Borgeres sundhedsdata flød på telefoner og Whatsapp-grupper hos privat testleverandør

at indrapportere positive tests pr. telefon

Måske er de der firmaer bag lyntestene ikke helt så meget oppe på mærkerne, som man kunne ønske.

Det er nok gået meget hurtigt med at få de lyntest-centre op at køre og sikkert med press fra regering og myndigheder. Copenhagen Medicals der driver i Parken og Bella Center har dog digitaliseret løsningen som jeg forstår det, men Parken er også Danmarks største testcenter.

Det skal siges at når SOS overtager 4 ud af 5 regioner pr. 1/2 sammen med Medical Nordics (hvis de ender med at få lov til det), så bliver det digitaliseret og benytter et system fra SOS. Det har fremgået af nogle af "WhatsApp-gate"-artiklerne. Fremover er det også planen at positive resultater fra quick-test understøttes i Smittestop app'en. Håndskrevne resulatter og samtykker er ikke rigtig en skallerbar løsning hvis det skal i Smittestop app'en hurtigt.

var jeg glad for, at jeg var alene i køen. Mine oplysninger blev skrevet ned pr håndkraft, direkte fra sundhedskortet :-) På en god dag kan der nok registreres en lyntester hvert 2. minut.

Måske er de der firmaer bag lyntestene ikke helt så meget oppe på mærkerne, som man kunne ønske.

Hvis de havde brugt Signal i stedet for WhatsApp, og taget billedet inde fra app'en, så billedet ikke røg i fotoalbum, direkte i en privat gruppe, ville det så egentlig ikke være en ganske sikker løsning? (forudsat telefonen er sikret ordentligt med kode osv, og Signal også kræver kode)

Hvis planen var at dele på samme måde som de gør i WhatsApp, så er svaret nej, jeg har forstået at alle podere benyttede den samme "kanal" dvs. at et svar fra en poder blev syneligt for alle podere.

At benytte en privat telefon intoducere et risikoelement i at fejlbetjenes telefonen/app'en kan følsomme persondata ende på telefonen, som er privat.

Mon firmaet har husket at sløre CPR-numre?

Hvis de slørede de CPR-numre de har delt over WhatsApp, vil samtykket ikke være brugbart. Samtykket inkl håndskreven CPR-nummer, navn, telefonnummer og sikkert underskrift bruges til at informere SSI / STPS eller anden myndighed om at du er smittet, så de kan kontakte dig i forhold til smitteopsporing. Uden CPR-nummer vil det ikke fungere....

Men jeg bliver nysgerrig efter at vide, hvad det er for en løsning – hvordan dette kan gøres på en sikker måde?

Reelt er det vel ikke anderledes end de testcentre der drives af TestCenter Danmark (SSI) hvor borgere, deres PCR podninger og resultater, om endt lidt langsomere end quick-test, også registreres digitalt. Altså en form for et simpelt EPJ eller et system udviklet til formålet.

SOS har givet udtryk for at efter 1/2 kører alle deres test-resultater også digital (ikke WhatsApp).

Smitteopsporingen skal også kobles på hurtigtestcentrene, som dette drejer sig om.

<strong>De kommende aftaler med private virksomheder vil også indgå i smitteopsporingen</strong>, og både positive og negative resultater på test bliver indberettet til sundhedsmyndighederne.

Jeg har læst, at Smitteopsporingen allerede er flyttet ind i Parken. Det er hos et andet firma, med et navn, der ikke må forveksles med ^^.

Smitteopsporingsenheden i Parken etableres i samarbejde med virksomheden Copenhagen Medical A/S,
der bl.a. driver testcenteret i Parken og Bellacentret.</p>
<p>Copenhagen Medical A/S <strong>benytter en digital løsning, der gør, at det i realtid er muligt at følge, hvor mange borgere der testes positivt.</strong>

De skal givet ikke fortsætte efter 1. februar.

Men jeg bliver nysgerrig efter at vide, hvad det er for en løsning – hvordan dette kan gøres på en sikker måde?

IT-branchen har samlet et overblik over forskellige corona-IT-løsninger og leverandører. De ^^ er ikke med her, så vidt jeg kan se, men det er spændende alligevel:

https://itb.dk/maerkesager/sundheds-it/sundhedsloesninger-under-coronakrisen/

Jf. Justitsministeriets sikkerhedscirkulære, er et CPR-nr. "Til Tjenestebrug" hvilket betyder at det ikke må sendes over hverken telefon eller mail. Mon firmaet har husket at sløre CPR-numre?

*Søndag aften bragte BT en historie om, at medarbejdere hos Medicals Nordic, som udfører kviktest, er blevet instrueret i at benytte en WhatsApp-gruppe til at håndtere oplysninger om de borgere, der bliver testet positive.

Med det udgangspunkt går Datatilsynet ind i sagen og undersøger en række forhold - herunder bl.a. hvem der er dataansvarlig, om der er sket videregivelse af personoplysninger, og om der er passende sikkerhedsforanstaltninger.*

https://datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2021/jan/datatilsynet-ser-paa-haandtering-af-testresultater

Jeg kender ikke nok til Signal til at være sikker men alene det at de har brugt private devices ville jeg mener gør at svaret må være nej.

Hvis de havde brugt firmakontrollerede og udleverede devices og hvis Signal ikke sender data forbi Infrastruktur i tredielande så bevæger vi os mod en acceptabel løsning.

/Søren

Hvis de havde brugt Signal i stedet for WhatsApp, og taget billedet inde fra app'en, så billedet ikke røg i fotoalbum, direkte i en privat gruppe, ville det så egentlig ikke være en ganske sikker løsning? (forudsat telefonen er sikret ordentligt med kode osv, og Signal også kræver kode)

Medicals Nordic / SOS International deler angiveligt, som nævnt, udbuddet med Carelink.

Men Carelink skal åbenbart kun dække en mindre del af landet (aftalen), nemlig kun 1 region, Region Syd.

19.01.21: https://carelink.dk/nyhed/carelink-vinder-udbud-og-skal-hurtigteste-i-region-syddanmark/

https://carelink.dk/covid-19-test/

https://carelink.dk/om-carelink/vores-historie/

Politiken skriver nu, at aftalen om de resterende 4 regioner kan være op imod 1 milliard kroner værd. Gys.

https://politiken.dk/indland/art8077612/Danskernes-coronatests-flyder-p%C3%A5-poderes-private-mobiler-og-Whatsapp

I den officielle pressemeddelelse fra Medicals Nordic ang. brugen af WhatsApp ("en end-to-end krypteret løsning" - citat fra pressemeddelelsen....) er de stoppet med at bruge WhatsApp og nu skiftet til at indrapportere positive tests pr. telefon...

Gad vide om de så benytter podernes private telefoner eller telefoner ejet af Medicals Nordic til formålet?

Tvivler på at det første er tilladt når der er tale om udveksling af personfølsommeoplsyninger som sundhedsdata.

Mit gæt, der er trukket lige ud af den der hat hvor tryllekunstreren har sine kaniner, vil være at en mellemleder har fået udleveret en opgave med ekstremt kort tidsfrist og ikke rigtigt noget budget at løse den med.

Virksomheden bag driver lægehuse i Charlottenlund (og måske andre steder). Så hovedparten af de ansatte inkl. ledelse / ejere er læger, sygeplejesker og sekretærer, så tvivler stadig meget stærkt på at en mellemleder har taget beslutningen om WhatsApp og at det ikke har været kendt af ledelsen.

Det er super nemt at gætte på hvad der er sket uden at have noget som helst basis at gøre det på andet end erfaring med mindre virksomheder.

Mit gæt, der er trukket lige ud af den der hat hvor tryllekunstreren har sine kaniner, vil være at en mellemleder har fået udleveret en opgave med ekstremt kort tidsfrist og ikke rigtigt noget budget at løse den med.

/Søren

Medarbejderne har så løst opgaven med det de havde til rådighed og hvis man ikke har undersøgt det mindste om hvad det faktisk betyder at være ejet af Facebook så er Whatapp ikke det værste valg.

Nu er virksomheden faktisk slet ikke særlig stor. Jf. CVR var de i juni 2020 kun 30 ansatte med i alt 15 års værk. Det er så steget løbende hen over året til 68 ansatte og 39 årsværk i december 2020. Så tvivler på at der har siddet en enkelt eller to medarbejdere og fået den geniale ide at bruge Whatsapp til formålet uden at ledelsen i virksomheden har kendt til sagen.

Som jeg læser det ligner det mest et spørgsmål om at der er en virksomhed der har lavet et hurtigt salg hvor de ikke har været i stand til at give medarbejderne de stykker værktøj de har skulle bruge for at udføre det arbejde de skulle.

Medarbejderne har så løst opgaven med det de havde til rådighed og hvis man ikke har undersøgt det mindste om hvad det faktisk betyder at være ejet af Facebook så er Whatapp ikke det værste valg.

Jeg tror ikke der er den store konspiration her bare lidt god gammeldags inkompetence og uvidenhed blandet med et lidt for smart salg.

/Søren

...hvilke tilladelser man giver Medical Nordic til at gemme og bruge ens data og DNA - i stil med SSI-røveriet af vore sundhedsdata og DNA? Med denne historie kan man da godt blive lidt betænkelig ved, hvad de mon mere kan finde på?

Man sidder og måber. Da jeg lige havde sundet mig lidt, tjekkede jeg op på nogle detaljer, jeg kom i tanker om.

Medical Nordic siger på deres hjemmeside:

I samarbejde med SOS International og Danske Regioner tilbyder vi gratis Covid-19 antigentest for danske statsborgere mod tidsbestilling. Det gratis tilbud gælder foreløbigt frem til og med den 31. januar 2021.
Herefter tilbydes testen igen mod betaling, med mindre aftalen med SOS International og Danske Regioner forlænges.

Aftalen er, så vidt jeg forstår, forlænget.

Jeg husker, at have set hos DR, at Carelink og SOS International (som Medicals Nordic er underleverandør til) er de to eneste virksomheder, der, efter 1. februar, skal levere hurtigtest for det offentlige.

19.01.21: https://www.dr.dk/nyheder/seneste/falck-tabte-udbud-og-lukker-sine-49-lyntestcentre-fra-februar

Medicals Nordic siger også selv, at de er med i den nye aftale:

19.01.21: https://twitter.com/MedicalsNordic/status/1351628842390200320

Der har været et udbud.

Den nye aftale vil gælde fra start februar til udgangen af april:

30.12.20: https://sum.dk/nyheder/2020/december/regeringen-og-regionerne-opretter-udbud-paa-100000-daglige-hurtigtest-frem-til-april-naeste-aar

Dog har jeg ikke kunne finde nogen nyheder om afgørelsen (hvem der vandt), hos kilder i myndigheder/forvaltning. (Hverken sum.dk, Testcenter Danmark/SSI, regioner.dk eller Styrelsen for Patientsikkerhed).

Jeg undrer mig imidlertid over, om denne form for sikkerhed (håndtering af borgernes persondata) ikke er noget, man skal redegøre for (underleverandører?) i ansøgningsprocessen om et sådan udbud?

Økonomisk er der vel relativt mange offentlige kroner involveret. En aftale, der omfatter 100.000 daglige hurtigtest på nationalt plan?

Datatilsynet skulle jo allerede i dag har været forbi virksomhedes hovedekontor og taget kopi af alt vedrørende procedyre, og tjek op imod hvad der er blevet blevet sendt til myndighedere i forbindelse med udbudet. Bagefter interview de ansat om deres arbjdesgange, om hvorvidt det passer overens med dokumentionen, ellers bliver det blot det sædvanlige ansvars fralæggelse hvor ledelsen går fri fordi man giver dem længer nede skylden

Medicals Nordic er i dag blevet gjort opmærksom på, at testcentrets brug af Whatsapp i forbindelse med intern kommunikation om positive resultater fra kviktest, kan udgøre en datasikkerhedsbrist.

"Aha, så det er ikke OK at sende persondata via postkort? Det vidste vi sør'me ikke."

Der må være grænser for, hvor uvidende kan være, især i medico-branchen.

Jeg håber, at Datatilsynet står klar med bødeblokken.

Hvilken ansvarlig virksomhed tror, at en sikker håndtering af testresultater og personlige data kan understøttes af Whatsapp eller Facebook? Ingen... Jeg er rystet...

Hvordan kan en virksomhed overhovedet opnå godkendelse til at håndtere tests og personlige data, når virksomheden baserer dataopsamling på Whatsapp eller Facebook? Forhåbentlig fratages Medicals Nordic deres autorisation øjeblikkelig.