedr. en fremadrettet undersøgelse af vores ageren i forløbet. Du kan læse mere om undersøgelsen og forløbet her: Undersøgelse af Alles Lægehus

Har du spørgsmål?

Hvis du har spørgsmål til, hvilke specifikke oplyser vi har i vores system om dig, bedes du kontakte os. Så har vi mulighed for at svare individuelt i overensstemmelse med reglerne om omgang for personfølsomme opløsninger.  Det kan i første omgang ske ved at kontakte os på data@alleslaegehus.dk.

Vi behandler alle henvendelser grundigt og fortroligt, der kan derfor godt være ventetid, før man modtager svar.

Du skal være særligt opmærksom - hvad kan du gøre?

Politiet har offentliggjort en pressemeddelelse med råd og vejledning til, hvordan du som berørt bedst forholder dig, denne findes her: Efter datalæk hos alles Lægehus: Vær ekstra opmærksomme på svindel med brug af personlige oplysninger | Nyheder | Syd- og Sønderjyllands Politi

Opdatering 07.01.2025:

Kære alle

Vi har sendt brev via e-boks brev vedrørende det tyveri af data fra alles Lægehus, som kriminelle har gennemført. Vi har fået en række spørgsmål, og dem vil vi gerne dele svar på nedenfor. Modtagere af brevet fra os, vil ligeledes modtage denne information i forlængelse af det første brev.

Spørgsmålene drejer sig særligt om, hvorfor personlige oplysninger er registreret i vores systemer.

Hvorfor har vi sendt brevet til dig?

Vi har sendt brevet til alle personer i vores databaser. Alles Lægehus er ved lov forpligtet til i ti år at opbevare personoplysninger om alle, der har haft en sundhedsmæssig kontakt til os. Der har i offentligheden været nævnt eksempler på personer, der undres over, at de er blevet kontaktet, da de ikke er patienter hos os.

Der kan være forskellige grunde til, at vi har dine personoplysninger registreret i vores systemer. De vigtigste følger her:

Hvorfor står der “din arbejdsgiver” som afsender i beskeden?

Vi har brugt et system til masseudsendelse af sikre beskeder via e-Boks for at få information ud til alle relevante modtagere hurtigst muligt. Grundet vores opsætning stod der fejlagtigt ”Din arbejdsgiver” som afsender på beskeden til en række patienter, der fik brev fra os, herunder dig.

Vi forsikrer dig samtidig om, at beskedens indhold var korrekt – og beklager fejlen samt den forvirring, det måtte have skabt.

Vi vil gerne understrege, at sådanne fejl ikke skyldes manglende sikkerhed i e-Boks – men at vores førsteprioritet har været at få et brev ud til alle registrerede i vores systemer hurtigst muligt.

Har du spørgsmål?

Hvis du har spørgsmål eller tvivl, er du meget velkommen til at kontakte os på data@alleslaegehus.dk. Vi vil hjælpe med svar og konkret information om opbevaring af data m.m. Vi behandler alle henvendelser grundigt og fortroligt, men det betyder også, at der kan gå nogle dage, før du modtager svar.

Opdatering 05.01.2025:

Kære alle

Vi har sendt beskeder via e-Boks direkte til alle patienter i vores databaser om det kriminelle hacker-angreb på vores servere. Der kan dog godt være lidt leveringstid på beskeden. I beskeden finder du information om, hvilke data, der er berørt, og hvordan du skal forholde dig.

De stjålne oplysninger omfatter:

  1. Navn, adresse, telefonnummer og mailadresse.
  2. CPR-nummer.
  3. I nogle tilfælde særlige oplysninger, f.eks. om man er KOL- eller diabetespatient.

Vigtigt: Der er ingen tegn på, at journalnotater er stjålet.

Hvad betyder dette for dig?

Vi kan desværre ikke udelukke, at dine oplysninger kan blive forsøgt misbrugt. Kriminelle kan f.eks. bruge oplysningerne til at sende falske mails, hvor de prøver at få flere personlige oplysninger om dig.

Vi har dog indtil videre ikke fundet tegn på, at oplysningerne er blevet offentliggjort eller misbrugt.

Hvad gør alles Lægehus?

Vi arbejder tæt sammen med eksperter og myndigheder for at undersøge hændelsen og forsøge at begrænse skaden, sikre vores systemer og beskytte oplysninger fremadrettet.

Hvad kan du gøre lige nu?

Det er vigtigt, at du er særlig opmærksom på, om du modtager mistænkelige mails eller SMS’er, hvor afsenderen ser ud til at udgive sig for at være alles Lægehus, myndigheder eller andre.

Du kan finde rådgivning på bl.a. www.sikkerdigital.dk, hvor disse links er særligt relevante:

Hvad har alles Lægehus gjort indtil nu?

Vi er meget kede af situationen og vi tager al kritik alvorligt. Vi har fra begyndelsen gjort alt, hvad vi kunne for at håndtere hændelsen med den største alvor.

Ofte stillede spørgsmål:

Jeg er ikke patient – hvorfor har jeg modtaget en besked?

Du kan have besøgt en af vores klinikker tidligere, f.eks. ved akut behov for lægehjælp ifm. ferie eller lign.

Hvorfor opbevarer I mine oplysninger?

Som sundhedspersoner er vi ved lov forpligtet til at opbevare patientoplysninger i mindst 10 år. Det gælder også for borgere, der blot i enkelte tilfælde har kontaktet vores klinikker fx for rådgivning, enkeltstående lægehjælp i forbindelse med en ferie og for patienter, der ikke længere er tilknyttet klinikken.

Hvorfor står der “din arbejdsgiver” som afsender i beskeden?

Vi har brugt et system til masseudsendelse af sikre beskeder via e-Boks for at få information ud til alle relevante modtagere hurtigst muligt. Grundet en fejl i opsætningen stod ”Din arbejdsgiver” som afsender på beskeden til den første gruppe, der fik brev fra os. Så snart vi opdagede fejlen, bremsede vi den videre masseudsendelse. Herefter overgik vi til manuel udsendelse til hver enkelt modtager – altså den resterende gruppe, som på det tidspunkt endnu ikke havde fået tilsendt vores brev. Alle i denne sidste gruppe vil dermed modtage vores brev med den korrekte afsender.

Da vi opdagede fejlen, var vores første prioritet at sikre at færdiggøre den manuelle udsendelse af beskeden til de resterende modtagere. Efter det er sket, påbegynder vi en udsendelse med en opfølgende meddelelse til de patienter, som har modtaget første brev med den forkert angivet afsender: ”Din arbejdsgiver”. I den opfølgende meddelelse gør vi opmærksom på den fejl, der er sket. Vi forsikrer samtidig modtageren om, at beskedens indhold er korrekt – og beklager fejlen samt den forvirring, det måtte have skabt.

Hvorfor modtager jeg beskeden senere end andre?

Vi har været nødt til at sende beskeder manuelt i mindre grupper for at sikre, at den korrekte afsender fremgik. Det har medført forskelle i leveringstiden.

Hvem kan jeg kontakte med spørgsmål?

Du kan kontakte os på data@alleslaegehus.dk.

For generelle spørgsmål om, hvordan vi håndterer personoplysninger, kan du skrive til vores databeskyttelsesrådgiver på gdpr@wecarehld.dk.

Du har også mulighed for at klage til Datatilsynet, hvis du er utilfreds med vores håndtering. Kontaktoplysninger findes på datatilsynet.dk.

Hvis du har spørgsmål eller tvivl, så tøv ikke med at kontakte osSå vil vi hjælpe med svar og konkret information om opbevaring af data m.m. Vi behandler alle henvendelser grundigt og fortroligt. Det betyder også, at der godt kan være ventetid, før man får svar på en henvendelse.

Kontakt til klinikken:

Når du er i kontakt med klinikken, enten telefonisk eller under din konsultation, står vores personale klar til at hjælpe dig med sundhedsfaglige spørgsmål.

Vi gør dog opmærksom på, at vores klinikpersonale ikke kan besvare spørgsmål om IT-hændelsen eller databehandling. De vil derfor henvise dig til at kontakte os på data@alleslaegehus.dk, hvor de rette fagpersoner vil tage sig af dine spørgsmål.

Vi beder venligst om, at spørgsmål vedrørende hændelsen rettes direkte til denne mail, så vores klinikpersonale kan fokusere på at hjælpe patienter med deres sundhedsfaglige behov. Tak for din forståelse.

Vi beklager dybt den ulejlighed, denne hændelse har forårsaget.

Med venlig hilsen

Alles Lægehus


Orientering vedr. IT-sikkerhedshændelse, 30.12.2024

Alles Lægehus oplevede den 9. december et IT-nedbrud, som midlertidigt påvirkede driften. Vi reagerede straks ved at aktivere vores nødberedskab, som har sikret, at vi har kunnet opretholde kritiske og akutte funktioner.

Vi samarbejder med en professionel leverandør om vores IT og hosting af vores servere, og vi har siden nedbruddet arbejdet med egne og eksterne IT-eksperter på at afdække årsagen og omfanget. Vi har konstateret, at hændelsen skyldtes et kriminelt angreb på vores servere.

Vi ser på situationen med stor alvor og har anmeldt sagen til Datatilsynet og politiet. Vi samarbejder med politiet for at afdække hændelsen og søge at identificere de ansvarlige.

Vi følger løbende udmeldingerne fra Center for Cybersikkerhed og er fuldt bevidste om det høje trusselsniveau for angreb fra cyberkriminelle i Danmark. Vi følger best practice for IT-sikkerhed og implementerer løbende foranstaltninger for at styrke vores systemer og sikkerhed. Samtidig må vi erkende, at selv omfattende sikkerhedsforanstaltninger ikke kan garantere beskyttelse mod meget ressourcestærke kriminelle grupper.

I forbindelse med det kriminelle angreb er vi blevet udsat for tyveri af data. Vi arbejder fortsat på at afklare omfanget og kan endnu ikke præcist sige, hvor mange patienter og medarbejdere, der er berørte. De berørte vil blive kontaktet direkte, så snart vi har et fyldestgørende overblik. Vi holder samtidig en tæt dialog med myndighederne om sagens udvikling.

Vi er kede af sagen og dens påvirkning på alle berørte. Vi forstår, hvis det kan give anledning til spørgsmål fra patienter og pårørende.

Hvad betyder det for mig?

Det kriminelle angreb har omfattet persondata fra patienter og medarbejdere. Vi undersøger fortsat omfang, hvis dine oplysninger er berørt, vil du modtage direkte besked fra os i din E-boks med mere information.

Vi har oprettet en mail, hvor vi står klar til at besvare spørgsmål. Du kan kontakte denne på data@alleslaegehus.dk.

Vejledning og gode råd

Vi anbefaler, at du for en sikkerheds skyld gør dig bekendt med gode råd fra Sikker Digital, som kan være relevante i denne situation.

Du kan finde deres vejledning ift. CPR-oplysninger her: Vejledning

Derudover tilbyder Sikker Digital også rådgivning, som er tilgængelig for alle borgere.

Du kan læse mere og finde kontaktoplysninger her: Cyberhotline