Millioner af patienters sundhedsdata ligger ubeskyttet på åbne servere

Illustration: Bakhtiar Zein/BigStock
Navne, fødselsdatoer, personnumre, røntgenbilleder, scanninger og andre sundhedsdata på millioner af amerikanere ligger næsten frit fremme på usikre servere.

Følsomme sundhedsdata på flere millioner patienter i USA bliver opbevaret på servere, der hverken er beskyttet med passwords eller andre sikkerhedsforanstaltninger.

Det afslører mediet ProPublica i en større kortlægning.

Mediet har fundet 187 servere i USA, som enhver med bare en smule it-kendskab let kan få adgang til. I serverne ligger for eksempel navne, fødselsdatoer, personnumre, røntgenbilleder, scanninger og andre sundhedsdata på amerikanske patienter.

»Det er ikke engang hacking. Det er som at gå igennem en åben dør,« siger sikkerhedskonsulent Jackie Singh fra sikkerhedsfirmaet Spyglass Security til ProPublica.

Hvor nemt det er at få adgang til dataene afhænger både af sundhedsudbyderen – om der eksempelvis er tale om en praktiserende læge, et hospital eller et privat sundhedsfirma – og hvilken software de bruger, skriver mediet.

Hos et amerikansk røntgenfirma kunne ProPublica for eksempel med en simpel indtastning få adgang til mere end en million patienters navne og deres fødselsdatoer, læger og behandlinger.

Firmaet er efter mediets henvendelser gået i gang med at stramme op på sikkerheden.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

Jeg går ud fra,

....at Epics adgang til vore sjællandske patientdata ikke kan være omfattet, da de forhåbentligt ligger 100% på sjællandske servere bag lås og slå og adgangskoder?

....Og at dette også gælder for diverse billeder og den slags?
"Researchers have found that picture archiving and communication systems (PACS) servers implementing the DICOM standard may be at risk if they are connected directly to the internet without a VPN or firewall, or if access to them does not require a secure password. "

Kan det tænkes, at der kan være lignende huller i DICOM-systemet herhjemme? For jeg synes da, at jeg er stødt på DICOM-lagring af billeder flere gange i møde med sundhedsvæsnet. Jeg tror, at det bruges til at overføre rgt.-billeder og den slags mellem læger og hospitaler.

  • 2
  • 2
Gert Madsen

"»Det er ikke engang hacking. Det er som at gå igennem en åben dør,« siger sikkerhedskonsulent Jackie Singh fra sikkerhedsfirmaet Spyglass Security til ProPublica."
Vi ved fra lækket af Kørekortregistret at det straffes som hacking, at hente data, der ligger frit uden kodeord.
Derimod er det straffrit at efterlade data om andre mennesker ubeskyttet.

  • 5
  • 0
Kenneth R.B.

Jeg går ud fra,

....at Epics adgang til vore sjællandske patientdata ikke kan være omfattet, da de forhåbentligt ligger 100% på sjællandske servere bag lås og slå og adgangskoder?

Altså, EPIC er ikke engang nævnt i artiklen, men alligevel kæder du dem sammen med denne artikel? Det må være en formodning fra dig der gør at du tænker EPIC også er ramt i USA af dette? Eller sidder du med evidens på det modsatte?

Som vi har været inde på nogle gange efterhånden, så er data fra Sundhedsplatformen placeret på servere i de 2 regioners egne datacentre.

  • 3
  • 1
Anne-Marie Krogsbøll

Altså, EPIC er ikke engang nævnt i artiklen, men alligevel kæder du dem sammen med denne artikel? Det må være en formodning fra dig der gør at du tænker EPIC også er ramt i USA af dette? Eller sidder du med evidens på det modsatte?Som vi har været inde på nogle gange efterhånden, så er data fra Sundhedsplatformen placeret på servere i de 2 regioners egne datacentre.


Ja, præcist, Kenneth R.B. - det er jo det, jeg siger. Men nu ligger Epic jo altså i USA, og som vi jo har været inde på et par gange efterhånden, så har Epic ret udstrakt adgang til vore data derfra (og jeg ved fra aktindsigt, at det også gælder mobile enheder, og at der ingen on-site kontrol er fra dansk side mht. sikkerheden). Jeg peger på det generelt uheldige i, at vi sender vore data/giver adgang til vore data til udlandet, hvor vi er ret hjælpeløse ift. at sikre dem.

Jeg har prøvet at læse artiklen på ProPublica, men har ikke umiddelbart kunnet finde listen over, hvem der er ramt denne gang. Men som jeg forstår det, så er det ikke så meget de store hospitaler, men mere mindre klinikker:
doctors’ offices, medical-imaging centers and mobile X-ray services."

Men ved vi, at de sjællandske/danske hospitaler ikke samarbejder med og nogen gange sender materiale til nogle af disse, f.eks. i forbindelse med diagnosticering og forskning? Det er i hvert fald tidligere blevet afsløret, at danske hospitaler nogen gange sender billedmateriale til udlandet. Derfor er denne sætning interessant:
All told, medical data from more than 16 million scans worldwide was available online, including names, birthdates and, in some cases, Social Security numbers."

Og for et par år siden sendte Ipsych - ulovligt - 80 000 danskeres dna-materiale til Boston i forbindelse med et forskningsprojekt.

Så jeg ville blive forbavset, hvis der ikke stadig foregår den slags trafik, som kan bringe danske data i fare i disse sager. Og da SP jo altså i forvejen er tæt koblet med USA - så kan du nok så meget sige, at serverne står herhjemme - så er det nærliggende at få den tanke, at der f.eks. kunne ryge billedmateriale over atlanten derfra.

Men du har måske insiderviden, som gør, at du fuldstændigt kan afvise dette? Har du noget med SP at gøre? For så må du meget gerne dele ud af din viden.

  • 3
  • 1
Kim Henriksen

For jeg synes da, at jeg er stødt på DICOM-lagring af billeder flere gange i møde med sundhedsvæsnet. Jeg tror, at det bruges til at overføre rgt.-billeder og den slags mellem læger og hospitaler.

Jeg har siddet med DICOM i samtlige regioner i Danmark.

Ja det er korrekt at DICOM benyttes til overføre medicinske billeder, fra f.eks. fra modaliteter (røntgen, CT, ultralyd maskiner osv) til en PACS eller i mellem PACS'er

DICOM er en standard, ikke et system, man kan læse lidt mere her om hvad DICOM kan: https://en.wikipedia.org/wiki/DICOM#Services

Standarden er i øvrigt tudse gammel, men der er gjort tiltag for at flytte visse DICOM services over på lidt mere moderne protokoller, f.eks. kaldet WADO: https://en.wikipedia.org/wiki/DICOMweb

Der er ikke en PACS i Danmark - der er mange, nogle regioner har enda flere PACS'er, som stammer tilbage fra den gang i der var noget der hed amter.

De fleste PACS'er jeg har set er baseret på dette biblotek: https://www.dcm4che.org/ og/eller som et mere "komplet" system her: https://dcm4che.atlassian.net/wiki/spaces/ee2/overview

  • 4
  • 0
Louise Klint

Ja, jeg kender også DICOM, som et format eller en standard for røntgenbilleder.
https://www.dicomstandard.org/

For blot 3-4 år siden blev billederne gerne overført og udvekslet på cd-rom.

Så vidt jeg ved, har hospitalerne, i hvert fald her i Region H, sikker mail for de praktiserende læger og ind til hospitalsafdelingen (fx en central mailbox specifikt til henvisninger), men jeg ved ikke nøjagtigt, hvordan det ellers fungerer, med udveksling, overordnet set.

Region H har RIS/PACS fra Agfa.
(RIS = booking/administration, PACS = lager/arkiv til billederne).
En bøvlet, betændt sag, det skal jeg ikke komme ind på her.

Oversigt over PACS-leverandører til danske hospitaler nederst her:
https://www.medcom.dk/opslag/koder-tabeller-ydere/koder/rispacs-databaser

Heller ikke jeg ved, i hvor stort omfang, eller hvordan, røntgenbilleder udveksles over grænserne, men det sker. Fra fx hospitalerne til en ekstern leverandør i udlandet, i forbindelse med fx diagnosticering eller behandlingsplanlægning, virtuel planlægning af kirurgi.
Her også en artikel, jeg har gemt:
11.01.17: https://politiken.dk/oekonomi/art5781732/R%C3%B8ntgenbilleder-stryger-p%...

  • 1
  • 0
Kim Henriksen

Tak for uddybning, Kim Henriksen.

Det var så lidt - nu da sundheds IT er et emne du har interesse for, så vil jeg tillade mig at opfordre dig til, at sætte dig ind i IHE: https://wiki.ihe.net/index.php/Main_Page som beskriver kliniske informations behov, workflows m.m, samt hvilke standarder (f.eks. DICOM) der er behov for, for at implemtere det.

Du kan f.eks. se hvordan dcm4chee (PACS) understøtter IHE: https://dcm4che.atlassian.net/wiki/spaces/ee2/pages/2555907/IHE+Integrat...

Har du en vurdering af, om DICOM udgør en risiko i Danmark?

Nej.

Heller ikke jeg ved, i hvor stort omfang, eller hvordan, røntgenbilleder udveksles over grænserne, men det sker. Fra fx hospitalerne til en ekstern leverandør i udlandet

Billeder udveklses mellem PACS'er via netværk, men principelt set også via fysiske medier så som CDROM'er.

Faktisk beskriver Region Nordjylland hvordan det foregår hos dem, lige her: https://pri.rn.dk/Sider/10871.aspx

Nederst på siden kan i læse hvad medarbejderen gør, for at sende en patients medicinske billeder til TMC i Sydney for læsning

Der er liste over PACS'er som RN kan sende billeder til her: https://pri.rn.dk/Sider/5494.aspx

  • 3
  • 0
Anne-Marie Krogsbøll

Efter at have kigget lidt på jeres links, synes jeg godt man kan blive lidt bekymret mht. eks. billedoverførsel - i hvert fald til udlandet.

F.eks. fra Politiken-linket:
"Vi har ingen mulighed for at føre tilsyn med udenlandske læger eller udenlandske firmaer, som arbejder i et andet land. "
https://politiken.dk/oekonomi/art5781732/R%C3%B8ntgenbilleder-stryger-p%...
(minus abonnement)

Udtalelsen drejer sig om kvaliteten af vurderingen af billederne, hvor man i nogle tilfælde køber sig til en billig vurdering i udlandet. Men samtidig rejser det spørgsmålet: Har man så mulighed for at føre tilsyn med datasikkerheden hos modtageren? Jeg tvivler. Er der lavet databehandleraftaler? Det er der måske ofte - men jeg tvivler meget på, at der føres kontrol på stedet mht. "passwords or basic security precautions", som er det ømme punkt i ProPublica-artiklen. Det havde man jo i hvert fald ikke gjort, da Ipsych sendte de 80 000 meget private blodprøver (tror jeg det var) til Boston - og indtil nu kan jeg ikke huske en eneste historie om, at danske myndigheder/dataansvarlige er taget på kontrolbesøg hos deres data-samarbejdspartnere i udlandet. Jeg tror, det er yderst sjældent det sker.

At der foregår endog særdeles meget deling af vore meget private data - ikke bare billedmateriale - over landegrænser, og også til USA, fremgår af et par eksempler:
https://www.ncbi.nlm.nih.gov/pmc/articles/PMC6439836/
Dette projekt omhandler følgende oplysninger om samtlige danskere, der er født mellem 1900 og 2015, og det behandler følgende oplysninger:
Information includes a unique personal identification number used to link information from several registers (pnr), birthdate (fdato), sex (kqn: “M” for males and “K” for females), legal status (stat: 1 for active citizens, 70 for disappeared, 80 for emigrated and 90 for dead) and date of disappearance, emigration or death (statd). In addition, information on the 10 mental disorders used in this publication were included from the Danish Psychiatric Central Research Register: Organic Disorders (D00), Substance Use disorders (D10), Schizophrenia and related disorders (D20), Mood Disorders (D30), Neurotic Disorders (D41), Eating Disorders (D51), Personality Disorders (D61), Intelectual disabilities (D70), Developmental Disorders (D81) and Behavioral Disorders (D91)."
https://plana-ripoll.github.io/NB-COMO/

Som jeg forstår forklaringen til projektet, så har forskerne adgang til "anonymiserede" data på individ-niveau:
"Danish health registers provide approved researchers access to anonymized person-level information on access to mental health care via inpatient, outpatient, and emergency settings."
https://holtzyan.shinyapps.io/the-nb-como-project/

Med så mange parametre på individ-niveau, tvivler jeg meget på, at såkaldt "anonymisering" (gad vide, hvad det dækker over - et nummer?) kan forhindre let og elegant reidentificering i de forkerte hænder.

Dette projekt har inddraget særdeles mange forskere fra 4 lande: Danmark, Holland, Australien, USA. Og bl.a. Massachusetts General Hospital, som, i følge listen fra ProPublica, er under efterforskning for muligt læk i forbindelse med en netværsserver.

Eller prøv at se den imponerende liste af lande og forskere, som indgår i dette projekt, heriblandt 23andMe. Mindst 68 institutioner/firmaer er involverede, og magne af forskerne har tætte samarbejder med medicinalindustrien: https://www.ncbi.nlm.nih.gov/pmc/articles/PMC6481311/

Det er fuldstændigt uigennemskueligt, i hvilket omfang data har forladt landet og i hvilken form i disse projekter. Måske er det ikke sket, for det fremgår af den første projekt, at "All analyses were performed on the secured platform of Statistics Denmark using R" Men er det en garanti for, at data ikke kan være hentet ud af denne platform?

Og det fremgår, at Drs Plana-Ripoll and McGrath had full access to all the data in the study and take responsibility for the integrity of the data ...." Hvordan skal det forstås - tager de ansvaret for datasikkerheden? I givet fald - burde den ikke være sikret via den pågældende platform, og dermed af SSI, så ingen individuelt har ansvaret for den? Eller betyder det, at de har hentet data ud, og tager ansvar for, at de alligevel er sikre ? I givet fald: Hvor meget har de delt dem?

Under alle omstændigheder: Det er særdeles let at finde forskningsprojekter, som inddrager særdeles mange (nogen gange hundreder) udenlandske forskere, institutioner og firmaer i behandlingen af danske sundhedsdata. Med det omfang tør jeg godt garantere, at ingen har tjek på, om sikkerheden er i orden alle steder.

Og selv hvis den skulle være det, så er det ikke i orden at dele ud af danskernes private oplysninger - endda så private som psykiatriske lidelser - til hele verden.

  • 0
  • 1
Log ind eller Opret konto for at kommentere