Efter kritik af snageri i sundhedsdata: Sådan overvåger du adgangen til dine egne data

Illustration: ever/Shutterstock Inc
Med funktionen 'Min log' kan man som borger undersøge, om nogen uberettiget følger med i ens sundhedsdata. Meget få danskere kender til funktionen.

Hvis du er i aktuel behandling, har ansatte i sundhedsvæsenet lovlig adgang til dine sundhedsoplysninger. Men det er ikke alle, der må kigge med.

Det er kun den læge, sygeplejerske eller lægesekretær, der er involveret i din behandling, der lovligt har adgang til dine sundhedsdata. Det skriver sundhed.dk

I en artikel på DR bliver det stærkt kritiseret, at alle ansatte i sundhedssektoren i princippet kan følge med, og adgangen bliver betegnet som ‘meget lemplig’.

»Det er jo faktisk en ekstrem lempelig adgang. Hvis du henvender dig med en banal skade på en skadestue og skal syes med to sting, så har både sekretæren, der tager imod dig ved skranken, og sygeplejersken, der vasker dit sår, og lægen, der syer dig, adgang til hele din journal,« fortæller læge Thomas Birk Kristiansen til P1 Dokumentar.

Men faktisk har du som borger mulighed for at følge med i, om nogen uberettiget snager i ens sundhedsoplysninger ved hjælp af funktionen ‘Min log’.

Ifølge sundhed dk. er der kun 14 procent af danskerne, som kender funktionen ’Min log’, hvor det er muligt at se, hvem der har set med i din journal og medicinoplysninger.

Det gør ’Min log’ til den mindst kendte og anvendte funktion, blandt de tjenester man kan tilgå på sundhed.dk, og det overrasker bestyrelsesformanden Jens Stenbæk.

Gennemsigtighed er vigtigt

Blandt danskerne hersker der bred enighed om, at ens sundhedsdata skal kunne deles med behandlere, der ikke kender dem i forvejen.

I en undersøgelse sundhed.dk har lavet er 83 procent helt enige og 11 procent delvist enige i, at andre behandlere skal have fuld adgang til danskernes sundhedsoplysninger.

Det er ifølge Jens Stenbæk positivt da det minimere risikoen for fejlbehandlinger.

»Sundhedsdata er tilgængelige for at sikre, at patienten får den rette behandling uanset, hvor vedkommende kommer hen i sundhedsvæsenet. I akutte situationer kender behandlerne ikke patientens sygdomshistorie eller allergier, men skal alligevel kunne reagere hurtigt. Her er adgangen til sundhedsdata en stor hjælp,« skriver bestyrelsesformand for sundhed.dk.

De digitale muligheder er ifølge sundhed.dk allerede en integreret del af sundhedspersonalets arbejdsgang, men danskerne mangler stadig at udnytte de fordele der er ved tjenester som eksempelvis ‘Min log’.

Sådan fungerer ‘Min log’

Hvis en behandler i sundhedsvæsenet eller på apoteket går ind på sundhed.dk og slår dine personlige sundhedsdata op, bliver det registreret i ‘Min log,’ som ingen andre har adgang til end dig selv.

Man kan se log-oplysninger for de seneste to år, samt hvilke oplysninger personerne har været inde at se på.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (14)
Gert Madsen

"Hvis en behandler i sundhedsvæsenet eller på apoteket går ind på sundhed.dk og slår dine personlige sundhedsdata op, bliver det registreret i ‘Min log,’ som ingen andre har adgang til end dig selv."

Hvis det er rigtigt, så er man gået meget langt for at sikre mod at uvedkommende kan se denne log.
Hvilket er noget mærkeligt eftersom dens indhold er mindre følsomt, end de sundhedsdata, som den angiveligt afslører adgangen til.

Hertil kommer de generelle sikkerhedsanbefalinger, som foreskriver at der skal være nogle folk, der har til opgave at lave analyser på en sådan log, med det formål at finde mistænkelige forhold, og afsløre misbrug.

Endeligt, så er der den detalje, at den påtænkte centrale database under sundhedsdatastyrelsen, IKKE tænkes underlagt krav om adgangslog.
Dvs. man kan pr. definition ikke stole på oplysningerne i den log.

Jørgen A Thomsen

Tilgang til mine data foregår via en lang række interne systemer og yderst sjældent via sundhed.dk.
Derfor kan jeg ikke se, hvem der tilgår mine data.
Det eneste jeg har på opslag i mine data er et nylig opslag om vaccinationer foretaget af den læge, der gav mig en influenzavaccination i et offentligt tilbud. Det er dog positivt, at jeg kan se, at han ikke har snaget i andet end vaccinationsdata.

Mikkel Holm

Det er en illusion at tro man som borger har gennemskuelighed i hvem der tilgår ens data. Funktionen er lavet for at snyde Hr. og Fru Danmark og skabe en illusion om kontrol.

Desværre er der ikke logning i tilstrækkelig grad til at komme i nærheden af kontrol. Kan nævne et eksempel, hvor jeg bad om agtindsigt ved Sundhedsdatastyrelsen efter lækket med de to CDer. Her sad medarbejderen med fuld adgang til alle mine sundhedsdata igennem et helt liv og sikrede sig at dataerne også tilhørte mig. Medarbejderen figurere ikke på listen over folk der har tilgået mine data. Og om nogen, så må det da være en sådan medarbejder inden for staten?

Det kunne være dejligt at se et par kritiske indslag fra Version2, der virkelig gik i dybden med den lemfældige omgang af persondata i det offentlige; og virkelig fik sat fokus på den umyndiggørelse der forgår lige i øjeblikket hvor digitaliseringen buldre frem.

Christian Schmidt

De to fejlafleverede cd-rom'er indeholdt både CPR-numre og diagnosekoder. Det er i sagens natur ikke muligt at tjekke, hvem der læser en bestemt cd-rom, hverken hos den forkerte eller den rigtige modtager.

Jeg tvivler også på, om Statens Serum Institut og Danmarks Statistik (afsender og modtager af cd-rom'erne) er i stand til at spore adgang til oplysningerne.

Adgang til de praktiserende lægers registre er tilsyneladende heller ikke omfattet af loggen.

Men retfærdigvis skal det siges, at det er en mindre personkreds, der har adgang til oplysningerne i rå form, hvor adgangen ikke bliver logger, så som udgangspunkt er loggen på Sundhed.dk et fornuftigt tiltag. Men den er langt fra dækkende, og det bør man oplyse om.

Bjarne Nielsen

Men den er langt fra dækkende, og det bør man oplyse om.

Det gør man sandelig også. Jeg citerer fra det opslag, som artiklen linker til:

Min Log kan derimod ikke vise opslag i systemer, der ikke er koblet til portalen sundhed.dk – f.eks. den praktiserende læges opslag i eget journalsystem eller sygehusansattes opslag på sygehusenes i lokale journalsystemer.

Så ja, det er helt rimeligt at kritisere løsningen for kun at synliggøre toppen af isbjerget - men på den anden side, så er det jo en god start. Jeg så gerne, at der bliver indretningspligt til loggen, også for "forskerdata" og afledte registre, som f.eks. den mega-database over os alle, som Sundhedsdatastyrelsen er ved at opbygge (og som de åbenbart ikke aner, hvad de skal bruge til).

I øvrigt mener jeg, at man i de tidlige dage for sundhed.dk var bekymret for, at det ikke var alle, som kunne tilgå "Min log" (det var dengang at digital signatur var baseret på borgernes egne private nøgler), og man derfor havde en sideløbende proces kørende med stikprøver, hvor man skrev papirbreve til folk (ja, det var også inden at man underminerede vores postvæsen), og bad dem melde tilbage, hvis de synes der var noget underligt. Findes disse stikprøver mon stadig, eller blev det bare ved snakken?

Michael Aggerholm

Jeg vil opfordre alle til at trække vejret og få pulsen lidt ned. Der er så let at male fanden på væggen og skylle barnet ud med badevandet og hvad man nu ellers har af gode ordsprog.

Det offentlige er stigmatiseret som forvalter af IT. Det er stort set pr. definition i de flestes bevidsthed, at det offentlige "ikke kan finde ud af at passe på data". Det til trods for at der relativt set er meget, meget få sager eller kritik der reelt har noget på sig når man tager mængden af registre og tilknyttede systemer i betragtning. Og når det går galt så er det som regel på grund af menneskelige fejl og ikke IT systemerne der ikke virker.

Forvaltningen af de data vi tankeløst lader diverse mere eller mindre pålidelige cloudbaserede sociale tjenester få om os er langt dårligere, og der sker langt flere læk med ret alvorlige konsekvenser for dem det går ud over. Har I hver især checket https://haveibeenpwned.com/ for nyligt?

Der er faktisk rimelig godt styr på IT sikkerheden i det offentlige. Den menneskelige faktor er en anden sag, men hvis systemerne designes for rigidt så går det ud over arbejdsgangene og så kommer man igen i Version2.

Det er faktisk overvejende en god ting at data deles mellem systemerne, at der analyseres på anonymiserede data og at din læge ved hvad du får af medicin selvom du fik det på sygehuset. Det er altsammen noget der kommer borgerne til gode, og de fordele drukner lidt for let når alle sølvpapirhattene slippes løs ved tastaturet.

Michael Hansen

Det er faktisk overvejende en god ting at data deles mellem systemerne, at der analyseres på anonymiserede data og at din læge ved hvad du får af medicin selvom du fik det på sygehuset. Det er altsammen noget der kommer borgerne til gode, og de fordele drukner lidt for let når alle sølvpapirhattene slippes løs ved tastaturet.

Jeg har intet problem med det, så længe det er mig selv der har kontrol over mine dybt personlige oplysninger, absolut minimum er 100% central log over hvem og hvad folk har set på, uanset hvilket system de har læst dem fra.

Vi skal ikke længere tilbage end:
http://www.dr.dk/nyheder/indland/umuligt-faa-fjernet-fejl-i-vores-journaler

Alle fejer det til side og kan intet gøre ved forkerte data, hvis tingene står så slemt til, hvad så med alle andre områder?

Gert Madsen

[quote id=343069]
Det offentlige er stigmatiseret som forvalter af IT
[/quote
Stigmatisering skulle vel betyde at folk mener at private firmaer er bedre til at passe på vores data. Det synes jeg ikke at jeg kan genkende.
Men at der er problemer, kan jeg ikke se nogen tvivl om:
- Jeg læser om direktøren for sundhedsdatastyrelsen, som ikke kan se, at etablering af nye kopier af data i en central database, skulle øge risikoen for datalæk.
- Jeg læser utallige interviews, hvor ledere af offentlige myndigheder, forskere etc. omtaler data om borgerne, som deres ejendom, som de kan skalte og valte med efter forgodtbefindende.
- Jeg læser den ene bortforklaring efter den anden, og total fraværende interesse for at afdække ansvaret for de datalæk, som vi har set.
- Jeg læser om lobbyarbejde, for at forhindre sanktioner mod offentligt ansatte, når de sjusker, eller aktivt lækker oplysninger.
- Jeg ser offentligt ansatte, som taler om høje sikkerhedskrav, og som samtidigt ser ud til at være faldet ned fra månen, når man fortæller dem, at CPR-numre er hemmelige, og ikke må ligge og flyde på skranken.
- Jeg læser påstande om "anonymiserede" data, og når det kommer til hvordan anonymiteten sikres, så er der ikke noget svar.
- Jeg ser det ene projekt efter det andet, blive tvangsimplementeret på trods af at basal funktionalitet ikke er på plads.

Så opfattelsen er velbegrundet. Der er ikke behov for konspirationsteorier, sølvpapirshatte eller andet, for at nå frem til at det kniber gevaldigt med evnerne til at passe på vores data.

Bjarne Nielsen

... dagens nedenstående artikel fra ugeskriftet.dk skal forstås ...

Interessant at de mange overlæger er frustrerede over at blive holdt i uvidenhed om de mange registreringer, som de forventes at foretage, bliver brugt til noget.

Nu er dagens ord åbenbart "data-skepsis", og dagens tema manglende tillid. Lad mig for en gangs skyld tage ja-hatten på, og komme med et forslag:

I stedet for at være bange for borgerne, og prøve på at holde det skjult, hvad de bruges til, så send dem i stedet et pænt takkebrev for deres medvirken (i den digitale postkasse, hvis det ikke kan være anderledes), hvor man henviser til en passende artikel på videnskab.dk, som beskriver de fantastiske resultater, som de har været med til fremkommer.

Mon ikke det kunne få en eller anden til at være lidt stolt ved næste familiesammenkomst? Det løser selvfølgelig ikke problemet med de frustrerede overlæger, men det kan jeg måske godt leve med.

Anne-Marie Krogsbøll

Ja, man kan godt få lyst til ja-hatten en gang imellem, Bjarne :-) Jeg arbejder hårdt på at turde - især her op til weekenden - dejligt hvis den kunne stå i ja-hattens tegn.
Der er dog en sætning i artiklen, der bekymrer mig: "Og regionerne skal turde slippe data fri til klinikerne. "

Svært at vide, hvad der ligger i den - man kan bare have sine bange anelser - based on experience...

Mikkel Holm

Forvaltningen af de data vi tankeløst lader diverse mere eller mindre pålidelige cloudbaserede sociale tjenester få om os er langt dårligere, og der sker langt flere læk med ret alvorlige konsekvenser for dem det går ud over. Har I hver især checket https://haveibeenpwned.com/ for nyligt?


Den store forskel er her, at vi som borger selv kan vælge om vi vil ligge personlige ting i den private skyen eller ej. De IT-kyndige folk herinde kunne aldrig drømme om at ligge sine sundhedsdata i sådan skyen i plaintext. Det samme valg har vi dog ikke i det offentlige og derfor synes jeg ikke du kan sammenligne.

Der er faktisk rimelig godt styr på IT sikkerheden i det offentlige. Den menneskelige faktor er en anden sag, men hvis systemerne designes for rigidt så går det ud over arbejdsgangene og så kommer man igen i Version2.


Har du fulgt med de seneste par måneder? Datalæk af hele landets sundhedsdata tilknyttet CPR og derfor identificerbar, læge sendte sundhedsdata forkert til kriminelle, kommunal medarbejder gemte fortrolige oplysninger på privat enhed og Datasundhedsstyrelsen sendte forkerte agtinformationer til borger. Og det er kun de sager der er kommet frem. Datatilsynet og Rigsrevisionen lader mere til at have en dækkende rolle, end en reelt sikring af borger.

Det ville være skønt med en funktion i det offentlige der hedder:'retten til at blive glemt' :)

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017