Denne artikel stammer fra den trykte udgave af avisen Ingeniøren.
Brugernavne og kodeord på medicinsk udstyr og online-sundhedstjenester har ligget frit tilgængelige i Region Hovedstadens såkaldte ‘wiki’; dokumentsystemet VIP.
Det har Ingeniørens it-medie, Version2, afsløret de seneste uger, og sagen er endnu et eksempel på et problem, som flere kritikere har peget på: at der er behov for en opstramning af sundhedsvæsenets datasikkerhedskultur.
VIP står for ‘vejledninger, instrukser og politikker’, og tanken med systemet er, at sundhedsansatte i Region H her på en nem måde via en hjemmeside kan få adgang til 25.000 vejledninger om behandlinger og udstyr, som er nødvendige for at drive hospitaler og klinikker.
Problemet er bare, at det har været for nemt – faktisk har enhver kunnet kigge med som anonym bruger, og det er ikke bare harmløse vejledninger, enhver har kunnet se.
Eksempelvis har VIP indeholdt et læge-login til sædbanken Cryos’ hjemmeside samt passwords til medicinsk hospitalsudstyr og medicinske nettjenester.
Ikke desto mindre lagde Region Hovedstaden ud med at fastholde, at VIP skulle være åbent og indholdet tilgængeligt. Blandet andet nedtonede regionen problemet ved at påpege, at de kodeord og brugernavne, Version2 havde fundet, var til såkaldt lukkede systemer.
I et skriftligt svar definerede direktør i Region Hovedstadens Center for Sundhed Anne Skriver Andersen lukkede systemer således:
»Lukkede systemer er systemer, som ikke er umiddelbart offentligt tilgængelige. F.eks. software på en lokal pc, apparatur på en afdeling eller hardware på en afdeling. Lokale pc’er er jo desuden beskyttet af personalets egne passwords.«
Altså systemer, hvor der ikke er umiddelbar adgang fra internettet.
Netadgang til sygehussystemer
Siden fandt Version2 dog flere brugernavne og kodeord til systemer, som netop er koblet til internettet.
Herefter holdt regionen op med at tale om, at de frit tilgængelige kodeord kun var til lukkede systemer. Region H har desuden erkendt, at det var en fejl, at der var adgang til lægekontoen i sædbanken Cryos:
»Vi havde i første omgang ikke bemærket, at de loginoplysninger, der lå tilgængelige til Cryos, var loginoplysninger til en speciallæges konto – og ikke til patientkontoen, som det burde havde været. Fra lægens konto kunne man ændre brugernavnet, som du har bemærket – og trække generel statistik, som ikke er koblet op på konkrete patienter,« skrev Anne Skriver Andersen og fortsatte:
»Patientkontoen skulle være tilgængelig, fordi patienterne gennem denne kunne få rabat. Vi beklager selvfølgelig, at vi i første omgang ikke var skarpe på, hvilken adgang der var kodeord og brugernavn til.«
Senere i Version2’s research er der også dukket en instruks om ændring af telefonsvareren på akuttelefonen 1813 op i VIP. Først lød forklaringen fra regionen, at oplysningerne i instruksen – blandt andet et telefonnummer til administration af 1813 – var forældede og ubrugelige.
Efter opfølgende spørgsmål fra Version2 fandt regionen dog frem til, at telefonnummeret faktisk var til en aktiv tjeneste, som så blev lukket.
Ifølge regionen har instruksen, som også indeholder en kode, dog på intet tidspunkt gjort det muligt faktisk at ændre noget i forhold til 1813 – hvilket Version2 af etiske grunde ikke har testet.
Selve standardkodeordet til VIP lå også i systemet. Det var ‘vip123’, og i et dokument i VIP blev brugere direkte – og i strid med normal it-sikkerhedspraksis – opfordret til ikke at skifte det. Også her reagerede regionen først, da Version2 gjorde opmærksom på problemet. En intern mail blev sendt rundt, hvoraf det fremgik, at der af sikkerhedsmæssige årsager ville blive lukket ned for brug af ‘vip123’.
Nye registre på vej
Det er langtfra første gang, at egentlige læk eller artikler i pressen om uheldig datahåndtering i sundhedsvæsenet har tvunget dataejerne til opstramning af procedurer og sikkerhedsforanstaltninger.
Et eksempel var, da sundhedsdata og personnumre på over fem mio. danskere i ukrypteret form ved en fejl blev afleveret hos et privat kinesisk firma. Også andre patientdata er i flere tilfælde sendt lige i hænderne på de forkerte.
Samtidig opbygger Sundhedsdatastyrelsen store samlinger af data, f.eks. i Nationalt Patientindex og Sunddataplatformen, som har til formål at sikre såkaldt ‘sammenhængende sundhedsdata’. I de store nye registre struktureres og samles sundheds- og patientdata om millioner af danskerne, så forskere f.eks. kan finde nye mønstre i og årsager til sygdom, uanset om man er behandlet i stat, region eller kommune. Men også for at give patienter med mange diagnoser et mere sammenhængende forløb:
Kritikere peger dog på, at nye ‘smarte’ måder at indsamle, sammenkøre og analysere data på udvikles væsentligt hurtigere end sikringen af, at ophobning og anvendelse sker ud fra saglige formål og er tilstrækkeligt beskyttet – herunder fra ansatte i sundhedsvæsenet uden legitime formål, kriminelle eller udenlandske efterretningstjenester.
I den optik er det interessant, at justitsminister Søren Pape Poulsen (K) netop har fundet det betimeligt at pålægge den offentlige sektor bøder – op til 16 millioner kroner – hvis de tages i ikke at passe ordentligt på borgernes CPR-numre, sundhedsoplysninger eller andre persondata. Sløseri, som kan skade den troværdighed, det offentlige har brug for i takt med den stadigt mere udbredte anvendelse af digitale redskaber.
Meget peger på, at de mange sager med offentligt datasjusk har været med til at danne grundlag for den beslutning.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
