Sundhedsminister Sophie Løhde har bebudet en analyse af it-sikkerheden i Sundhedsministeriets koncern. Tiltaget er iværksat efter en alt for lang række af læk af følsomme patientdata i ministeriet og de tilhørende styrelser.
I februar sidste år sendte Statens Serum Institut to ukrypterede cd'er med posten. De blev afleveret forkert til et kinesisk visumfirma - helt galt, fordi de indeholdt læsbare helbredsoplysninger om kræft, sukkersyge og psykiske lidelser hos 1,15 millioner danskere.
En borger fik i august svar på en aktindsigt i Sundhedsdatastyrelsen, som indeholdt ikke alene egne, men også en anden borgers personfølsomme oplysninger, herunder om CPR-nummer, patienttype, behandlingssted, behandlingstidspunkt, sengedage og diagnosekoder.
Også i august i år kom en læge i Styrelsen for Patientsikkerhed under et forsøg på at omgå en genstridig PDF-viewer til at sende følsomme patientdata fra syv patientklager i hænderne på kriminelle.
I efteråret kritiserede Rigsrevisionen, at mangelfuld styring og kontrol af udvidede administratorrettigheder betød, at personer uretmæssigt kunne få adgang til it-systemer og data hos den daværende styrelse National Sundheds-it.
Offentligheden har ingen indsigt i samtlige sager og hændelser af datasikkerhedsmæssig karakter. For de kommer kun frem, hvis enten myndigheden selv offentliggør dem, eller hvis Datatilsynet behandler en sag og offentliggør et resultat af undersøgelsen.
Men alene de verserende sager viser, at her virkelig er tale om et område, hvor der er meget at komme efter.
Ikke alene står den enkelte borgeres privatlivsfred, om man f.eks. har cancer, er dement eller ramt af hiv, på spil. Den unikke tillid, som den danske befolkning har til myndighedernes dataindsamling, er under et bekymrende pres.
Unikke datasæt i Danmark
Siden CPR-nummerets indførelse i 1968 er danskerne blandt de mest gennemregistrerede befolkninger i verden - til stor gavn for forskere, som har et unikt datasæt til at forske i sammenhænge mellem f.eks. sygdom og boligforhold eller arbejdsvilkår, eller man kan undersøge effekten af forskellige behandlinger og behandlingsforløb med henblik på at optimere dem.
Østerbro-undersøgelsen, som har fulgt 26.000 borgere siden midten af 1970'erne, er et enestående eksempel på, at man med indsamling og brug af data kan skabe verdensklasseforskning, der kan begrænse hjerte- og lungesygdom, diabetes, alkoholmisbrug samt dårlig livsstil med rygning og for lidt motion.
Men allerede nu mener førende læger i fuldt alvor, at nogle borgere sparer på detaljerne over for deres læge eller på sygehuset for at undgå, at følsomme og relevante oplysninger om for eksempel tobaksrygning, misbrug, seksuel adfærd eller jobstress afgivet i en konkret behandlingssammenhæng havner i de forkerte hænder.
Vi risikerer med andre ord at udvande værdien af årtiers unik og vigtig dataindsamling, hvis tilliden til det offentlige sættes over styr i kølvandet på den ene dataskandale efter den anden.
Foran os står nu Sundhedsministeriets ønske om at samle personlige sundhedsdata på samtlige danskere i et centralt register - en plan som har mødt kritik hos både Danske Regioner og Lægeforeningen.
Som svar på bekymringer om datasikkerhed, forsikrer Sundhedsdatastyrelsen, at informationssikkerhed ligger dem meget på sinde. Men hvis tilliden til det offentliges omgang med persondata skal holdes intakt, har vi ikke bare brug for sindelag. Vi har brug for konkrete svar på, hvordan sikkerheden skal løftes til et punkt, hvor ingen behøver at yde selvcensur under et lægebesøg.
For at hjælpe sundhedsministeren har vi her opsat nogle bullet points med bud på, hvad hendes undersøgelse bør afklare:
Hvordan vil ministeren sikre:
At medarbejdere i sundhedsvæsenet har den nødvendige viden om hensigtsmæssig adfærd i forhold til sikker håndtering og opbevaring af personfølsomme data?
At der er de rette barrierer imod, at embedsmænd i datastyrelserne – med Aller-sagen hos Nets in mente – dykker ned i databaser for at tappe oplysninger på f.eks. politiske modstandere eller irriterende journalister?
At systemer kun kan tilgås af de retmæssige brugere, og at disse brugere kan logge ind på enkel og sikker vis? (Identity management, multi-faktor-autentificering og single signon)
At der er hensigtsmæssig håndtering af personfølsomme data, der i dag placeres hos private kommercielle udbydere og kan tilgås af disse virksomheders medarbejdere?
At datasystemer, som f.eks. journalsystemer, kan samkøres over regionsgrænser af hensyn til patientsikkerhed? (En behandler i én region kan ikke trække på vigtig medicinsk viden fra en anden region.)
Sophie Løhdes analyse af it-sikkerhed har måske større betydning, end hun selv går og forestiller sig. Tilliden til 50 års enestående datagrundlag, der skaber bedre livsbetingelser for danskerne, kan tabes på gulvet hurtigere, end man umiddelbart forestiller sig.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
