Besværlig it jager læger væk fra sikker e-mail

Manglende it-standarder, og regioner, der kører sololøb på it-indkøb, afholder læger fra at benytte sikker e-mail og fælles digital sundhedsplatform.

Stik imod ambitionen opgiver mange praktiserende læger og hospitalspersonalet på forhånd at anvende sikker e-mail og den digitale sundhedsplatform MedCom til at udveksle personfølsomme data med hinanden.

Forklaringerne er mange: forskellige it-systemer i regionerne, manglende og tidskrævende adgang til sikker e-mail og apotekere, der endnu ikke er en del af det Fælles Medicinkort (FMK).

Den offentlige it-strategi har udpeget sikker e-mail som værktøjet for offentlige myndigheder til at udveksle personfølsomme data digitalt med hinanden på en sikker, krypteret platform.

I Region Syddanmark har man netop indført et helt nyt it-system kaldet CPAS. Alligevel er faxen fortsat i brug, når der skal sendes personfølsomme data til praktiserende læger og andre regioner, forklarer sekretariatsleder Lene Nielsen på Odense Universitetshospital.

»Regionerne har jo forskellige systemer, så nogle steder er vi nødt til at få fax fra, og andre er vi ikke,« forklarer hun.

Lene Nielsen forklarer, at it-systemerne er forskellige fra region til region og mellem de praktiserende læger og speciallæger. Og at ikke alle systemer tale med hinanden. Derfor er faxen fortsat på agendaen i Region Syddanmark.

Læger faxer i stedet for at bruge sikker e-mail

Det er et billede, praktiserende læge og it-ansvarlig Jakob Maraldo hos Citydoctors i København kender alt for godt.

»Jeg har aldrig hørt en hospitalslæge eller sygeplejerske bede mig om at sende en sikker mail,« siger han.

Jakob Maraldo forklarer, at personalet på de enkelte hospitalsafdelinger typisk ikke er logget på sikker e-mail, fordi de ofte arbejder fra flere forskellige computere og derfor finder systemet alt for bøvlet at bruge.

De beder ham derfor altid sende en fax, når de skal se en henvisning eller andet.

»'Du ved godt, vi ikke kan finde ud af det', siger de altid, når jeg joker med, at fax jo ikke er lovligt,« fortæller Jakob Maraldo og tilføjer:

»Man har ikke tænkt sikker mail ind i systemerne på hospitalerne, det tvivler jeg stærkt på.«

Læs også: Dansk sundhedsvæsen år 2016: Sygehuse og læger udveksler dagligt patientdata med fax

Fælles portal ikke så fælles

Den fælles digitale sundhedsportal MedCom, som tilbyder over 30 fælles tekniske standarder af typen Edifact / XML for digital udveksling af information, skal ellers sikre, at personalet i sundhedssektoren kan tale sammen.

Men fordi hverken apoteker eller flere områder inden for ældreplejen og psykiatrien i kommunerne bruger MedCom-systemet eller sikker e-mail, bliver recepter og anmodninger om medicinfornyelse fortsat faxet frem og tilbage, forklarer Jakob Maraldo.

»Af ukendte årsager er apotekerne ikke på det Fælles Medicinkort, og flere kommuner er ikke i stand til at benytte MedCom-standarderne« konstaterer han.

Lægeforeningen sender selv breve

Hos ledelsen i Lægeforeningen kender sekretariatschef Lise Møller udmærket til udfordringerne med sikker e-mail. Men hun ser det ikke som det store problem, da størstedelen af den kommunikation, der foregår internt i regionerne, er sikker.

»Inden for din egen region kan du altid sende mail mellem afdelinger og hospitaler. I det interne mailsystem er posten sikret. Problemet opstår, når du krydser sektorer, eller når praktiserende læger skal kontakte en bestemt afdeling på et hospital - så vil de normalt benytte fax,« forklarer hun.

Og det samme gælder, når hospitaler og offentlige klinikker har brug for at kontakte de praktiserende læger, fortæller Lise Møller.

»Der, hvor jeg sidder, må vi konstatere, at der er en hel del praktiserende læger, der ikke kan modtage sikker e-mail, og så må vi jo sende det i et almindeligt brev,« forklarer hun.

I Lægeforeningen fastslår Lise Møller, at fax også er sikker post. Hun ser derfor ingen grund til bekymring for sikkerheden, når læger vælger at bruge fax frem for sikker e-mail.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (21)

Anne-Marie Krogsbøll

"Og tilføjer »Man har ikke tænkt sikker mail ind i systemerne på hospitalerne, det tvivler jeg stærkt på,« siger han."

»Indenfor din egen region kan du altid sende mail mellem afdelinger og hospitaler. I det interne mailsystem er posten sikret. Problemet opstår, når du krydser sektorer, eller når praktiserende læger skal kontakte en bestemt afdeling på et hospital, så vil de normalt benytte fax,« forklarer hun."

Da jeg for en del år siden var behandler på et offentligt sygehus, fik vi på et tidspunkt (i forbindelse med endnu en sparerunde) besked på, at vi nu ikke længere skulle diktere vore notater på diktafon, til afskrift hos sekretæren. Vi skulle selv diktere vore notater, med cpr, og med behandlingskoder, og maile dette til sekretæren, som så kopierede det ind i journalsystemet.

Der var for mit vedkommende tale om særdeles private og personfølsomme notater, så jeg forsøgte i flere omgange, ud fra et intuitivt ubehag, at få opklaret, om det virkeligt kunne være sikkert nok at sende med mail. Jeg fik efter et stykke tid det svar, at hospitalets mailsystem var et internt system, så det var sikkert nok.

Da jeg kun havde få patienter, og sekretærerne kendte disse, valgte jeg alligevel at undlade cpr, men var tvunget til at acceptere denne fremgangsmåde, da jeg ikke selv har teknisk indsigt til at gennemskue, om det var rigtigt, at intern mail var sikker, så det var jeg nødt til at stole på.

Men efter at have fulgt lidt med bl.a. her et stykke tid, så er jeg da igen blevet usikker. Det er da muligt, at man ikke udefra kan tilgå disse mails, men jeg kan da nu have en mistanke om, at der godt nok er mange steder undervejs i er sådant internt system, hvor uvedkommende måske kan få adgang til dem?

Så spørgsmål: Er et internt mailsystem sikkert nok til at sende meget personfølsomme data?

Det skal tilføjes at jeg ikke ved, om det stadig foregår på den måde.

peter jensen

Min fornemmelse siger mig, at det måske er grundet langsomme internetforbindelser. Hvis man har en hurtig forbindelse er det vel forholdsvist simpelt at opsætte en virtuel maskine til hver læge - med sikker email, etc. sat korrekt op af en IT-administrator.
I modsat fald kan man ikke anvende en virtuel maskine og support og opsætning er derfor meget varierende og inkonsistent.
Men jeg ved ikke, om dette er tilfældet - nogen der har erfaringer ?

Anne-Marie Krogsbøll

Tak for linket, Mads Bendixen. Meget oplysende.

Jeg kan ikke huske, hvor mange af disse krav, vi levede op til - Datatilsynets vejledning er lavet efter (2008), at jeg sad med problemet, kan jeg se.

Jeg husker vagt noget med 1-månedsreglen. Men jeg er sikker på, at det der med at sikre sletning i alle led undervejs, det har vi ikke levet op til, for det tror jeg ikke, at nogen har vidst, hvordan man gjorde. Og man går jo ikke på slettejagt i andres mail-bokse.

Mht. at sikre mail-boksene, så "ja" - hvis det er godt nok at have password på, og ændre det med jævne mellemrum. Men da computerne som sådan kunne blive anvendt af flere, og også gav adgang til internettet, kan man så sikre, at der ikke kommer ting ind på computeren, der gennemhuller password-sikkerheden?

Og et teknisk spørgsmål: Så vidt jeg forstår, passerer diverse mails gennem en eller flere servere undervejs, også i et internt system. Er mailsene sikrede ved passage der, hvis man har password på?

Jeg spørger, fordi det vel netop er det, der gør almindelig mails usikre på internettet, at passwords til ens konti ikke i sig selv sikrer mod, at uvedkommende undervejs kan få adgang til dem? På det almindelige internet kræver det vel kryptering at sikre dem. Så hvorfor gælder det ikke i et internt net, når nu Datatilsynet udtrykkeligt pointerer, at mailsene kun må kunne læses af de relevante personer, som jo er patientens direkte tilknyttede behandlere, samt evt. lægesekretærer?

Bent Johannsen

Danmark er (næsten) dækket af lyslederkabler. Hvad med at oprette et intranet, der i første omgang kun omfatter sygehusene.
Det er dem der har brug for at udveksle tunge filer som for eksempel røntgenbilleder

Thue Kristensen

Datatilsynet udtalte i den forbindelse, at så længe der er tale om en transmission, der foregår i et lokalnet, og der således ikke er tale om ekstern kommunikation, stilles der ikke krav om kryptering.

Nu er det jo faktisk sådan, at selv almindelig email er krypteret i transit, når emailsystemer er sat korrekt op. Som Brian Hansen også nævner.

Med den undtagelse at det ikke er krypteret når det ligger på email-serveren (så administratoren af den server kan læse det). Men det er jo også tilfældet med min mail på e-boks, som Datatilsynet jo tilsyneladende har godkendt som værende sikker email.

(I det hele taget forstår jeg ikke ideen med at bruge e-boks, i stedet for almindelig mail, forudsat at afsendere og din email-udbyder har en moderne opsætning)

Bjarke Alling

Udfra det du beskriver af følsomme data kan selv et internt mailsystem være usikkert Kernen er, at personer med systemadministrativ adgang kan læse dine mails. Dette scenarie kan bremses af forskellige systemregler, overvågning af adgang mv.

Så helt afhængigt af sted, mailsystem, regler kan disse højfølsomme data slippe ud.

Havde data i stedet været lagret i en særligt sikret database, ville det systemteknisk være langt nemmere at beskytte oplysninger fra uvedkommende.

Bjarke Alling

.. at vi her i DK ikke for mange år siden gik i gang med at forbedre de standarder der allerede findes til eksempelvis krypteret mail. Jeg medgiver at s/mime ikke er ideel ift. anvendelse bredt blandt eksempelvis sundhedssektoren. Løsningen på eksempelvis dekryptering af gamle mails, arkivpligt osv. er ikke enkelt. Der findes forskellige punktløsninger, men de favner ikke alle brugsscenarier.

Jeg tænker alternativt, at de må være muligt at tage de nuværende standarder og få dem forbedret således de kan rumme vores behov og ønsker. Selvklart koster et sådan arbejde penge, men det bør kunne rummes på de nationale it budgetter.

Thue Kristensen
Christian Nobel

. at vi her i DK ikke for mange år siden gik i gang med at forbedre de standarder der allerede findes til eksempelvis krypteret mail

Fordi det harmonerer ikke med statsmagtens "Nem" dit og dat italesættelse, og det harmonerer heller ikke med at alle danskernes logon skal håndteres af en NSA godkendt gatekeeper, og at webmailen skal håndteres af et amerikansk ejet foretagende.

Jakob Damkjær

Var der en gansk udemærket webmail funktion på sundhed.dk... Og hvis man havde udnyttet den nemid sikrede adgang så den kunne fungere som gateway mellem de lægelige fag systemer (hospitaler pleje personale og speciallæge praksis ect) og borgerene.

Det der var en rigtig god del af den funktion var den opdaterede adresseliste og mulighed for at sende til patienter via deres cpr nr.

Men da sundhed.dk blev flyttet til en ny udbyder var det ikke en priotet så det faldt væk da der var andre problemer ved launch... Og det blev aldrig genskabt.

Hvad med at man genskaber den funktion så kan alt sundhedspersonale ha en adresse der er bekræftet med et medarbejder certifikat og alle med et nemid kan få mail fra afdelinger ect.

Den nuværende status for "addressebogen" idag et excelark på medcom der overhovdet ikke er opdateret og når man kommer til sygehusafdelinger er det et inferno der kun bliver mere infernalsk af de vedvarende omlægninger og sammenligninger ect ect... I en sådan grad at der er oprettet visitations mail addresser som så sortere beskederne og sender dem til den rigtige afdeling.. Dvs man har opgivet at opretholde et meningsgivende adresse system og indsat manuel postsortering.

Før man lægger alt for meget teknologi forskrækkelse til lægernes lod så er det ovenstående del af det foreslag til patient kommunikation fra PLO kom med for et par år siden...

Genskab sundhed.dk webmailen og brug og udbyg den addresser bog over sundhedsvæsnet der allerede eksistere på sundhed.dk

Bjarke Alling

Fremragende og simple løsning. Mailadressen er obligatorisk ved bestilling af en NemID Medarbejdersignatur. Dvs. den oplysning fndes allerede hos CAen. Om den så vises i x509 certet er op til bestilleren og organisationen bagved. I nogen danske sygehusregionen vælger man bevist ikke at have vist brugerens mailadresse. Er helt sikker på at der kan findes en metode til at håndtere dette hos CAen.

Bjarke Alling

Jep. Og deri ligger der et sikkerhedsproblem. De data - tror jeg - der her tænkes på er ikke af en art der gør at de skal deles med en systemadministrator. Hverken bevidst eller ved en utilsigtet hændelse.

Jan Heisterberg

Det er i diskussionen vigtigt at gøre sig klart hvad "man" vil sikre sig mod.

Er det den sofistikerede hacker/spion som lytter på kablerne eller skaffer sig adgang til serverrum ?
eller
Er det den betroede medarbejder som stjæler informationen ?
eller
Er det den nysgerrige / betalte 3.part som snager i oplysningerne ?

Den sidste er nok den oftest forekommende, her fås adgang gennem dårlige passwords, delte passwords eller dårlige rutiner (manglende logoff).

Meget ville kunne vindes hvis "bare" systemerne var brugervenlige mht. logoff/logon, herunder acceptabel kort svartid ved logon / single logon. Det findes f.eks. på min private PC med fingeraftryk.

Skal vi gå videre med kryptering osv. ? I princippet, men lad os lige plukke de lavthængende frugter først - som måske ikke hænger så lavt grundet håbløse it-afdelinger hos de involverede parter og delt ansvar mellem mange parter.

Er der en løsning ? Jo, da. Een magtfuld direktør med beføjelser til at sige "skal".
Husk lige: det er os ALLE SAMMEN som betaler - også for elendigheden.

Anne-Marie Krogsbøll

Thue Kristensen.

Ja, det var det, jeg tænkte. Nu er det nok de færreste systemadministratorer, der er de rene BOFH's , de allerfleste er garanteret pålidelige. Jeg ser bare endnu et eksempel på, at det offentlige system, her eksemplificeret i Datatilsynet og ledelsen i Lægeforeningen (Ok- ikke helt offentlig), ikke tager sine egne hensigtserklæringer om sikring af persondata alvorligt.

For man kan jo, som jeg forstår det, der er skrevet her om dette, ikke på den ene side tordne om, at det absolut kun må være de relevante personer, der kan tilgå følsomme persondata, og så på den anden side lukke øjnene for, at interne mailsystemer i sygehusvæsnet (systemer, som jo omfatter hele regioner) ikke kun tillader adgang for relevante personer.

Det er jo sådanne ting, der gør, at man efterhånden mister tilliden til myndighederne på dette område.

Jan Heisterberg

@Anne-Marie Krogsbøll
Dit spørgsmål er absolut relevant og der er ikke eet og et simpelt svar.

Mange af de involverede "myndigheder" svarer, som jeg har forsøgt at skrive, på et højt, abstrakt niveau - højt hævet med fødderne frit plantet i blå luft - istedet for at vurdere risici og gå efter de oftest forekommende fejl, mangler og ricisi.

Hvis du læser om episoder med datasikkerhed, så vil du finde et antal, simple, lavpraktiske fejl - lige fra at bevare standard kodeord som "admin" og "1234" (kunne det ske i en lægepraksis) til at svare på åbenlyst falske e-mails ("Hello, there is an error on your computer .....") eller ikke at benytte virus-checker.
Og så skal man ikke tro en fax er sikker ! Hvad sker hvis nummeret tastes forkert ?
Eller der sendes en falsk besked om "vi har fået ny fax ....".

Så lad os gå efter de simple fejl, de lettere løsninger INDEN vi kaster os over svære løsninger på kabel-tap og aflytning af telefoner og fax.
Den menneskelige faktor er absolut den største risikofaktor.

Men det ændrer ikke det forhold, at kompetente it-afdelinger hos lægers organisationer, lægers it-leverandører og i regionerne BURDE tænke sikkerhed ind overalt - på en brugervenlig måde = ingen gener (og det ER muligt).

Kjeld Flarup Christensen

Hvor svært kan det egentligt være at indkøbe en mailklient som simpelthen ikke kan sende mail til andre personer i regionen uden at de er sikret. Det kan godt være at man må vælge vennerne i M$ fra, men funktionen er så vigtig at der også må ses bort fra nogle af de mere smertefri integrationer med andet software.

Log ind eller opret en konto for at skrive kommentarer