Militær sundhedsboss: Sundhedspersonalet har alt for ofte ansvaret for læk af følsomme patientdatas

Illustration: leowolfert/Bigstock
Får dårlige systemer, for ringe opmærksomhed og manglende viden er den cocktail, der baner vej for mange læk af følsomme patientdata, mener chef i den amerikanske militære sundhedsstyrelse.

Alt for mange datalæk af følsomme patientdata fra sundheds-it-systemer skyldes fejltagelser, udvidenhed eller manglende påpasselighed blandt de ansatte.

Og leverandører og ejere bag sundheds-it systemer glemmer alt for ofte at tage de mest basale forholdsregler for at undgå disse hændelser.

Sådan lyder kritikken fra Servio Medina, der er fungerende COO på Defense Health Agency, på et oplæg for nyligt ifølge CIO.com. Defense Health Agency er de amerikanske militære værns fælles sundhedsberedskab.

»Hændelserne kan undgås,« har Servio Medina sagt.

Herhjemme er datalæk og utilsigede it-sikkerhedshændelser i sundhedssystemet bestemt også kendt.

Det gælder f.eks. sagen i foråret, hvor det kom frem, at der var sjusket med procedurerne i Region Hovedstaden for op til 20.000 brugerkonti til patientjournaler, når de ansatte havde flyttet til et andet hospital i regionen eller havde forladt den.

»Den oplæring og indsats for at øge bevidstheden (mod beskyttelse af patientdata, red.), som vi tilbyder i øjeblikket er simpelthen ikke effektiv. Det er ikke nok. Vi er nødt til at gøre noget radikalt mere og anderledes.«

Medina argumenterer for en mere samordnet indsats for at løse det, som han betegner som "den menneskelige faktor," når der opstår datalæk.

Han har desuden citeret en notat fra det amerikanske Forsvarsministerium notat udsendt i september sidste år, der gjorde opmærksom på behovet for at forbedre, hvad det kaldes "cybersikkerhed kultur" i Pentagon.

»Næsten alle eksempler på uvedkommende men succesfuld netværksadgang kan spores tilbage til en eller flere menneskelige fejl, der tillod modstanderen at få adgang til og - i nogle tilfælde- udnytte forretningskritiske oplysninger,« lød det fra forsvarsministeren m.fl. i notatet.

Notatet konkluderede ligeledes, at det vil få enorm betydning, hvis man kan øge opmærksomheden mod it-sikkerhed blandt medarbejderne.

I det militære sundhedsvæsen er der masser af angrebspunkter, og ifølge Servio Medina er sundhedssektoren blevet et almindeligt mål for hackere og andre cyberkriminelle.

Simpelt hen fordi sektoren ligger inde med meget værdifulde data.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

Den ny sundhedslov, L 184, er netop blevet vedtaget herhjemme i dag. Desværre var der stort set ingen, der opdagede dens egentlige ærinde, før løbet var kørt, fordi den gemte sig under den pæne overskrift "øget patientsikkerhed". Men i realiteten handler den om øget registrering, centralisering og videregivelse af vore mest private sundhedsdata, og så vidt jeg indtil nu har kunnet få opklaret, får sundhedsministeren sammen med sundhedsdatastyrelsen fremover udvidet bemyndigelse til at godkende udlevering af vore data til diverse forskningsprojekter, inkl. private, uden samtykke og uden ret til indsigt.

Ministeren bedyrer selvfølgelig, at der skal være gode grunde til dette, men det er op til hende og sundhedsdatastyrelsen at beslutte det. Direkte adspurgt har hun svaret, at "det ikke praksis at udlevere til udlandet", men indtil nu er det ikke direkte blevet nægtet, at det ville kunne forekomme. Og i lyset af diverse eksportkampagner om bl.a. de gode danske sundhedsdata lyder det mærkeligt, at data ikke vil blive udleveret til udlandet: http://www.investindk.com/~/media/Files/Articles/Denmark_The_Heart_of_Li...

Det er tanken, siger ministeren, at data skal "anonymiseres" og pseudoanonymiseres" og håndteres forsvarligt og efter lovningen om dette. Men der er intet fokus, i forbindelse med den udvidede indsamling og udlevering af disse meget følsomme data, på datasikkerheden og hensigtsmæssigheden af at forlade sig på anonymisering og pseudoanonymisering, idet ministeren svarer, at det er standard, og derfor har det ikke været nødvendigt at foretage yderligere vurdering af de datasikkerhedsmæssige aspekter, og der er ikke indhentet udtalelser vedr. IT-sikkerheden i forbindelse med de tiltænkte nye store registre. Jeg har forsøgt at gøre ministeren opmærksom på, at anonymisering og pseudoanonymisering på ingen måde forhindrer, at data kan "afanonymiseres", men det har ikke gjort indtryk på ministeren. Endnu engang skubber det offentlige dette ansvar foran sig, og håber på det bedste efter devisen: "Det er ikke mit bord". Alle politikernes pæne ord om øget fokus på datasikkerhed og privatliv efter DAMD-skandalen er med den nye lov bevist at være - som foventet - varm luft.

I lyset af, at man nu med denne lov har tvangsafskaffet begrebet "privatliv" på sundhedsområdet, finder jeg det forkasteligt, at man ikke har fulgt dette op med et særskilt fokus på netop datasikkerheden, både den tekniske og den menneskelige faktor, som artiklen ovenfor fokuserer på. For det kan da kun gå galt, når man samler så mange så følsomme data på så få hænder, og derefter udleverer dem til så mange mennesker, som det er tanken i lovforslaget.

I mine øjne er denne nye lov tæt på forbryderisk på dette område, og Patientdataforeningen har da også netop i dag indklaget sundhedsministeren for Europa-kommissionen på grund af brud på persondatasikkerheden:
http://ugeskriftet.dk/nyhed/praktiserende-laege-traekker-sophie-loehde-t...
https://www.facebook.com/BevarTavshedspligten/

  • 6
  • 0
Log ind eller Opret konto for at kommentere