Psykiatrifonden: Måneder inden bruddet blev opdaget — hvad din klinik kan lære
I november 2025 anmeldte Psykiatrifonden et databrud til Datatilsynet efter et angreb mod en tidligere samarbejdspartner. Navne, telefonnumre og CPR-numre på hundredvis af brugere var potentielt eksponeret — og det tog måneder at opdage. For en lille privatklinik ville konsekvenserne have været eksistentielle.
Månedergik der inden bruddet hos Psykiatrifonden blev opdaget og anmeldt til Datatilsynet.
Hvad skete der?
En tidligere samarbejdspartner til Psykiatrifonden blev angrebet. I angrebet var data eksponeret, der inkluderede navne, telefonnumre og CPR-numre på Psykiatrfondens brugere. Hverken Psykiatrifonden eller samarbejdspartneren opdagede bruddet med det samme — der gik måneder, inden det blev klart hvad der var sket, og inden Datatilsynet blev notificeret.
Bruddet er offentliggjort på Psykiatrfondens hjemmeside og er et eksempel på en af de mest udbredte typer databrud i sundhedssektoren: angreb mod underleverandører og samarbejdspartnere der har adgang til følsomme data.
GDPR artikel 33 kræver, at databrud anmeldes til Datatilsynet inden 72 timer efter opdagelse — medmindre bruddet er usandsynligt at medføre risiko for de berørte personers rettigheder og friheder. Forsinkelse er i sig selv en overtrædelse.
Hvad betyder "angreb mod en samarbejdspartner" for din klinik?
Din klinik bruger sandsynligvis en række it-systemer leveret af tredjeparter: dit journalsystem, dit bookingsystem, dit regnskabsprogram, din emailudbyder. Alle disse er potentielle angrebsflader — ikke kun dit eget netværk.
Under GDPR er du som dataansvarlig ansvarlig for at sikre, at dine databehandlere (dvs. leverandørerne) behandler data sikkert på dine vegne. Det kræver:
- Skriftlige databehandleraftaler med alle leverandører der behandler patientdata
- Viden om, hvad de gør med dataene og hvor de opbevares
- En procedure for, hvad du gør hvis en leverandør melder databrud
Hvad sker der, når du ikke opdager et brud i tide?
De juridiske konsekvenser af forsinkelse er alvorlige. Men den menneskelige konsekvens er måske endnu hårdere: at skulle kontakte dine patienter og fortælle dem, at CPR-nummer og kontaktoplysninger kan have været i fremmede hænder — og at det skete for måneder siden.
For en klinik der lever af patienternes tillid — en psykolog, en praktiserende læge, en tandlæge — er det en besked der kan ødelægge forretningen.
Hvad kan din klinik konkret gøre?
Du kan ikke forhindre alle angreb. Men du kan minimere risikoen og dokumentere, at du har truffet passende foranstaltninger. Det er præcis det GDPR artikel 32 kræver.
Start her:
- Træn dit personale — de fleste databrud starter med en menneskelig fejl: et klik på et phishing-link, en forkert modtager på en email, et delt kodeord
- Dokumentér træningen — hvem, hvad, hvornår. Det er det Datatilsynet spørger om
- Lav en brudprocedure — hvem kontaktes, hvad dokumenteres, hvornår anmeldes det
- Gennemgå dine leverandøraftaler — har du databehandleraftaler med alle?
Din klinik har ikke måneder til at opdage det
SikkerKlinik træner dit personale og genererer automatisk den GDPR-dokumentation Datatilsynet kræver. Gratis for klinikker med op til 5 medarbejdere.
Start gratis — ingen kort kræves →Kildehenvisning
Psykiatrifonden: Orientering om databrud.