Let adgang til fortrolige helbredsoplysninger: EG Digital Welfare får kritik af Datatilsynet

4 kommentarer.  Hop til debatten
Let adgang til fortrolige helbredsoplysninger: EG Digital Welfare får kritik af Datatilsynet
Illustration: Bigstock/Ffmr.
Der er for dårlig sikkerhed omkring de følsomme og fortrolige oplysninger, som ligger i virksomhedens system Mediconnect, mener Datatilsynet.
27. juli kl. 10:34

Datatilsynet giver kritik og påbud til virksomheden EG Digital Welfare for ikke at sikre borgeres følsomme og fortrolige helbredsoplysninger.

Det skriver Datatilsynet.

Virksomheden udbyder systemet Mediconnect, der blandt andet bruges af regioner, forsikringsselskaber og kommuner til at håndtere borgeres persondata. Men systemet opbevarer kodeord i klartekst, og brugere har adgang til persondataen kun ved brug af login og kodeord.

Datatilsynet startede selv sagen på baggrund af en henvendelse i juni 2021.

Artiklen fortsætter efter annoncen

»Det fremgik videre af henvendelsen, at nogle konti bliver brugt som fælleskonti af flere læger og klinikker. Herudover fremgik det, at der ikke er indført to-faktor login, og at der ikke foretages maskinel registrering (logning) af, hvem der tilgår hvilke oplysninger,« skriver tilsynet i afgørelsen.

Datatilsynet kræver, at EG Digital Welfare foretager en irreversibel kryptering af kodeordene og laver en login-løsning, der kræver mere end blot login og kodeord fra brugeren.

4 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
3
28. juli kl. 10:44

I afgørelsen har EG udtalt at løsningen understøtter ADFS, men at det ikke er alle brugerne der benytter denne mulighed. ADFS ville give mulighed for MFA, central styring af brugere der har adgang, samt sikre at kodeord ikke ligger i klar tekst i MediConnect.

Gad vide hvor mange af de kommuner og regioner der benytter MediConnect, som IKKE bruger ADFS men brugere vedligeholdt direkte i MediConnect?

Der er som minimum en Region der ikke benytter ADFS, men brugere opretter direkte i MediConnect.......

4
31. juli kl. 23:44

I afgørelsen har EG udtalt at løsningen understøtter ADFS, men at det ikke er alle brugerne der benytter denne mulighed. ADFS ville give mulighed for MFA, central styring af brugere der har adgang, samt sikre at kodeord ikke ligger i klar tekst i MediConnect.

Det lyder egentlig som om, failure IS an option.

2
27. juli kl. 12:50

PS: Dette er jo en virkeligt grov historie. Hvor er Datatilsynets krav om en meget stor bøde?

Og tak til whistlebloweren...

1
27. juli kl. 12:14

"Virksomheden udbyder systemet Mediconnect, der blandt andet bruges af regioner, forsikringsselskaber og kommuner til at håndtere borgeres persondata. Men systemet opbevarer kodeord i klartekst, og brugere har adgang til persondataen kun ved brug af login og kodeord."

Det er da helt utroligt/ufatteligt/snotdumt/forargeligt/kriminelt (håber jeg).

Og det er da nærmest endnu mere helt utroligt/ufatteligt/snotdumt/forargeligt/kriminelt (håber jeg), at de offentlige institutioner, som er kunder hos dette system, åbenbart intet har gjort for at sikre sig, at det fungerer persondatamæssigt forsvarligt.

Hvordan kan det ske - den ene gang efter den anden? Og samtidig galper alle tech-lobbyisterne og deres trojanske (og sikkert tidsvist bestukne) heste her og hisset og på tinge ustandseligt op om "Mere digitalisering, mere digitalisering, mere digitalisering". Hvordan kan de holde ud at se sig selv i spejlet? Det kræver da total mangel på samvittighed.

Og når det står sådan til med persondatasikkerheden, hvordan står det mon så til med den øvrige sikkerhed? Systemmet lyder som vital infrastruktur, så hvad sker der, hvis systemet udsættes for ransomware?

Politiken har i øjeblikket en super artikelserie om digitaliseringens forbandelser for store dele af befolkningen - det er som om, der endeligt er gået hul på bylden. Et lille pluk:

*"Teenagere får deres egen e-Boks, når de er 15, og forældrene har ingen adgang uden den unges NemID. Her kan han få tilsendt diverse opkrævninger, f.eks. kontrolafgifter fra DSB – ganske store beløb, der akkumuleres over tid. Mange unge i den alder er i opposition til deres forældre, ignorerer e-post, tænker ikke på konsekvenserne og skjuler måske en del for deres forældre. Dvs. at en sådan ung mand starter sit voksne liv med en betydelig gæld til det offentlige, uden forældrenes vidende. Forældrene er magtesløse, hvis den unge ikke vil samarbejde, og kan derfor ikke hjælpe i tide. Der er ikke nogen pardon for dem, der som helt unge ikke magtede voksenlivet. De kan aldrig komme til at tale med et levende menneske, der kan hjælpe dem ud af suppedasen, og de hænger fast i dyndet resten af deres liv, med en gæld, der bare vokser og vokser. Vi har med den voldsomme, påtvungne digitalisering på få år skabt et umenneskeligt monster, der lever sit eget liv og hensætter os alle i afmagt. Det burde være frivilligt, og der er områder, hvor man aldrig burde digitalisere. Det bør altid være muligt at få en menneskelig behandling af det offentlige, som vi faktisk alle betaler til«. Charlotte Christiansen, social- og sundhedshjælper, 62:https://politiken.dk/indland/art8894844/%C2%BBDet-er-alt-for-meget-op-ad-bakke-at-de-skal-l%C3%A6re-det-p%C3%A5-ny-hver-tredje-m%C3%A5ned%C2%AB

Det er på tide at minde om Markus Bernsens afklædning af digitaliseringen herhjemme fra 2018: "Danmark Disrupted – tro, håb og tech-giganter"

Fra anmeldelse i Information (kan læses uden abb.): *"Bernsen opsporer, at det teknologioptimistiske budskab primært er blevet leveret af private IT-virksomheder og organisationer, som har et stærkt økonomisk motiv for at udbrede teknologi. Tidligere marketingdirektør for Microsoft Malou Aamund fik for eksempel held med at overbevise de danske politikere om at satse på disruption. Men som Bernsen skriver: »Når Malou Aamund vil have staten til at bruge flere penge på it, burde man nok have taget det med et par forbehold, både da hun var chef hos Microsoft, og da hun senere blev direktør for Google i Danmark.« Travlhed med at vinde det store disruptionkapløb bliver kendetegnende for digitaliseringen af Danmark. Den naive teknologibegejstring spreder sig hurtigt fra toppen af erhvervslivet til hele den offentlige sektor. Danskerne skal disrupte for fremtiden!https://www.information.dk/moti/anmeldelse/2019/05/ny-bog-danmark-indgaaet-pagt-techgiganterne-ingen-kender-konsekvenserne?lst_tag

Og for et par måneder siden havde Nikolaj Wammen den enestående frækhed at udnævne Microsofts danske direktør til formand for det nye Digitaliseringsråd, som skal føre Danmark (men åbenlyst ikke danskerne, det billige skidt) ind i det digitale tusindårsrige. og ydermere den frækhed at nægte at udtale sig il Politiken i forbindelse med artikelserien. Hvad rager det ham, at noget i retning af en fjerdedel af befolkningen er ved at ryge af i svinget.