Besværlig it jager læger væk fra sikker e-mail

Tak for svar, Jan Heisterberg.

Hvor svært kan det egentligt være at indkøbe en mailklient som simpelthen ikke kan sende mail til andre personer i regionen uden at de er sikret. Det kan godt være at man må vælge vennerne i M$ fra, men funktionen er så vigtig at der også må ses bort fra nogle af de mere smertefri integrationer med andet software.

@Anne-Marie Krogsbøll Dit spørgsmål er absolut relevant og der er ikke eet og et simpelt svar.

Mange af de involverede "myndigheder" svarer, som jeg har forsøgt at skrive, på et højt, abstrakt niveau - højt hævet med fødderne frit plantet i blå luft - istedet for at vurdere risici og gå efter de oftest forekommende fejl, mangler og ricisi.

Hvis du læser om episoder med datasikkerhed, så vil du finde et antal, simple, lavpraktiske fejl - lige fra at bevare standard kodeord som "admin" og "1234" (kunne det ske i en lægepraksis) til at svare på åbenlyst falske e-mails ("Hello, there is an error on your computer .....") eller ikke at benytte virus-checker. Og så skal man ikke tro en fax er sikker ! Hvad sker hvis nummeret tastes forkert ? Eller der sendes en falsk besked om "vi har fået ny fax ....".

Så lad os gå efter de simple fejl, de lettere løsninger INDEN vi kaster os over svære løsninger på kabel-tap og aflytning af telefoner og fax. Den menneskelige faktor er absolut den største risikofaktor.

Men det ændrer ikke det forhold, at kompetente it-afdelinger hos lægers organisationer, lægers it-leverandører og i regionerne BURDE tænke sikkerhed ind overalt - på en brugervenlig måde = ingen gener (og det ER muligt).

Thue Kristensen.

Ja, det var det, jeg tænkte. Nu er det nok de færreste systemadministratorer, der er de rene BOFH's , de allerfleste er garanteret pålidelige. Jeg ser bare endnu et eksempel på, at det offentlige system, her eksemplificeret i Datatilsynet og ledelsen i Lægeforeningen (Ok- ikke helt offentlig), ikke tager sine egne hensigtserklæringer om sikring af persondata alvorligt.

For man kan jo, som jeg forstår det, der er skrevet her om dette, ikke på den ene side tordne om, at det absolut kun må være de relevante personer, der kan tilgå følsomme persondata, og så på den anden side lukke øjnene for, at interne mailsystemer i sygehusvæsnet (systemer, som jo omfatter hele regioner) ikke kun tillader adgang for relevante personer.

Det er jo sådanne ting, der gør, at man efterhånden mister tilliden til myndighederne på dette område.

Det er i diskussionen vigtigt at gøre sig klart hvad "man" vil sikre sig mod.

Er det den sofistikerede hacker/spion som lytter på kablerne eller skaffer sig adgang til serverrum ? eller Er det den betroede medarbejder som stjæler informationen ? eller Er det den nysgerrige / betalte 3.part som snager i oplysningerne ?

Den sidste er nok den oftest forekommende, her fås adgang gennem dårlige passwords, delte passwords eller dårlige rutiner (manglende logoff).

Meget ville kunne vindes hvis "bare" systemerne var brugervenlige mht. logoff/logon, herunder acceptabel kort svartid ved logon / single logon. Det findes f.eks. på min private PC med fingeraftryk.

Skal vi gå videre med kryptering osv. ? I princippet, men lad os lige plukke de lavthængende frugter først - som måske ikke hænger så lavt grundet håbløse it-afdelinger hos de involverede parter og delt ansvar mellem mange parter.

Er der en løsning ? Jo, da. Een magtfuld direktør med beføjelser til at sige "skal". Husk lige: det er os ALLE SAMMEN som betaler - også for elendigheden.

Jep. Og deri ligger der et sikkerhedsproblem. De data - tror jeg - der her tænkes på er ikke af en art der gør at de skal deles med en systemadministrator. Hverken bevidst eller ved en utilsigtet hændelse.

Fremragende og simple løsning. Mailadressen er obligatorisk ved bestilling af en NemID Medarbejdersignatur. Dvs. den oplysning fndes allerede hos CAen. Om den så vises i x509 certet er op til bestilleren og organisationen bagved. I nogen danske sygehusregionen vælger man bevist ikke at have vist brugerens mailadresse. Er helt sikker på at der kan findes en metode til at håndtere dette hos CAen.

Var der en gansk udemærket webmail funktion på sundhed.dk... Og hvis man havde udnyttet den nemid sikrede adgang så den kunne fungere som gateway mellem de lægelige fag systemer (hospitaler pleje personale og speciallæge praksis ect) og borgerene.

Det der var en rigtig god del af den funktion var den opdaterede adresseliste og mulighed for at sende til patienter via deres cpr nr.

Men da sundhed.dk blev flyttet til en ny udbyder var det ikke en priotet så det faldt væk da der var andre problemer ved launch... Og det blev aldrig genskabt.

Hvad med at man genskaber den funktion så kan alt sundhedspersonale ha en adresse der er bekræftet med et medarbejder certifikat og alle med et nemid kan få mail fra afdelinger ect.

Den nuværende status for "addressebogen" idag et excelark på medcom der overhovdet ikke er opdateret og når man kommer til sygehusafdelinger er det et inferno der kun bliver mere infernalsk af de vedvarende omlægninger og sammenligninger ect ect... I en sådan grad at der er oprettet visitations mail addresser som så sortere beskederne og sender dem til den rigtige afdeling.. Dvs man har opgivet at opretholde et meningsgivende adresse system og indsat manuel postsortering.

Før man lægger alt for meget teknologi forskrækkelse til lægernes lod så er det ovenstående del af det foreslag til patient kommunikation fra PLO kom med for et par år siden...

Genskab sundhed.dk webmailen og brug og udbyg den addresser bog over sundhedsvæsnet der allerede eksistere på sundhed.dk

. at vi her i DK ikke for mange år siden gik i gang med at forbedre de standarder der allerede findes til eksempelvis krypteret mail

Udfra det du beskriver af følsomme data kan selv et internt mailsystem være usikkert Kernen er, at personer med systemadministrativ adgang kan læse dine mails. Dette scenarie kan bremses af forskellige systemregler, overvågning af adgang mv.

Tja. Men i for eksempel Anne-Marie Krogsbøll's eksempel har systemadministratoren jo som regel også adgang til journalen.

.. at vi her i DK ikke for mange år siden gik i gang med at forbedre de standarder der allerede findes til eksempelvis krypteret mail. Jeg medgiver at s/mime ikke er ideel ift. anvendelse bredt blandt eksempelvis sundhedssektoren. Løsningen på eksempelvis dekryptering af gamle mails, arkivpligt osv. er ikke enkelt. Der findes forskellige punktløsninger, men de favner ikke alle brugsscenarier.

Jeg tænker alternativt, at de må være muligt at tage de nuværende standarder og få dem forbedret således de kan rumme vores behov og ønsker. Selvklart koster et sådan arbejde penge, men det bør kunne rummes på de nationale it budgetter.

Udfra det du beskriver af følsomme data kan selv et internt mailsystem være usikkert Kernen er, at personer med systemadministrativ adgang kan læse dine mails. Dette scenarie kan bremses af forskellige systemregler, overvågning af adgang mv.

Så helt afhængigt af sted, mailsystem, regler kan disse højfølsomme data slippe ud.

Havde data i stedet været lagret i en særligt sikret database, ville det systemteknisk være langt nemmere at beskytte oplysninger fra uvedkommende.

Datatilsynet udtalte i den forbindelse, at så længe der er tale om en transmission, der foregår i et lokalnet, og der således ikke er tale om ekstern kommunikation, stilles der ikke krav om kryptering.

Nu er det jo faktisk sådan, at selv almindelig email er krypteret i transit, når emailsystemer er sat korrekt op. Som Brian Hansen også nævner.

Med den undtagelse at det ikke er krypteret når det ligger på email-serveren (så administratoren af den server kan læse det). Men det er jo også tilfældet med min mail på e-boks, som Datatilsynet jo tilsyneladende har godkendt som værende sikker email.

(I det hele taget forstår jeg ikke ideen med at bruge e-boks, i stedet for almindelig mail, forudsat at afsendere og din email-udbyder har en moderne opsætning)

Du mener i stil med sundhedsdatanettet?https://www.medcom.dk/wm110002

Danmark er (næsten) dækket af lyslederkabler. Hvad med at oprette et intranet, der i første omgang kun omfatter sygehusene. Det er dem der har brug for at udveksle tunge filer som for eksempel røntgenbilleder

Tak for linket, Mads Bendixen. Meget oplysende.

Jeg kan ikke huske, hvor mange af disse krav, vi levede op til - Datatilsynets vejledning er lavet efter (2008), at jeg sad med problemet, kan jeg se.

Jeg husker vagt noget med 1-månedsreglen. Men jeg er sikker på, at det der med at sikre sletning i alle led undervejs, det har vi ikke levet op til, for det tror jeg ikke, at nogen har vidst, hvordan man gjorde. Og man går jo ikke på slettejagt i andres mail-bokse.

Mht. at sikre mail-boksene, så "ja" - hvis det er godt nok at have password på, og ændre det med jævne mellemrum. Men da computerne som sådan kunne blive anvendt af flere, og også gav adgang til internettet, kan man så sikre, at der ikke kommer ting ind på computeren, der gennemhuller password-sikkerheden?

Og et teknisk spørgsmål: Så vidt jeg forstår, passerer diverse mails gennem en eller flere servere undervejs, også i et internt system. Er mailsene sikrede ved passage der, hvis man har password på?

Jeg spørger, fordi det vel netop er det, der gør almindelig mails usikre på internettet, at passwords til ens konti ikke i sig selv sikrer mod, at uvedkommende undervejs kan få adgang til dem? På det almindelige internet kræver det vel kryptering at sikre dem. Så hvorfor gælder det ikke i et internt net, når nu Datatilsynet udtrykkeligt pointerer, at mailsene kun må kunne læses af de relevante personer, som jo er patientens direkte tilknyttede behandlere, samt evt. lægesekretærer?

Tak, Brian Hansen. Jeg håber så, at det var tilfældet. For selv om det er et internt system inden for regionen, så er der jo i et offentligt sygehus hundreder af brugere koblet på.

Min fornemmelse siger mig, at det måske er grundet langsomme internetforbindelser. Hvis man har en hurtig forbindelse er det vel forholdsvist simpelt at opsætte en virtuel maskine til hver læge - med sikker email, etc. sat korrekt op af en IT-administrator. I modsat fald kan man ikke anvende en virtuel maskine og support og opsætning er derfor meget varierende og inkonsistent. Men jeg ved ikke, om dette er tilfældet - nogen der har erfaringer ?

Tak, Brian Hansen. Jeg håber så, at det var tilfældet. For selv om det er et internt system inden for regionen, så er der jo i et offentligt sygehus hundreder af brugere koblet på.

Så spørgsmål: Er et internt mailsystem sikkert nok til at sende meget personfølsomme data?

"Og tilføjer »Man har ikke tænkt sikker mail ind i systemerne på hospitalerne, det tvivler jeg stærkt på,« siger han."

»Indenfor din egen region kan du altid sende mail mellem afdelinger og hospitaler. I det interne mailsystem er posten sikret. Problemet opstår, når du krydser sektorer, eller når praktiserende læger skal kontakte en bestemt afdeling på et hospital, så vil de normalt benytte fax,« forklarer hun."

Da jeg for en del år siden var behandler på et offentligt sygehus, fik vi på et tidspunkt (i forbindelse med endnu en sparerunde) besked på, at vi nu ikke længere skulle diktere vore notater på diktafon, til afskrift hos sekretæren. Vi skulle selv diktere vore notater, med cpr, og med behandlingskoder, og maile dette til sekretæren, som så kopierede det ind i journalsystemet.

Der var for mit vedkommende tale om særdeles private og personfølsomme notater, så jeg forsøgte i flere omgange, ud fra et intuitivt ubehag, at få opklaret, om det virkeligt kunne være sikkert nok at sende med mail. Jeg fik efter et stykke tid det svar, at hospitalets mailsystem var et internt system, så det var sikkert nok.

Da jeg kun havde få patienter, og sekretærerne kendte disse, valgte jeg alligevel at undlade cpr, men var tvunget til at acceptere denne fremgangsmåde, da jeg ikke selv har teknisk indsigt til at gennemskue, om det var rigtigt, at intern mail var sikker, så det var jeg nødt til at stole på.

Men efter at have fulgt lidt med bl.a. her et stykke tid, så er jeg da igen blevet usikker. Det er da muligt, at man ikke udefra kan tilgå disse mails, men jeg kan da nu have en mistanke om, at der godt nok er mange steder undervejs i er sådant internt system, hvor uvedkommende måske kan få adgang til dem?

Så spørgsmål: Er et internt mailsystem sikkert nok til at sende meget personfølsomme data?

Det skal tilføjes at jeg ikke ved, om det stadig foregår på den måde.