EU-dom presser Sundhedsplatformen: Region H til krisemøde med europæiske Epic-kunder

Europæiske organisationers brug af amerikanske cloud-tjenester kom i juli 2020 på usikker grund, da EU-domstolen afsagde den såkaldte Schrems II-dom.

Dommen har vakt alvorlig bekymring blandt europæiske kunder hos amerikanske Epic, der blandt andet leverer Sundhedsplatformen til Region Hovedstaden og Region Sjælland. Derfor er Region Hovedstaden gået sammen med Epic-kunder fra en række lande i Europa, der nu sammen har bedt Epic om at oprette et support-center i EU.

Problemet herhjemme er, at den amerikanske leverandørs medarbejdere i USA har adgang til danske sundhedsdata i forbindelse med supportsager - en praksis, der mildest talt er på kant med reglerne efter Schrems II-dommen og de nye anbefalinger fra Det Europæiske Databeskyttelsesråd. Og den udfordring står de danske regioner ikke alene med, fortæller Anna Laursen, der er CISO i Region Hovedstaden.

»Alle de europæiske kunder har den samme udfordring, og sammen står vi noget stærkere. Derfor har vi rettet en fælles henvendelse til Epic, hvor vi beder dem om at oprette europæisk supportcenter. Der afventer vi svar fra Epic,« siger hun.

En mail fra Finland

I oktober modtog Region Hovedstaden en henvendelse fra Apotti, der er den finske pendant til Sundhedsplatformen. Et par uger forinden havde finnerne rakt ud til en række europæiske kunder, og nu var turen kommet til henholdsvis de danske regioner bag Sundhedsplatformen og The Lucerne Cantonal Hospital i Schweiz.

Det fremgår af dokumenter, som Version2 har fået aktindsigt i.

»Jeg mener, at vi har en fælles udfordring med Epic som amerikansk baseret leverandør i lyset af data privacy. Ligesom alle virksomheder, der har den slags forretning med virksomheder i USA, hvor der indgår udveksling af persondata,« skrev Hannu Välimäki, der er CEO hos Apotti.

I sin mail til Region Hovedstaden udtrykker han bekymring over den såkaldte »4th line support«, der som regel findes hos leverandøren. Hos Apotti er den baseret på Epics folk i enten Verona i USA eller Bracknell i Storbritannien. Sidstnævnte er efter Brexit også er uden for EU.

Problematikken er altså meget lig den, man oplever hos Region Hovedstaden og i Region Sjælland, hvor Epic's folk i USA har adgang til danske sundhedsdata via fejlretningssystemet Sherlock.

Fælles front

Henvendelsen fra Finland faldt i god jord. Region Hovedstaden fandt det “meget relevant at mødes og diskutere de fælles udfordringer angående Epic som amerikansk baseret leverandør i lyset af Schrems II dommen,” fremgår det af det danske svar.

»Mødet blev lagt i kalenderen 23. november sidste år, og i interne mails beskriver Region H drøftelserne som dannelsen af en "fælles front" overfor Epic.«

På mødet hvor der er også deltog Epic-kunder fra Holland, Finland og Norge, blev Schrems II-dommen drøftet, og det blev slået fast, at den amerikanske lovgivning giver beføjelser til myndigheder, der reelt betyder, at USA ikke lever op til de garantier, der skal sikres ved overførsler til lande uden for EU. Derfor ønsket om det europæiske supportcenter.

På den baggrund har finnerne således udarbejdet et udkast til et fælles brev på vegne af de europæiske Epic-kunder. Version2 har ikke set selve brevet, men i mailkorrespondancen mellem de to danske regioner beskriver Region Hovedstaden brevet som “velafbalanceret” og “sagligt”.

Hovedpointen er ifølge mailen, at »Epic bør etablere et europæisk supportcenter, hvorefter der kun i ”katastrofe-sager” er behov for at hente special support-udviklere, der er forankret i lande udenfor EU/EØS.«

Event: Sådan tiltrækker du it-talenter til industrien

Supportcentret skal lette trykket fra de europæiske kunder, der altså oplever, at de nuværende løsninger bringer deres løsninger på kant med EU’s regler. Et supportcenter indenfor den europæiske datamur vil »helt konkret reducere behovet for kompenserende foranstaltninger og work arounds som følge af Screms II-dommen til et absolut minimum,« vurderer Region Hovedstaden i en orientering til Region Sjælland og anbefaler, at Torben Dalgaard, der er direktør for Center for It, Medico og Telefoni i Region Hovedstaden underskriver det fælles brev til amerikanerne.

Holland går solo

Det er var dog ikke alle europæiske kunder, der lod sig overbevise på det fælles møde. De hollandske repræsentanter havde efter mødet ikke i sinde at underskrive det fælles brev til Epic. Det fremgår af e-mailkorrespondancen, hvor Hollands repræsentanter proklamerer, at de har valgt at gå enegang i Schrems II-spørgsmålet.

»Jeg har diskuteret det foreslåede brev med vores »Privacy officer« og vores systemejer. Vi har besluttet os for ikke at underskrive brevet og i stedet arbejde på nationalt niveau med udarbejdelsen af et brev med de fælles synspunkter for alle hollandske hospitaler med Epic-implementeringer,« skriver Marco Linden, der seniorpolitisk rådgiver og henviser i sit svar til, at man vil tage udfordringen op på de nationale »privacy officers« og Epic-chefers møde.

Arbejder på en løsning

Hos Region Hovedstaden arbejder man for tiden på en løsning på problematikken. I går kunne Version2 berette, hvordan regionen river sig i håret over situationen og i øjeblikket er ved at få udarbejdet en risikovurdering af overførslen af data i de pågældende supportsager. Herefter vil man opdatere sin databehandleraftale med Epic.

Derudover håber man i regionen også på, at den amerikanske leverandør følger opfordringen i det fælles brev og etablerer et decideret supportcenter i Europa.

»Det vil løse rigtig mange af problemerne, og jeg ved, at Epic tidligere har overvejet at slå sig ned i Storbritannien. Nu er Storbritannien selvfølgelig ikke længere aktuel, men det viser at en bevægelse over mod Europa - så det er ikke helt urealistisk,« vurderede Anna Laursen, der er CISO i Region Hovedstaden, i gårsdagens artikel.