Awareness · 5. maj 2026

Din receptionist er dit største GDPR-sikkerhedshul — og det er ikke hendes skyld

Datatilsynet advarer: det stigende antal databrud skyldes, at medarbejdere åbner phishing-mails. Ikke IT-systemerne. Ikke hackerne alene. Mennesker — uden træning, uden erfaring, uden viden om hvad de skal kigge efter. Det er ikke deres fejl. Det er dit ansvar som klinikejere.

Et hverdagsscenarie der ender med databrud

Scenarie Mandag morgen. Venteværelset er fyldt. Receptionisten har 3 telefoner i gang og en patient ved skranken. En email popper op: "Din MitID er midlertidigt suspenderet. Klik her for at bekræfte din identitet inden 24 timer."

Hun klikker. Indtaster sit brugernavn og kodeord. Siden ser legitim ud. Hun glemmer det igen — der er patienter der venter.

Tre uger senere opdager klinikken, at nogen har haft adgang til journalsystemet.

Dette er ikke et usandsynligt scenarie. Det er den mest almindelige måde databrud sker på i klinikker. Og det er fuldt ud forebyggeligt med den rigtige træning.

Hvorfor receptionisten er det primære mål

Cyberkriminelle ved, at receptionisten er den person i klinikken der:

Behandler flest emails fra ukendte afsendere (patienter, leverandører, forsikringsselskaber)
Har adgang til booking-, journal- og betalingssystemer
Typisk har mindst IT-erfaring af alle ansatte
Arbejder under tidspres og sjældent dobbelttjekker

Det er ikke fordi receptionisten er uansvarlig. Det er fordi hun aldrig er blevet vist, hvad hun skal kigge efter.

De 5 tegn på en phishing-mail — som din receptionist skal kende

Phishing-mails er designet til at udnytte to ting: hast og autoritet. De ser ud som om de kommer fra MitID, Microsoft, journalsystemet eller Datatilsynet. De skaber en falsk deadline. Og de beder om et klik eller et login.

Disse 5 tegn er de vigtigste at træne personalet i:

Afsenderadressen passer ikke — "support@mitid-verify.com" i stedet for mitid.dk
Urgency — "inden 24 timer", "din konto lukkes", "øjeblikkelig handling krævet"
Linket fører et andet sted hen — hold musen over linket og tjek URL'en inden klik
Der bedes om login-oplysninger — ingen legitim tjeneste beder om dit kodeord via email
Noget føles forkert — træn personalet i at stole på den fornemmelse og spørge en kollega

Datatilsynets advarsel

Datatilsynet offentliggjorde i november 2025 et sikkerhedstip specifikt om phishing og farlige filer i sundhedssektoren. Budskabet er klart: phishing er den primære årsag til databrud i klinikker — og træning er den primære løsning.

Kilde: datatilsynet.dk

Det er klinikkens ansvar — ikke personalets

Mange klinikejere tænker: "Mine ansatte burde vide bedre." Men GDPR-lovgivningen er klar: det er den dataansvarlige — det vil sige dig som klinikejere — der har pligt til at sikre, at medarbejderne er trænet og at træningen er dokumenteret.

Det er ikke nok at sende en email med "husk GDPR". Du skal kunne bevise, hvem der er trænet, hvad de er trænet i, og hvornår. Det er det Datatilsynet spørger om ved et tilsyn.

Sådan træner du personalet rigtigt

Effektiv awareness-træning for klinikpersonale skal opfylde tre kriterier:

Kort og konkret — 5–10 minutter, ikke 4-timers kurser. Personalet har patienter
Klinik-specifikt — eksempler med MitID, journalsystemer og patientdata — ikke generisk IT-sikkerhed
Testet og dokumenteret — en quiz efter modulet bekræfter forståelsen og skaber dokumentation

SikkerKlinik er bygget præcis til dette. Personalet gennemfører korte moduler på mobilen eller computeren, består en quiz, og systemet genererer automatisk en compliance-rapport du kan eksportere og vise Datatilsynet.

Kan du bevise at dit personale er trænet?

SikkerKlinik træner dit klinikpersonale i GDPR og phishing — og dokumenterer det automatisk. Gratis for klinikker med op til 5 medarbejdere.

Start gratis — ingen kort kræves →