Efter Schrems II: Sådan vil Region H sikre Sundhedsplatformen mod amerikansk overvågning

8 kommentarer.  Hop til debatten
Efter Schrems II: Sådan vil Region H sikre Sundhedsplatformen mod amerikansk overvågning
Illustration: Tomas Bertelsen.
Arbejdet med at leve op til GDPR-reglerne efter Schrems II-dommen er kommet ét skridt længere, efter at Region Hovedstaden har holdt møde om Sundhedsplatformen med den amerikanske leverandør, Epic.
23. marts 2021 kl. 03:45
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Risikoen for, at danskeres sundhedsdata ender i hænderne på amerikanske efterretningstjenester, er meget lille, mener Region Hovedstaden.

Anna Olga Aaskilde Laursen er sektionschef og CISO i Region Hovedstaden, og i lyset af Schrems II-dommen holdt hun i starten af marts møde med leverandøren bag Sundhedsplatformen, amerikanske Epic, for at diskutere overførslen af danskernes sundhedsdata til USA.

Den slags overførsler sker i forbindelse med nogle supportsager til Epics supportfunktion i USA.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
8 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
8
24. marts 2021 kl. 11:46

Det er politisk, og det skal politikerne sige, --- uagtet de med garanti ikke selv tror på det. Hvis de nu sagde at de ikke stolede det, har den/de pågældende jo et ganske alvorligt problem. Sådan "snyder" men på vægtskålen, og man kan jo ganske enkelt ændre standpunkt udadtil, hvis det kommer dertil?

7
23. marts 2021 kl. 12:54

Nu er jeg jo normalt meget skeptisk, men jeg synes det lyder som om at Anna Olga Aaskilde Laursen har forstået problemet og det er ikke uvæsentligt.

I et land som pr. definition er et usikkert tredjeland, giver det ingen mening at diskuterer ”Region Hovedstadens ekstra foranstaltninger”.

Der er kun en løsning som virker, og det er at data fysisk opbevares i EU og support fysisk sker fra EU.

Sker det ikke må aftalen ophører og en erstatningssag indledes imod udbyderen (Epic), for deres løsning har på intet tidspunkt levet op til lovens krav.

Det er jo ikke noget som er kommet ”over natten”. Var det ikke i 2013 den første Schrems II retssag startede?

Vi ved fra Snowdens afsløreringer at Microsoftsallerede samarbejde tæt med NSA omkring 2001 om at sikre at NSA kunne dekryptere alt from https://outlook.com, Fra Skype mv. - Kilde.

Så Microsoft har med den ene hånd hjulpet NSA og med den anden hånd leveret et produkt som de godt selv vidste – var usikkert.

Og der er jo ikke anderledes med resten af IT-giganterne – i kan selv sætte jer ind i detaljerne.

Denne - Sundhedssystemets - barnetro på, at Epic er anderledes, er det som for alvor ryster mig!

6
23. marts 2021 kl. 12:13

Indianeren: Hvis jeg hjælper dig, kan du så love at du ikke bidder mig? Slagen: Ja ..... En dag kom indianeren hjem fra jagt og sætter sig hos slange, da han mærker et stik i sin lend.. Indianeren: Hvorfor bed du mig? Slangen: Jeg er en slange. Det har du altid vidst.

5
23. marts 2021 kl. 11:32

Den eneste løsning på lang sigt er jo at komme helt væk fra at bruge amerikanske virksomheder som databehandlere

Ja, enig.

Hvis Region H supplerer deres forståelse for problemets omfang, med en plan for hvordan de kommer helt væk fra at bruge et amerikansk firma som databehandler, så begynder det at ligne noget

Det tror jeg til gengæld ikke kommer til at ske frivilligt - desværre. Region H har på intet tidspunkt, siden bl.a. Version2 og dets kommentarpor her i efterhånden mange år - fra før man valgte at købe EPIC-løsning - har forsøgt at råbe op om problemet, vist nogen som helst vilje til at tage dette problem alvorligt. Tvært imod har man gjort, hvad man kunne for at mørklægge det - man gider ikke ha´ med det at gøre. Man er alt for gode venner med Epic - man har brugt alt for mange hyggelige kursusdage (UGM's og EGM'S) i Harry Potterland. Er blevet alt for glade for at være en del af den spændende verdensomsspændende Epic- InCrowd - det slipper man ikke igen....

https://www.epic.com/community

https://www.nytimes.com/2018/12/20/business/epic-systems-campus-verona-wisconsin.html

Mit gæt: Det offentlige finder en eller anden "hovsa"-dispensationsløsning for at redde Region H fra Schrems - i stil med de andre områder, hvor det offentlige "fifler" med overholdelsen af love og regler om datasikkerhed og retten til privatliv. Det er jo ikke ukendt - eks. ulovlig logning.

4
23. marts 2021 kl. 09:11

Nu er jeg jo normalt meget skeptisk, men jeg synes det lyder som om at Anna Olga Aaskilde Laursen har forstået problemet og det er ikke uvæsentligt.

Det er positivt at man forsøger med forskellige tiltag, men det er jo som der siges, en nærmest umulig opgave at sikre data mod de amerikanske myndigheders overgreb.

Den eneste løsning på lang sigt er jo at komme helt væk fra at bruge amerikanske virksomheder som databehandlere og det tror jeg at Anna Olga Aaskilde Laursen er klar over.

Warrant canaries vil være et brud på amerikansk lovgivning, så det er ikke en farbar vej. Et EPIC-ejet supportcenter i EU løser heller ikke problemet. De andre tiltag, kryptering og sløring af data, er skridt i den rigtige retning, men i det lange løb ikke praktiske.

Hvis Region H supplerer deres forståelse for problemets omfang, med en plan for hvordan de kommer helt væk fra at bruge et amerikansk firma som databehandler, så begynder det at ligne noget.

3
23. marts 2021 kl. 07:33

Det nærmer sig jo komiske Ali når man læser om ”Region Hovedstadens ekstra foranstaltninger”. Ingen af de såkaldte foranstaltninger vil forhindrer amerikansk overvågning.

Det handler om at amerikansk (overvågnings-) love bare ikke gælder for EU data og det har Det Europæiske Databeskyttelsesråd vurderet ikke kan ske i USA.

Alt andet end - at alle data og alt support flyttes til EU – virker ikke!

1
23. marts 2021 kl. 06:11

Hvis FISA har bedt om at udlevere data, så kan de lægge en mundkurv på virksomheden, som ikke må fortælle at udleveringen er sket. I det tilfælde er Epic's forsikring om at de ikke er blevet bedt om at udlevere data ligegyldig og måske løgn.

Den problemstilling er jo netop noget EU domstolen tog stilling til.