Danske patientdata ender i USA: Epic-medarbejdere har adgang til journaler i Sundhedsplatformen

Illustration: Region Sjælland
En større gruppe Epic-medarbejdere har adgang til data på danske patienter gennem Sundhedsplatformen.

Amerikanske it-medarbejdere fra softwarevirksomheden Epic har kunnet tilgå følsomme personoplysninger på op imod 2,5 millioner patienter i hovedstaden og på Sjælland.

Det skriver Politiken på baggrund af en rapport om beskyttelse af persondata i Sundhedsplatformen fra advokatfirmaet Bech-Bruun, som Politiken har fået aktindsigt i.

Rapporten beskriver ifølge Politiken 22 potentielle risikofaktorer i Sundhedsplatformen, som kan true patienternes privatliv. I rapporten fra advokatvirksomheden kategoriseres punktet 'overladelse af personoplysninger til tredjelande' som en trussel, hvor »personer kan opleve betydelige konsekvenser«.

»Supportmedarbejdere hos Epic i England og USA har adgang til personoplysninger på patienter og ansatte i Sundhedsplatformens produktionsmiljø,« skriver Bech-Bruun i rapporten, der er bestlit af Region Hovedstaden og Region Sjælland.

152 medarbejdere fra virksomheden Epic, der står bag Sundhedsplatformen, havde i august 2018 adgang til produktionsmiljøet, som indeholder oplysninger om både patienter og personale. Ifølge rapporten er der generelt givet adgang til de supportmedarbejdere, der har bedt om adgang.

Overfor Politiken meddeler Region Hovedstaden, at rapporten bliver taget meget alvorligt, og vicedirektør Pia Kobke fra Region Hovedstadens Center for It, Medico og Telefoni bekræfter, at der er Epic- medarbejdere i USA, der i princippet har adgang til alle journaler i Sundhedsplatformen.

»Ja, det er korrekt, at et begrænset antal Epic-medarbejdere kan se alle data,« siger hun til Politiken.

Meget kritisabel sag

Flere eksperter mener, at sagen er »meget kritisabel«, og de vurderer på baggrund af rapporten fra Bech-Bruun, at de danske sundhedsmyndigheder har taget alt for let på patientsikkerheden.

Derudover vil flere partier som minimum have, at Sundhedsstyrelsen ser nærmere på patientsikkerheden i Sundhedsplatformen, når et nyt ministerium er på plads, siger de til Politiken.

Datatilsynet har indledt en undersøgelse af sagen, som ikke er afsluttet endnu.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (28)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Louise Klint

Det holder åbenbart aldrig op.

I samme forbindelse så jeg denne her hos DR i går:
10 spørgsmål til Pia Kobke, vicedirektør i CIMT,
Region Hovedstadens Center for It, Medico og Telefoni.
https://www.dr.dk/nyheder/indland/10-spoergsmaal-til-region-h-efter-krit...

Ad spørgsmål 7:

Kan I så med sikkerhed sige, at patienters data er i sikre hænder?
- Vi er ret overbeviste om, at Epic-medarbejdere kun kigger på det, de skal for at hjælpe.
Epic er en international leverandør, der leverer til flere lande i Europa.

Vi lader den stå et øjeblik. Det er simpelthen så rørende.
Dette tillidsbaserede samarbejde, som Region Hovedstaden tilsyneladende har med den internationale gigant.
Den hyggelige Harry Potter-fætter fra Amerika.

Jeg har dog alligevel ikke glemt denne:
25.09.18: https://www.version2.dk/artikel/epic-ceo-vil-samle-hele-verdens-sundheds...

Stormogulens planer om et ”One Virtual System Worldwide”…

  • 18
  • 1
Michael Aggerholm

Det er vist meget normalt at leverandøren kan tilgå produktionssystemet i forbindelse med opfølgning på supportsager. Uden den adgang bliver det stort set umuligt at identificere fejl. Vil man have fejlene løst så sker det mest hensigtsmæssigt ved at leverandøren kan se de data systemet arbejder med. Hvis adgangene logges og der løbende følges op på hvad medarbejderne har brugt adgangen til så er det slet ikke noget problem.

"Flere eksperter mener ..". Come on Version2, den er for let den der. Hvem er disse eksperter og hvilke kompetencer har de udover deres egne personlige holdinger?

Flere nyhedskommentatorer mener at denne artikel nok burde være skrevet i en mere sober tone.

  • 5
  • 13
Louise Klint

^^
… Kobke, vicedirektør i CIMT, fortæller også til spørgsmål 4 (ovenfor):

Medarbejdere i Epic kan kun få adgang, hvis vi beder dem om hjælp til at rette fejl i systemet.
Hvis de ikke selv forlader systemet, bliver de med nye initiativer
lukket ude af platformen efter tre måneder[…]

https://www.dr.dk/nyheder/indland/10-spoergsmaal-til-region-h-efter-krit...

  • 11
  • 0
Louise Klint

Hvorfor er det en overraskelde af EPIC har adgang til all data ?

Det er en overraskelse, for mig, at man ikke rigtig fører kontrol.

Indadtil har vi streng kontrol.
Alt hvad medarbejderne foretager sig, i systemet, logges. Sådan var det også i de tidligere systemer, så vidt jeg ved. Via CIMT kan man til enhver tid gå bagom systemet og tjekke op på enhver medarbejder. Se alt, hvad den enkelte har gjort.
Her er streng lovgivning, restriktioner og sanktioner.
Det er fyringsgrund, at dele sit login og læger må fx ikke slå cpr/en patient op i systemet, som de ikke har behandlet inden for seneste 6 måneder. Der er en lang række regler og restriktioner på området, og en håndfuld sager hvert år.
Og sådan skal det også være.
Sundhedsplatformen og hospitalernes it-systemer giver adgang til store mængder personfølsomme oplysninger om rigtig mange mennesker.
Her skal være log og restriktioner, kontrol og sanktioner.

Men udadtil føres angiveligt ingen kontrol.
Sælger (”leverandøren”), som er en international sundheds-it-gigant,
har tilsyneladende fået adgang, uden opsyn, til omtrent halvdelen (2,5 mio.) af danskernes personfølsomme sundhedsoplysninger fra hospitalerne.
De har stort set kunnet foretage sig, hvad de har lyst til, i systemet.

(For de hjælper jo bare, er ræsonnementet tilsyneladende fra Pia Kopke.
Epic, som ”kun kigger på det, de skal for at hjælpe”, som hun siger.
Hvad er det så medarbejderne gør, i grunden?)

Det overrasker mig alligevel.
Som om man, i Region H/CIMT, ikke har erkendt alvoren eller sit ansvar.

  • 14
  • 0
Gert Madsen

Det er vist meget normalt at leverandøren kan tilgå produktionssystemet i forbindelse med opfølgning på supportsager. Uden den adgang bliver det stort set umuligt at identificere fejl.


Det er altså mange leverandører, og systemer, der klarer det udemærket uden denne adgang.
Det kan være mere besværligt, men så heller ikke værre.
Når der er tale om meget følsomme oplysninger, så burde denne adgang være lukket.

  • 13
  • 0
Michael Aggerholm

Du får en support sag ind fra et system der integrerer med Sundhedsplatformen.

"Vi får fejl 500 tilbage, det forstår vi ikke".

Sundhedsplatformen: "Ok lad os kigge på det, hvilken patient står I op på? Hvad sender I til os? Hvad burde vi have returneret der?"

Det er forholdsvis let at løse supportsager når man kan se de samme data. Det er til gengæld overordentlig svært når man ikke kan. Konsekvensen er at der kan gå meget lang tid mellem fejlrettelserne, og så er dét jo lige pludselig et problem.

Supportmedarbejdere har alt for travlt med at løse problemer til at interessere sig for om din mormor har gigt. Al respekt for din mormor, men det er bare ikke lige der fokus ligger. Og som jeg skrev tidligere, så er det som regel mere end tilstrækkelig at logge adgangene og tage stikprøver på hvad der blev slået op på.

Supportmedarbejdere med slette hensigter findes i lige antal her i Danmark og i USA. Du får ikke noget ud af at lukke den adgang udover dårligere support til et i forvejen hårdt ramt system.

  • 1
  • 7
Anne-Marie Krogsbøll

Supportmedarbejdere med slette hensigter findes i lige antal her i Danmark og i USA. Du får ikke noget ud af at lukke den adgang udover dårligere support til et i forvejen hårdt ramt system.


Du misser en del af pointen, Michael Aggerholm. Problemet i USA er, at det er langt sværere, for ikke at sige umuligt, at opklare evt. overtrædelse, og at føre sag om det.

  • 7
  • 0
Bjarne Nielsen

Problemet i USA er, at det er langt sværere, for ikke at sige umuligt, at opklare evt. overtrædelse, og at føre sag om det.

Især fordi, at det med stor sandsynlighed ikke engang er ulovligt i USA. Deres lovgivning er meget mere lempelig.

Det har man så prøvet at lappe på, først med de såkaldte "Safe Harbour" bestemmelser, som efter en langtrukken tur igennem retssystemet blev underkendt som værende ganske utilstrækkelige.

Derefter lavede man straks den såkaldte "Privacy Shield" ordning, der dels fra flere sider er blevet karakteriseret for substantielt at være det samme, som det der just var blevet underkendt, bare sagt med nogle lidt andre ord (men så køber man sig da endnu en pæn del års tid inden det kommer igennem retssystemet), dels skulle det ligge tungt med at få de institutioner til at fungere tilfredsstillende, som ordningen forudsætter oprettet på amerikansk side.

...og så mener jeg at have læst at EPIC end ikke er under "Privacy Shield" ordningen, så selv den smule beskyttelse har vi ikke.

Læg dertil, at amerikanske myndigheder er meget glade for at tvinge amerikanske firmaer og personer til at udlevere oplysninger med hemmelige domme, som ingen må fortælle om. Det ville have været betydeligt vanskeligere for amerikanerne at gøre, hvis ikke adgangene havde været så brede og opfølgningen så lemfældig, som det på det seneste er blevet beskrevet.

Der må sidde nogle ovre på den anden side af dammen, og grine deres røv i laser over, hvor naive vi danskerne er.

  • 8
  • 0
Frithiof Andreas Jensen

Konsekvensen er at der kan gå meget lang tid mellem fejlrettelserne, og så er dét jo lige pludselig et problem.

Näh, "problemet" er at lovgivningen, af mange gode grunde, står i vejen for "digitaliseringen", eller snarere at man her i landet slet ikke gider at bruge de ressourcer det nu engang koster at "digitalisere" ordentligt.

Rutinen er at man laver lige noget hurtigt og så satser man ellers på at folketinget kan presses til at lave en nödlov - hvis det "bliver en sag"!?

Man kunne sagtens have support her i landet, som er behörigt tränet og sikkerhedsgodkendt (eller hvad der nu ellers skal til for at se på data) men så skal man jo til lommen og så ryger hele "digitaliseringsgevinsten" på alt det kedelige med lovgivning, forvaltningsansvar og alt det der noget!

  • 5
  • 0
Michael Cederberg

Jeg har dog alligevel ikke glemt denne:
25.09.18: https://www.version2.dk/artikel/epic-ceo-vil-samle-hele-verdens-sundheds...

Virksomheder har altid store tanker. Uanset hvor størrelsen. Kunder vælger de virksomheder der har en stor vision for fremtiden.

Det har intet at gøre med hvad data fra danske patienter bruges til.

Det er vist meget normalt at leverandøren kan tilgå produktionssystemet i forbindelse med opfølgning på supportsager. Uden den adgang bliver det stort set umuligt at identificere fejl.

Helt enig.

Sælger (”leverandøren”), som er en international sundheds-it-gigant,
har tilsyneladende fået adgang, uden opsyn, til omtrent halvdelen (2,5 mio.) af danskernes personfølsomme sundhedsoplysninger fra hospitalerne.
De har stort set kunnet foretage sig, hvad de har lyst til, i systemet.

De har skrevet softwaren. Hvis de ønskede det, så kan de sende alt data til HQ. De kan samtidigt installere malware på alle maskiner. I praksis kan leverandøren alt. Uanset hvad. Det er der ikke nogen mulighed for at forsvare sig mod ... bortset fra at slukke for systemet.

Dem der leverer server-hardware har endnu flere muligheder. Dem der leverer operativsystem det samme. Dem der leverer netværk, telefoni, arbejdsstationer, etc. har også mulighed for at lave ting de ikke burde. Køb af komplicerede produkter som IT systemer er en tillidssag.

Men gæt engang hvor mange Europæiske kunder Epic vil få i fremtiden, hvis det viser sig at de har overtrådt den aftale de har med RH. De sidder nu med en guldrandet kontrakt. Den er sikkert nem at komme ud af rent juridisk, men omkostningen vil være at man så skal igang med at integrere et nyt IT system. Endnu engang. Epic vil være befolket af idioter hvis de sætter sætter det på spil, for at få adgang til data som forskere alligevel vil få adgang til hvis de søger om det. For det er i de kommende år pengene vælter ind.

Det er altså mange leverandører, og systemer, der klarer det udemærket uden denne adgang.
Det kan være mere besværligt, men så heller ikke værre.
Når der er tale om meget følsomme oplysninger, så burde denne adgang være lukket.

Det vil kun være et problem, hvis "fejl 500" ikke står i dokumentationen.
Og så må man bede leverandøren om at specificere hvad fejlen betyder.

Så simpelt er det hvis man har købt et standardsystem uden nogen form for tilretning. Men i tilfældet sundhedsplatformen udgør tilretningerne en meget stor mængde kode. At forestille sig at kvaliteten og dokumentationen af denne kode er som du forventer er naivt. Det vil nemlig gøre det alt for dyrt.

Du misser en del af pointen, Michael Aggerholm. Problemet i USA er, at det er langt sværere, for ikke at sige umuligt, at opklare evt. overtrædelse, og at føre sag om det.

Du mangler forståelse for hvordan sådanne ting håndteres i USA. Der indskriver man i kontrakten at der er penalties for at overtæde reglerne. Man indskriver det også i ansættelseskontrakterne med medarbejderne. I USA er det ikke som i Danmark, hvor medarbejdere stort set ikke kan straffes for den slags. Hvis jeg skulle købe et IT system, hvor leverandøren og dennes medarbejdere havde pligt til at holde noget hemmeligt, så ville jeg 1 mio. gange hellere købe dette i USA.

  • 0
  • 4
Anne-Marie Krogsbøll

Du mangler forståelse for hvordan sådanne ting håndteres i USA.


Nej, jeg har bare en anden synsvinkel, Michael Cederberg. Alting er ikke et spørgsmål om, hvad der står i kontrakten - det er også et spørgsmål om at håndhæve, hvad der står - og det er nu engang vanskeligere at følge op på på den anden side af atlanten, hvor danske kontrolmyndigheder ikke kommer, og hvor retssystemet er et andet. Og da især, når regionerne har udvist meget lidt lyst til overhovedet at følge op.

Man indskriver det også i ansættelseskontrakterne med medarbejderne.


Det håber jeg sandelig også, at man gør herhjemme.

I USA er det ikke som i Danmark, hvor medarbejdere stort set ikke kan straffes for den slags.


Men det kræver jo, at man overhovedet opdager overtrædelser. En ting er (en dårlig) kontrakt, men som det fremgår af Bech-Bruun-rapporten, er det meget svært at komme til bunds i, hvad der i praksis foregår.

  • 5
  • 0
Michael Cederberg

Nej, jeg har bare en anden synsvinkel, Michael Cederberg. Alting er ikke et spørgsmål om, hvad der står i kontrakten - det er også et spørgsmål om at håndhæve, hvad der står - og det er nu engang vanskeligere at følge op på på den anden side af atlanten, hvor danske kontrolmyndigheder ikke kommer, og hvor retssystemet er et andet. Og da især, når regionerne har udvist meget lidt lyst til overhovedet at følge op.

I en kontrakt til mange milliarder er værneting ikke noget problem. Man kan skrive sig ud af den slags. Det sker hver eneste dag.

Og man kan indskrive i kontrakten at danske kontrolmydigheder har lov til at dukke op (dette har nu nok ikke nogen effekt - hverken i Danmark eller USA). Man kan indskrive at virksomheden, som del af den kontinuerlige revision, skal have veldokumentede processer for datahåndtering og at disse skal revideres af den almindelige revision (eller andre hvis man vil). Man kan skrive sig ud af næsten alt. Det sker hele tiden. Både i Danmark og USA.

At Epic er et stort firma gør bare at de har mere på spil hvis man kommer efter dem. Lidt anderledes er det med et baggårdsfirma som kun har en kunde ... hvis kontrakten bliver for sur for sådan et firma bliver så kan man bare lukke firmaet.

Det håber jeg sandelig også, at man gør herhjemme.

Der er meget klare begrænsninger på hvad man kan skrive i danske ansættelseskontraker (ok man kan skrive alt, men domstole vil blot ignorere det meste). I USA kan man næsten fraskrive sig retten til førstefødte i ansættelseskontrakter og domstolene vil følge det skrevne. I Danmark er det et forsøg på at beskytte medarbejderen. USA mangler den slags. I dette tilfælde gør det at det er nemmere kan komme efter medarbejdere der overtræder reglerne.

I USA er det ikke som i Danmark, hvor medarbejdere stort set ikke kan straffes for den slags.

Men det kræver jo, at man overhovedet opdager overtrædelser. En ting er (en dårlig) kontrakt, men som det fremgår af Bech-Bruun-rapporten, er det meget svært at komme til bunds i, hvad der i praksis foregår.

Jeg skal ikke forsvare kontrakten. Jeg kender den ikke. Men hvis man vil, så kan disse ting indgå i kontrakten. Det er ikke unormalt. Kontrakter mellem virksomheder kan i princippet indeholde regler for alt. Anderledes er det i Danmark med kontrakter mellem virksomheder og private.

Mht. at opdage læk af data, så er det værd at huske at denne type data sjældent har værdi uden at det spredes til mange eller offentliggørelses. I så fald vil det være nemt at opdage. Undtaget herfra er selvfølgeligt sager som NETS sagen hvor man målrettet gik efter enkeltpersoner. Endnu engang har jeg svært ved at se Epic sætte deres guldrandede kontrakt over styr, for at virksomheden eller nogle kriminelle medarbejdere skulle få nogle håndører ved at sælge data på det sorte marked.

  • 0
  • 0
Anne-Marie Krogsbøll

Tak for svar, Michael Cederberg.

Og man kan indskrive i kontrakten at danske kontrolmydigheder har lov til at dukke op


Ja, det har man indfældet i kontrakten, at regionen har lov til max en gang årligt (aktindsigt) - men de gør det ikke - som i "aldrig".

Og det er også en del af kontrakten, at såfremt tilsynsmyndigheder beder om lov til at inspicere, så skal regionerne så vidt muligt afværge dette ved, at regionerne selv ordner sagen med tilsynsmyndigheden - på baggrund af de oplysninger, Epic nu finder det passende at stille til rådíghed (aktindsigt).

Og mht. kontrakterne vedr. sikkerheden hos underleverandører, så har Epic lov at undtage indsigt i, hvad de vurderer er forretningshemmeligheder.

Har regionerne faktisk håndhævet den ret, de i følge kontrakterne har mht. at forlange, at systemerne kun kan tilgåes via Epics VPN, eller 2-faktor login? Har de i givet fald kontrolleret, at det så faktisk gennemføres? Og i givet fald - er det så tilstækkelig sikkerhed, hvis systemerne tilgås via mobile enheder, eks. medarbejdernes egne tablets/iPhones?

Og mig bekendt har hverken Bech-Bruun eller Datatilsynet bevæget sig til Epic i USA og tilset, om aftalerne overholdes. Det har åbenbart ikke været en del af den opgave, regionerne har stillet Bech-Bruun. Så i mine øjne svigter regionerne den tilsynspligt, de har.

Men du undgår igen selve kontrolspørgsmålet - det er i høj grad det, der er det springende punkt - selv om de utilstrækkelige kontrakter selvfølgelig også er yderst alvorlige. Min påstand: Der er ingen kontrol - kun aftaler.

  • 1
  • 0
Michael Cederberg

Men du undgår igen selve kontrolspørgsmålet - det er i høj grad det, der er det springende punkt - selv om de utilstrækkelige kontrakter selvfølgelig også er yderst alvorlige. Min påstand: Der er ingen kontrol - kun aftaler.

Som sagt. Jeg kender ikke kontrakten. Jeg vil ikke forsvare kontrakten. Men ud fra hvad du skriver, så lyder det som en standardkontrakt.

Mht. kontrol, så siger jeg det endnu engang: Hvis en leverandør af komplekse IT systemer vil lække data så kan han gøre det. Uden at kunden opdager dette. Det er således en tillidssag.

Du kan lave millioner af inspektioner ... hvis man vil lække data så kan man gøre det uden disse inspektioner opdager dette. Fx. er det intet der sikrer at den kode som kører hos kunden rent faktisk er den samme som forevises ved inspektion. Dette gælder alle systemer som ikke er open source (og open source har stadig issues, men det er en anden sag). Det er af samme grund at Huawei udelukkes fra kritisk infrastruktur. Fordi tilliden mangler.

Værdien for Epic ved at overtræde kontrakten er minimal i forhold til det tab af omdømme de vil opleve. Det er således svært at forestille sig at Norge ville købe Epic, hvis danske patientdata var lækket fra Epic og sejlede rundt på internettet. Tilliden til Epic bygger på således på at folk ikke vil i fængsel og at virksomheden har meget lidt at vinde og meget at tabe ved at overtræde reglerne. Det handler ikke om blind tillid.

  • 0
  • 0
Anne-Marie Krogsbøll

Tak for svar, Michael Cederberg.

Du kan lave millioner af inspektioner ... hvis man vil lække data så kan man gøre det uden disse inspektioner opdager dette. Fx. er det intet der sikrer at den kode som kører hos kunden rent faktisk er den samme som forevises ved inspektion. Dette gælder alle systemer som ikke er open source (og open source har stadig issues, men det er en anden sag). Det er af samme grund at Huawei udelukkes fra kritisk infrastruktur. Fordi tilliden mangler.


Det er jo et godt argument for, at vi ikke skal digitalisere hovedløst - vi skal ikke svinebinde vores samfund til den slags løsninger, som er op til ren tillid. For utallige grimme sager har i tidens løb vist, at tillid er godt - men blind tillid er idioti.

Mht. SP så mener jeg, at regionerne faktisk har en pligt til at inspicere. Og du har garanteret ret i, at man ikke kan fange alt på den måde. Men man kan garanteret fange en del, eks. om det faktisk håndhæves med loginkrav til mobile enheder. Om hændelsesloggen for sikkerhedshændelse ser troværdig ud. Om passwords og følsomme data ligger og flyder på skrivebordene etc. Bjarne Nielsen og andre plejer at kunne levere en masse gode eksempler, hvis de har tid.

Inspektion skal selvfølgelig foregår uvarslet - ellers er de ikke meget værd. Så det må være et krav i kontrakten, at man har ret til uvarslet tilsyn - ikke det modsatte, at man skal gøre, hvad man kan for at spænde ben for tilsyn.

Mht værdien for Epic så er det jo ikke primært et spørgsmål om, om Epic som firma videregiver vore data, men mere om, om de har styr på at forhindre deres medarbejdere i at stjæle/sjuske med data.

For et par år siden havde Epic en stor sag med en medarbejder, som efter fratrædelse ulovligt kopierede Epics system - så der gik der i hvert fald noget galt med sikkerheden.

  • 1
  • 0
Michael Cederberg

Mht. SP så mener jeg, at regionerne faktisk har en pligt til at inspicere. Og du har garanteret ret i, at man ikke kan fange alt på den måde. Men man kan garanteret fange en del, eks. om det faktisk håndhæves med loginkrav til mobile enheder. Om hændelsesloggen for sikkerhedshændelse ser troværdig ud. Om passwords og følsomme data ligger og flyder på skrivebordene etc. Bjarne Nielsen og andre plejer at kunne levere en masse gode eksempler, hvis de har tid.

Min pointe er at hvis Epic ønsker at snyde, så kan de det. Uden at det kan opdages. Det er ikke svært.

Det du henviser til handler om hvorvidt Epic sjusker. Det er til den slags man har en revision. De kan vurderer de processer der ligger bag. Normalt vil man indskrive den slags i kontrakter.

Mht værdien for Epic så er det jo ikke primært et spørgsmål om, om Epic som firma videregiver vore data, men mere om, om de har styr på at forhindre deres medarbejdere i at stjæle/sjuske med data.

Som sagt. Det er lige præcist den slags kontrakter, revision, etc. håndterer.

For et par år siden havde Epic en stor sag med en medarbejder, som efter fratrædelse ulovligt kopierede Epics system - så der gik der i hvert fald noget galt med sikkerheden.

Har du et link? Men umiddelbart lyder det som om medarbejderen rent faktisk skulle have adgang til koden og blot misbrugte denne adgang. Det er for så vidt ikke anderledes end hvis sygeplejersker kopierer journaler og sælger disse. Det har ikke noget med sikkerhed at gøre.

  • 0
  • 1
Michael Cederberg

Ja, her:
https://www.bankinfosecurity.com/jury-awards-ehr-vendor-940-million-in-t...​

Det har ikke noget at gøre med sikkerhed. De havde lov til at tilgå dokumenterne til specifk brug. De brød kontrakten. De betaler 6 mia. kroner i bøde ... det gør de nok ikke igen ... det er svært at forestille sig at dokumenterne er 6 mia. værd. Et godt gæt er at de aldrig er blevet brugt til noget; det er svært at bruge den slags. Hvis det havde været et dansk firma der blev snydt, så var bøden blevet meget mindre ...

Under alle omstændigheder er det ikke noget man kan gardere sig imod. Hverken i danske eller udenlandske virksomheder eller i det offentlige. Forskellen er at det har konsekvenser for virksomheder hvis de bryder reglerne.

Netop fordi amerikanske virksomheder er vant til den slags hvor man kan tabe rigtigt mange penge på medarbejdernes fejl og omgåelse af regler, så er det meget i fokus. Den juridisk afdeling i amerikanske virksomheder har meget magt og er blandet ind rigtigt mange steder. Meget mere end danske. Derfor oplever man også nogen gange konflikter omkring rigid amerikansk styring når den implementeres i danske virksomheder.

  • 0
  • 0
Anne-Marie Krogsbøll

Det har ikke noget at gøre med sikkerhed.


Det har noget med opfølgning på sikkerheden at gøre, at man ikke har haft tjek på, hvem der har haft adgang, og om de har downloaded ting, de ikke burde downloade. Og at der er gået så lang tid, inden man opdager, at noget er galt.

Citat fra artiklen:
"A key lesson here is that in healthcare, information security is not limited to electronic protected health information," says privacy attorney Adam Greene of the law firm Davis Wright Tremaine, "

"Companies need to have an overall security plan that addresses all of their risks, Nahra, the attorney, stresses. "The laws and regulations tend to focus on personal data, but businesses need to be equally concerned about other kinds of data that they hold," he says."

When it comes to sharing data with third-party vendors, it's important to set strict limits on what data is accessible and for how long, says security expert Andrew Hicks, healthcare and life sciences practice leader of risk management consulting firm Coalfire. "Access should only be active when they're providing services," he says. "If they're on a month-long contract, that access should be terminated when that month is up, and reopened if necessary."

Det lyder til, at i hvert fald artiklens forfatter mener, at det har med sikkerhed at gøre. Og Bech-Bruun peger jo netop på manglende tidsbegrænsning for adgange som et sikkerhedsproblem. I mine øjne er den nye praksis med at fratage adgangen efter 3 måneder alt for slap. Det er alt for lang tid.

Skal det forstås sådan, at du ikke er enig i Bech-Bruuns påpegninger af sikkerhedsrisici?

  • 0
  • 0
Michael Cederberg

Skal det forstås sådan, at du ikke er enig i Bech-Bruuns påpegninger af sikkerhedsrisici?

Jeg har ikke læst deres rapport. Jeg har ingen indsigt i hvordan SP styres.

Det lyder til, at i hvert fald artiklens forfatter mener, at det har med sikkerhed at gøre.

Et website der arbejder med information security mener at vi skal gøre mere ved information security. Det synes ikke overraskende.

At Epic ikke passer supergodt på deres egne dokumenter er ganske naturligt. Man har forskellig dokument/dataklassifikation og det her var vurderet som mindre vigtigt. Typisk vil man have ganske få hemmeligheder som man passer godt på og resten deles relativt frit i virksomheden. Data som man får fra andre og hvor der er en NDA håndteres efter specielle regler.

Virksomheden kan ikke sagsøges for at sprede egne data; derfor vælger man et niveau der er afpasset mht. sikkerhed og tilgængelighed. Data man har fra andre håndteres efter kontraktuelle regler. Fordi man kan sagsøges for at bryde reglerne; uanset om det har nogen betydning at man brød reglerne.

  • 0
  • 0
Anne-Marie Krogsbøll

Region H er kommet med en redegørelse til regionsrådet om sagen. Der står:

" Vi passer på patienternes data - orientering om omtale af DPIA og patientdata i Sundhedsplatformen
En række medier har i weekenden den 22. – 23. juni en omtale af Sundhedsplatformen, hvor amerikanske Epic er leverandør. I omtalen fremstår det som om, at ”danske patientdata ender i USA”. Efterfølgende har mediebilledet den 24. juni udvidet sig til også at involvere regionens nuværende metode for logopfølgning.
Denne orientering er derfor udvidet med oplysninger herom.
Omtalen tager afsæt i en såkaldt DPIA, som Region Hovedstaden og Region Sjælland selv har bestilt udarbejdet af advokatfirmaet Bech-Bruun. En DPIA (Data Protection Impact Assessment) udarbejdes i forbindelse med indførelse af nye eller væsentligt ændrede systemer, der behandler persondata. Det sker i relation til Sundhedsplatformen, og det sker for alle andre systemer, som indføres til behandling af persondata.
Der er tale om en rapport fra oktober 2018 bestilt af administrationen i de to regioner for at kvalitetssikre håndteringen af data som led i det samlede interne tilsyn. I rapporten er der nævnt 14 områder, som er sorteret efter ”rød, gul, grøn” alt efter, hvor kritiske Bech-Bruun vurderer de er. Efter intern behandling af emnerne, er det konkretiseret til ni emner, som indeholder fire røde risici og fem gule risici. Alle ni risici er løftet ind i handlingsplanen for informationssikkerhed i Sundhedsplatformen. De væsentligste emner indgår også i den samlede handlingsplan for informationssikkerhed for hele Region Hovedstaden, som indgår i den årlige status om informationssikkerhed til regionsrådet.
I analysen for Sundhedsplatformen fokuseres på potentielle risici, og der er i den forbindelse fokus på de to regioners aftaler med Epic, som regulerer leverandørens adgang til persondata i forbindelse med fejlretning. I rapporten er der ligeledes fokus på Region Hovedstadens logningskontrol af medarbejderes adgang til persondata (sundhedsdata). Den sidste problemstilling er ikke aktuel i relation til Region Sjælland, som fra starten har benyttet en automatisk og systematisk opfølgning på klinikeres tilgang til sundhedsdata. Denne løsning indføres i Region Hovedstaden inden udgangen af 2019.
Adgang for Epic-medarbejdere Med hensyn til, at medarbejdere i Epic (i USA) har adgang til danske sundhedsdata, så er det korrekt. Det er en nødvendighed, i forhold til at kunne supportere og fejlrette hurtigt og effektivt. Hvis en sådan adgang ikke var mulig, ville problemer ikke kunne løses hurtigt. De to regioner kan give navngivne
medarbejdere hos Epic mulighed for at se patientdata, men data ligger i Danmark i de to regioners datacentre og ejes af Region Hovedstaden og Region Sjælland. Data ligger ikke i USA. Og amerikanske myndigheder kan ikke tilgå danske sundhedsdata i regionernes datacentre.
Det er i øvrigt helt sædvanligt og også nødvendigt, at producenter af software i konkrete situationer kan tildeles adgang til data i forbindelse med fejlretning.
Det er tilfældet for en lang række andre systemer, som benyttes i alle dele af sundhedssektoren – i andre regioner og i staten. De regler og retningslinjer, der er aftalt med Epic, er i overensstemmelse med hvad man ellers ser. De øvrige europæiske kunder hos Epic, bl.a. Holland, Finland, England m.fl. har alle samme supportsetup med Epic.
Epics adgang til persondata sker i henhold til den standard EU-kontrakt, som de to regioner har med Epic og den fælles databehandleraftale. Aftalerne er indgået indenfor rammerne af EU’s regler på området. De udvalgte supportmedarbejdere i Epic, som supporterer systemet i Danmark, har de samme adgange til systemet, som de danske supportmedarbejdere, der er ansat i regionen og kan se de samme oplysninger. Man er underlagt de samme regler som alle andre – og alt færden i systemet, det gælder for både læger, sygeplejersker
og supportmedarbejdere i både ind- og udland, logges.
Logopfølgning på hospitalerne Omtalt i Politiken den 23. og 24. juni er også regionens logopfølgning i henhold til, at ”sundhedspersonale kan uopdaget snage i patientdata”.
Alle oplysninger som tilgås i Sundhedsplatformen logges. Hidtil har regionerne foretaget logopfølgning manuelt gennem stikprøver. I Region Hovedstaden sker det ved at kontrollere 10 brugere pr. afdeling over en periode på 7 dage.
På ét år kontrolleres alle afdelinger. Region Hovedstaden har fulgt erfaringerne fra Region Sjælland, der som de første har taget en automatisk logopfølgning i brug. Region Hovedstaden indfører derfor i efteråret 2019 det samme automatiske system som i Region Sjælland."

https://www.regionh.dk/politik/nye-moeder/Documents/Forretningsudvalget-...

Nå - har regionen forklaret sig tilstrækkeligt? Mig forekommer det, at man fortsat snakker uden om, at det er vanskeligt at føre ordentligt tilsyn i USA, og at det er vanskeligt at retsforfølge evt. brådne kar efter danske regler og kontrakter, når folk befinder sig i USA. Det er muligt, at det er samme elendighed i andre lande - det gør det bare ikke bedre.

Og havde man indført disse foranstaltninger allerede inden medieomtalen, eller har det haltet i regionen i nogle år?

Og så har Flemming Sylvest Petersen lagt et svar fra administrationen vedr. aktivitetsniveauet på Splatformen ud på Sundhedsplatformen Nej Tak:
https://www.facebook.com/groups/217879532080844/permalink/557780818090712/

Her forekommer det mig (og andre), at man meget snedigt har valgt at sammenligne med starten af SP og de følgende år - man fremlægger ikke tallene ift. årene før Splatformens igangsættelse - hvilket vel er det interessante. Så sikke en gang spin. De bliver aldrig klogere - eller ærligere.....

  • 0
  • 0
Gert Madsen

Det er i øvrigt helt sædvanligt og også nødvendigt, at producenter af software i konkrete situationer kan tildeles adgang til data i forbindelse med fejlretning.


Ja, det er sædvanligt, og nej, det er ikke nødvendigt.
I praksis har man en adgang, som åbnes i en aktuel situation, hvor man har supporteren i telefonen, og der lukkes så igen umiddelbart efter at de aktuelle data er gennemset.
Jeg erindrer mere at have læst om at supporterne havde permanent adgang. Men det kan da bare have været min tolkning.

  • 1
  • 0
Log ind eller Opret konto for at kommentere