EU-dom presser Sundhedsplatformen: Region H til krisemøde med europæiske Epic-kunder

Region Hovedstaden deltog i november i et møde med andre europæiske Epic-kunder. Formålet var at danne "fælles front" og sammen bede Epic etablere et supportcenter i EU. Illustration: Das Büro
Europæiske Epic-kunder knokler for at finde en løsning på problematikken om, at sundhedsdata flyder mellem USA og Europa i forbindelse med supportsager. Nu danner en række kunder fælles front med ét meget specifikt ønske til Epic.

Europæiske organisationers brug af amerikanske cloud-tjenester kom i juli 2020 på usikker grund, da EU-domstolen afsagde den såkaldte Schrems II-dom.

Dommen har vakt alvorlig bekymring blandt europæiske kunder hos amerikanske Epic, der blandt andet leverer Sundhedsplatformen til Region Hovedstaden og Region Sjælland. Derfor er Region Hovedstaden gået sammen med Epic-kunder fra en række lande i Europa, der nu sammen har bedt Epic om at oprette et support-center i EU.

Problemet herhjemme er, at den amerikanske leverandørs medarbejdere i USA har adgang til danske sundhedsdata i forbindelse med supportsager - en praksis, der mildest talt er på kant med reglerne efter Schrems II-dommen og de nye anbefalinger fra Det Europæiske Databeskyttelsesråd. Og den udfordring står de danske regioner ikke alene med, fortæller Anna Laursen, der er CISO i Region Hovedstaden.

»Alle de europæiske kunder har den samme udfordring, og sammen står vi noget stærkere. Derfor har vi rettet en fælles henvendelse til Epic, hvor vi beder dem om at oprette europæisk supportcenter. Der afventer vi svar fra Epic,« siger hun.

Læs også: Sundhedsplatformen på kant med loven: Regioner skal i kritiske forhandlinger med Epic efter Schrems II-dom

En mail fra Finland

I oktober modtog Region Hovedstaden en henvendelse fra Apotti, der er den finske pendant til Sundhedsplatformen. Et par uger forinden havde finnerne rakt ud til en række europæiske kunder, og nu var turen kommet til henholdsvis de danske regioner bag Sundhedsplatformen og The Lucerne Cantonal Hospital i Schweiz.

Det fremgår af dokumenter, som Version2 har fået aktindsigt i.

»Jeg mener, at vi har en fælles udfordring med Epic som amerikansk baseret leverandør i lyset af data privacy. Ligesom alle virksomheder, der har den slags forretning med virksomheder i USA, hvor der indgår udveksling af persondata,« skrev Hannu Välimäki, der er CEO hos Apotti.

I sin mail til Region Hovedstaden udtrykker han bekymring over den såkaldte »4th line support«, der som regel findes hos leverandøren. Hos Apotti er den baseret på Epics folk i enten Verona i USA eller Bracknell i Storbritannien. Sidstnævnte er efter Brexit også er uden for EU.

Problematikken er altså meget lig den, man oplever hos Region Hovedstaden og i Region Sjælland, hvor Epic's folk i USA har adgang til danske sundhedsdata via fejlretningssystemet Sherlock.

Læs også: Regioner frygter for digitaliseringen efter nye EU-anbefalinger

Fælles front

Henvendelsen fra Finland faldt i god jord. Region Hovedstaden fandt det “meget relevant at mødes og diskutere de fælles udfordringer angående Epic som amerikansk baseret leverandør i lyset af Schrems II dommen,” fremgår det af det danske svar.

»Mødet blev lagt i kalenderen 23. november sidste år, og i interne mails beskriver Region H drøftelserne som dannelsen af en "fælles front" overfor Epic.«

På mødet hvor der er også deltog Epic-kunder fra Holland, Finland og Norge, blev Schrems II-dommen drøftet, og det blev slået fast, at den amerikanske lovgivning giver beføjelser til myndigheder, der reelt betyder, at USA ikke lever op til de garantier, der skal sikres ved overførsler til lande uden for EU. Derfor ønsket om det europæiske supportcenter.

Læs også: Cloud-kaos presser danske virksomheder: »Vi er jo nærmest vokset op med, at det hele hedder Office eller Microsoft«

På den baggrund har finnerne således udarbejdet et udkast til et fælles brev på vegne af de europæiske Epic-kunder. Version2 har ikke set selve brevet, men i mailkorrespondancen mellem de to danske regioner beskriver Region Hovedstaden brevet som “velafbalanceret” og “sagligt”.

Hovedpointen er ifølge mailen, at »Epic bør etablere et europæisk supportcenter, hvorefter der kun i ”katastrofe-sager” er behov for at hente special support-udviklere, der er forankret i lande udenfor EU/EØS.«

Supportcentret skal lette trykket fra de europæiske kunder, der altså oplever, at de nuværende løsninger bringer deres løsninger på kant med EU’s regler. Et supportcenter indenfor den europæiske datamur vil »helt konkret reducere behovet for kompenserende foranstaltninger og work arounds som følge af Screms II-dommen til et absolut minimum,« vurderer Region Hovedstaden i en orientering til Region Sjælland og anbefaler, at Torben Dalgaard, der er direktør for Center for It, Medico og Telefoni i Region Hovedstaden underskriver det fælles brev til amerikanerne.

Læs også: Organisationer kritiserer nye databeskyttelsesregler: Vil presse livet ud af internationale dataoverførsler

Holland går solo

Det er var dog ikke alle europæiske kunder, der lod sig overbevise på det fælles møde. De hollandske repræsentanter havde efter mødet ikke i sinde at underskrive det fælles brev til Epic. Det fremgår af e-mailkorrespondancen, hvor Hollands repræsentanter proklamerer, at de har valgt at gå enegang i Schrems II-spørgsmålet.

»Jeg har diskuteret det foreslåede brev med vores »Privacy officer« og vores systemejer. Vi har besluttet os for ikke at underskrive brevet og i stedet arbejde på nationalt niveau med udarbejdelsen af et brev med de fælles synspunkter for alle hollandske hospitaler med Epic-implementeringer,« skriver Marco Linden, der seniorpolitisk rådgiver og henviser i sit svar til, at man vil tage udfordringen op på de nationale »privacy officers« og Epic-chefers møde.

Arbejder på en løsning

Hos Region Hovedstaden arbejder man for tiden på en løsning på problematikken. I går kunne Version2 berette, hvordan regionen river sig i håret over situationen og i øjeblikket er ved at få udarbejdet en risikovurdering af overførslen af data i de pågældende supportsager. Herefter vil man opdatere sin databehandleraftale med Epic.

Læs også: Strømmen gik på Region H's datacenter, og så var der problemer...

Derudover håber man i regionen også på, at den amerikanske leverandør følger opfordringen i det fælles brev og etablerer et decideret supportcenter i Europa.

»Det vil løse rigtig mange af problemerne, og jeg ved, at Epic tidligere har overvejet at slå sig ned i Storbritannien. Nu er Storbritannien selvfølgelig ikke længere aktuel, men det viser at en bevægelse over mod Europa - så det er ikke helt urealistisk,« vurderede Anna Laursen, der er CISO i Region Hovedstaden, i gårsdagens artikel.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Morten Brørup

Det er spild af tid og overflødigt.

Vores alle sammens Store Moder har jo erklæret, at loven - selv grundloven - kan tilsidesættes, når det drejer sig om folkesundheden.

Så regionerne kan trygt fortsætte med at give Epics support-medarbejdere i USA adgang til vores helbredsinformationer... Thi folkesundheden er hævet langt over småting som tredjelandes adgang til følsomme persondata.

  • 14
  • 27
#2 René Nielsen

Som undres over hvordan såkaldte ansvarlige politikere og offentlige ledere indenfor IT – i den grad er ”Obliviant” overfor datasikkerhed og EU-domstolens kendelser?

Jeg mener ikke at ”Sundhedsplatformen” pludselig er blevet presset af Schrems II-dommen. Presset var været der hele tiden, man har bare hidtil valgt at se bort fra de åbenlyse problemer.

Det er ligesom med Støjberg og de to uvildige advokater undersøgelse. Det jo håbløst at de to såkaldte uvildige advokater lægger Instrukskommissionens bevisvurderinger til grund og f.eks. ikke forholder sig kritisk til, at Instrukskommissionens hovedkonklusion ikke understøttes af et eneste vidne. Men at samtlige vidner siger det modsatte af Instrukskommissionen.

Eftersom Støjberg ikke selv har haft lejlighed til at udspørge vidner eller på anden vis forsvarer/udfordre beviser, vil en domstol som en rigsretssag selvfølgelig fortage en selvstændig bevisvurdering. Læs selv her i ”Afsnit VII”

Jeg siger ikke at Støjberg ikke bør dømmes, men jeg synes at de to uvildige advokater kommer lige lovlig let hen over den del som kaldes et retssamfund og på den måde minder den proces meget om Sundhedsplatformen.

Man har i det offentlige simpelthen en kultur for at se bort fra åbenlyse problemer med ”løsningen” og jeg er på ingen måde forbavset hvis dette blot er begyndelsen på en lang række legale problemer med Sundhedsplatformen fordi man ikke fra starten ”gør det rigtige”.

  • 13
  • 16
#4 Johnny Lüchau Blogger

Jeg er forundret over at du, som CISO i en så datafølsom organisation som Region H, ikke forlængst har sørget for at vore data forbliver i sikkerhed indenfor EU.

Når du bringer leverandørens lokation på banen, bliver jeg meget bekymret, for det har aldrig været relevant hvor man sidder og kigger på data, men hvem der kigger på data. Om den amerikanske leverandørs medarbejdere kigger i vores data mens de sidder i Miami eller om de sidder i Måløv, går ud på et.

Hvis ikke jeres 2. eller 3. niveau supportere er i stand til at anonymisere data inden i deler det med EPIC, så må i simpelthen ikke dele det med dem.

Desuden har man aldrig kunnet gemme sig bag Safe Harbor/Privacy Shield og den seneste EU-dom er bare en bekræftelse af af det faktum.

Det du som CISO i en offentlig virksomhed skal forholde dig til, er EUs Charter om borgernes grundlæggende rettigheder, artikel 7 og 8 og måske også lige besøge artikel 41 stk 3, hvor du kan se at du er erstatningsansvarlig hvis du bryder 7 og 8.

Løsningsmulighederne er meget begrænsede, så det er nemt at vælge én.

Held og lykke med det.

  • 26
  • 0
Log ind eller Opret konto for at kommentere