Region H fremhæver GDPR-ugyldig sondring mellem 'at se' patientdata og placering af data

Illustration: Beebright/Bigstock
Patientdata fra Sundhedsplatformen kan kun ses i USA, men de ligger der ikke, understreger Region Hovedstadens administration i en skrivelse til politikerne. Den sondring er dog irrelevant i forhold til kravene i persondataforordningen.

Region Hovedstaden går nu i rette med de seneste dages medieomtale af den amerikanske it-leverandør Epics adgang til patientdata i Sundhedsplatformen. I en skrivelse til Regionsrådet går administrationen i rette med udmeldingen om at »danske patientdata ender i USA«.

Regionen understreger, at 'data ligger ikke i USA':

»Med hensyn til, at medarbejdere i Epic (i USA) har adgang til danske sundhedsdata, så er det korrekt. Det er en nødvendighed i forhold til at kunne supportere og fejlrette hurtigt og effektivt. Hvis en sådan adgang ikke var mulig, ville problemer ikke kunne løses hurtigt. De to regioner kan give navngivne medarbejdere hos Epic mulighed for at se patientdata, men data ligger i Danmark i de to regioners datacentre og ejes af Region Hovedstaden og Region Sjælland. Data ligger ikke i USA,« skriver regionen i orienteringen (PDF).

Problemet er bare, at der i GDPR-retlig forstand ikke er forskel på, om data overføres til opbevaring eller behandling i udlandet - eller om ansatte i fx USA alene har adgang til at se data.

Dette oplyser regionen ikke i skrivelsen.

Det retlige grundlag fremgår af Vejledning om overførsel af personoplysninger til tredjelande (PDF), som Justitsministeriet, Erhvervssstyrelsen, Datatilsynet og Digitaliseringsstyrelsen har udgivet i fællesskab.

Heraf fremgår det, at der er tale om en overførsel i persondataretlig forstand - og at særlige regler om overførsel af personoplysninger til tredjelande i databeskyttelsesforordningens derfor skal overholdes, uanset at de ansatte, i dette tilfælde USA, kun kan se data:

»En overførsel kan f.eks. bestå i en elektronisk transmission eller i en fremsendelse af en USB-nøgle, men en overførsel kan også bestå i, at personer i et tredjeland blot gives 'se-adgang' til oplysninger, der befinder sig i EU,« fremgår det af vejledningen.

Når data således overføres til tredjelande, skal fire garantier overholdes. Det handler om, at de udenlandske myndigheders adgang til data skal ske på baggrund af klare, præcise og tilgængelige regler, at adgangen skal være nødvendig og proportional, samt at der skal være tilsyn med adgangen, og endelig at der skal være tilgængelige og effektive retsmidler for de registrerede.

Region: Myndigheder har ikke adgang til data

Region Hovedstaden understreger også, at »amerikanske myndigheder kan ikke tilgå danske sundhedsdata i regionernes datacentre«.

Hvordan regionen kan garantere dette, er ikke oplyst. Ifølge de internationale overførselsregler, nævnt ovenfor, har myndigheder adgang til overførte data, hvis de fire retsgarantier er overholdt.

Version2 har tidligere omtalt, at netop sikringen af et gyldigt dataoverførselsgrundlag med Epic voldte problemer og var mere end et år undervejs.

Læs også: Sundhedsplatformen: Epic udskyder igen at levere garanti for sikker databehandling

Men Region Hovedstaden oplyser, at der er er aftalt et overførselsgrundlag for Epics adgang til patientdata.

»Epics adgang til persondata sker i henhold til den standard EU-kontrakt, som de to regioner har med Epic og den fælles databehandleraftale. Aftalerne er indgået indenfor rammerne af EU’s regler på området. De udvalgte support-medarbejdere i Epic, som supporterer systemet i Danmark, har de samme adgange til systemet som de danske supportmedarbejdere, der er ansat i regionen og kan se de samme oplysninger. Man er underlagt de samme regler som alle andre – og al færden i systemet, det gælder for både læger, sygeplejersker og supportmedarbejdere i både ind- og udland, logges.«

Helt sædvanligt at overføre data

Region Hovedstaden oplyser i øvrigt, at praksis med at give softwareleverandører adgang også til følsomme data er helt almindelig:

»Det er i øvrigt helt sædvanligt og også nødvendigt, at producenter af software i konkrete situationer kan tildeles adgang til data i forbindelse med fejlretning. Det er tilfældet for en lang række andre systemer, som benyttes i alle dele af sundhedssektoren – i andre regioner og i staten. De regler og retningslinjer, der er aftalt med Epic, er i overensstemmelse med, hvad man ellers ser. De øvrige europæiske kunder hos Epic, bl.a. Holland, Finland, England m.fl., har alle samme support-setup med Epic,« lyder det i orienteringen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

... griber de hvert et halmstrå for at bortforklare deres sløserier.

Men Region Hovedstaden oplyser, at der er er aftalt et overførselsgrundlag for Epics adgang til patientdata."

Men dette overførselsgrundlag er i følge rapporten meget lidt konkretiseret.

"Epics adgang til persondata sker i henhold til den standard EU-kontrakt, som de to regioner har med Epic og den fælles databehandleraftale. Aftalerne er indgået indenfor rammerne af EU’s regler på området. De udvalgte support-medarbejdere i Epic, som supporterer systemet i Danmark, har de samme adgange til systemet, som de danske supportmedarbejdere, der er ansat
i regionen og kan se de samme oplysninger. Man er underlagt de samme regler som alle andre – og alt færden i systemet, det gælder for både læger, sygeplejersker og supportmedarbejdere i både ind- og udland, logges. ​"

Men hvad med kontrollen med, om aftalerne (som i forvejen er mangelfulde), så også overholdes? Den er - så vidt jeg har kunnet læse mig til, ikke-eksisterende.

"Data ligger ikke i USA"

Hvis nogen kort kan forklare mig, hvordan man lægger noget skærmkopi ind i en kommentar, kan jeg bidrage med nogle klip fra kontrakten, som omtaler, at Epic-medarbejderne ved modtagelse af emails og vedhæftede filer skal kryptere disse - hvilket vel indebærer dels, at man anvender mobile enheder ("ad hoc arbejdssteder " - hvilket vel evt. kunne være hjemmefra?) til disse data (det fremgår også andre steder, og det fremgår, at regionerne kan stille krav vedr. dette - men det fremgår ikke, at de så faktisk også stiller disse krav . Kun, at de har mulighed for det), dels at man modtager følsomme data som vedhæftede filer - ellers var der jo ingen grund til at kryptere. Men kontrollerer man, om dette overholdes? Det har jeg ikke indtryk af.

Men regionerne vil åbenbart stadig ikke lytte - de affærdiger som sædvanligt kritik med, at den er fejlagtig - selv når de selv har bestilt rapporten. Det er ikke tillidsfremmende.

James Jones

EPIC medarbejdere er support på system. Deres hovedopgave er, at levere opdateringer. Det er ikke at behandle persondata.

@Region og @Epic - prøv lige at få nogle kloge jurister med omkring bordet, før i vrøvler om hvor data ligger og om at læse fra USA -- det er jo fuldstændigt irrelevant

Anne-Marie Krogsbøll

Nu har jeg i stedet skrevet udvalgte passager af - med stavefjel og det hele:

"Regionen anerkender, at Epic og dets medarbejdere vil behandle data andetsteds end fra regionens faciliteter ("Ad hoc-arbejdssteder"), hvilket Regionen accepterer, så længe sådan behandlingen i øvrigt er i overensstemmelse med dette Ændringsbilag og Standardbestemmelserne, herunder bilag 2 til bilag 18"

"Slutbrugere skal kryptere Personoplysninger gemt på mobil eller aftagelige enheder med AES-128-kryptering eller kraftigere.
Implementerings- og teknisk supportrepræsentanter kan synkronisere deres virksomheds-e-mail til mobile enheder eksempelvis iPhone, iPad og Android-enheder. I henhold til dataimportørens aktuelle politik skal sådanne anordninger have (i)en pinkode på mindst 4 cifre for at kunne synkronisere uden modtagelse af vedhæftede filer, eller (ii) password på mindst 8 alfanumeriske tegn, AES-128-kryptering eller kraftigere aktiveret på enheden og en timeout for inaktivitet indstillet til højst 5 minutter for at kunne synkronisere og modtage vedhæftede filer."

"Hvis der modtages anmodning om inspektion direkte fra en tilsynsmyndighed, skal Regionen forsøge selv at håndtere anmodningen direkte med tilsynsmyndigheden, ved anvendelse af oplysninger og ressourcer tilvejebragt af Epic og/eller eventuelle underkontraherede registerførere."

Mogens Lysemose

Det giver jo ikke meget mening tale om hvor data ligger, men derimod hvem der har adgang til data:

Formelt set er al brug og "overførsel" vel en kopiering (og transformering) af rådata. Data forsvinder jo ikke fra server-harddisken ved overføres til klientens browser.

Og hvordan kan regionen garantere at myndighederne i USA ikke har adgang til data når det er velkendt at USA benytter hemmelige domme fra FISA-domstole til at tvinge virksomheder til at give statens efterretnignstjenester adgang til kundedata, og under strengeste fortrolighed, hvor de ikke engang må fortælle at der foreligger en dom der tvinger dem til noget...
(jeg siger ikke at Kina eller Rusland er det mindste bedre, men nu er det USA der er tale om her.)

https://en.wikipedia.org/wiki/United_States_Foreign_Intelligence_Surveil...

Mogens Lysemose

Slutbrugere skal kryptere Personoplysninger gemt på mobil

Betyder det at sundhedsplatformen er på internettet og Epic må tilgå den fra og behandle dens data på valgfri mobile enheder, blot de ikke gemmer noget ukrypteret og husker en pinkode på enheden?

Det virker vildt at at 2,5 Mio danskeres helbredsdata afhænger af at en vilkårlig mobil enhed hos epic ikke har sikkerhedshuller og ikke har malware installeret...

Anne-Marie Krogsbøll

"Med mindre andet er aftalt, vil dataimportørens medarbejdere kun kunne tilgå dataeksportørens systemer gennem den site-to-site-VPN, der er etableret mellem dataimportøren og dataeksportøren. De af dataimportørens medarbejdere, der har adgang til dataimportørens site-to-site-VPN, vil kun have adgang til Sundhedsplatformen, så længe de har forbindelse til dataimportørens netværk. Forbindelse til dataimportørens netværk fra noget sted uden for dataimportørens netværksperimeter (dvs. via VPN) er i øjeblikket underlagt to-faktor-sikkerhed. Hvis forbindelsen til dataeksportørens netværk etableres fra et sted uden brug af site-to-site-VPN mellem dataimportøren og dataeksportøren, kan dataeksportøren kræve to-faktor-sikkerhed i forbindelse med en sådan adgang. Når en medarbejder hos dataimportøren fratræder, ophæves den pågældende medarbejders adgang til dataimportørens netværk."

Som jeg læser det, åbner man altså for, at der kan etableres forbindelse til netværket udenfor Epics/regionens site-to-site-VPN, og at regionen i den forbindelse kan kræve to-factor-login. Men gør de det? Og er det nok med så følsomme data?

Forståelsesspørgsmål: Skal det forstås på den måde, at det er EPIC, der i givet fald skal sørge for to-faktor-login, eller er det regionen?

Kim Henriksen

Jeg har arbejdet med offentlig sundheds IT i en kortere periode og lidt længere periode i forskellige sammenhænge, men sagde begge jobs op pga. tingenes tilstand - det var simpelthen for pinligt at være med det og ingen vilje til at gøre det.

DER ER IKKE STYR PÅ EN SKID

Min oplevelser er i øvrigt at de medarbejdere der "styrer" tingene heller ikke ved ret meget om IT.

Det kan f.eks. være tidligere sundhedspersonale, der er sat til at tage IT beslutninger og tøjle amerikanske levandører/support medarbejdere/teknikere.

Anne-Marie Krogsbøll

Da jeg havde noget med det at gøre, havde bare en personlig VPN konto til RegH, men til andre regioner havde vi lige frem site-to-site fra kontoret.


Interessant oplysning, Kim Henriksen. Jeg går ud fra, at du ikke mener, at det var tilstrækkeligt?

Måske ligefrem en oplysning af interesse for en journalist?

Har du noget bud på, hvorfor der er sådan? Er der ingen faglige kompetencer, eller drukner sikkerheden i økonomi og politik? Er det viljen, der mangler - eller evnerne?

Anders Lorensen

De to regioner kan give navngivne medarbejdere hos Epic mulighed for at se patientdata, men data ligger i Danmark i de to regioners datacentre og ejes af Region Hovedstaden og Region Sjælland. Data ligger ikke i USA,«

Data ligger i USA jf. domstolene.
I 2008 blev Tele2 dømt til at lave censur på The Pirate Bay. En af begrundelserne var at data blev opbevaret hos internet udbyderen. - Det lå nemlig i noget cache når pakkerne susede igennem en router i et par nanosekunder.
I 2010 stadsfæstede højesteret dette.

Her er tale om at data reelt ligger i noget grafikram på et grafikkort i USA når de navngivene medarbejdere kigger i systemet - i adskillige sekunder op til flere minutter. - Det er svært at argumentere for at det så ikke ligger i USA, hvis vi skal kunne tage højesterets ord for gode vare.

Anne-Marie Krogsbøll

... "videregivet".

"Kategorier af oplysninger: De videregivne oplysninger omfatter følgende kategorier af oplysninger: Identifikationsoplysninger (personlige kontaktoplysninger såsom navn, adresse, hjemmetelefon- eller mobilnummer, e-mail-adresse og cpr-nummer) og helbredsoplysninger, aktuelle såvel som historiske data for alle patienter på de af dataeksportøren drevne hospitaler, samt data hos hospitalspersonale.
Særlige kategorier af oplysninger (hvis relevant): De videregivne personoplysninger omfatter følgende særlige kategorier af oplysninger (angiv nærmere): Behandlingen omfatter følsomme oplysninger, særligt oplysninger om helbredsmæssige eller seksuelle forhold og i særlige tilfælde religiøs overbevisning. "

Fra "Data Transfer agreement" mellem Region H og Epic.

Jesper Frimann

Det er ret tydeligt for en ‘teknisk’ person at Region(erne) Ikke overholder persondataforordningen, når man læser embedsværkets skriv til politikerne. Bare for at nævne et par ting...

Helt overordnet ignorerer man princippet om dataminimering.

Med hensyn til, at medarbejdere i Epic (i USA) har adgang til danske sundhedsdata, så er det korrekt. Det er en nødvendighed, i forhold til at kunne supportere og fejlrette hurtigt og effektivt.

Gu er det ej. Det er så absolut ikke Best practice at man har rigtige data i test/udvikling. Ej heller at en leverandør har adgang til produktion. Man kan også vælge at kryptere data, for at minimere en leverandørs adgang. Derfor er der ingen grund til at en leverandør har generel adgang til prod data.
Hvis de skal... skal man sørge for specielle foranstaltninger.

De udvalgte support-medarbejdere i Epic, som supporterer systemet i Danmark, har de samme adgange til systemet, som de danske supportmedarbejdere, der er ansat i regionen og kan se de samme oplysninger. Man er underlagt de samme regler som alle andre – og alt færden i systemet, det gælder for både læger, sygeplejersker og supportmedarbejdere i både ind- og udland, logges.

Igen er dette ikke i orden supportere, udviklere mv. Vil som regel have adgang til eller have priviligeret adgang. Det kræver ekstra kontrol, overvågning, uddannelse mv. Derfor skal der være forskel på en læge og en sysadmin/DBA etc.

Det lugter sku lidt...-

// Jesper

Bjarne Nielsen

Det er så absolut ikke Best practice at man har rigtige data i test/udvikling. Ej heller at en leverandør har adgang til produktion.

Det er svært at fortænke dem i at mene det modsatte, når det nu er så bekvemt og "billigt", og man i forvejen er så presset. Specielt ikke, når man ser flere debattører her i debatten, have det synspunkt at det modsatte er naturligt, ja nærmest uundgåeligt, og helt igennem uproblematisk.

De rigtige løsninger har altid haft det svært i konkurrencen med de nemme og bekvemme smutveje.

Thomas Birk Kristiansen

Når data lægges i en cashe i USA så man kan læse dem der - så er det en overførsel at data. Det gælder både i praktisk, juridisk og GDPR-forstand. Hvis en i USA kan læse om impotens, depression og abort så er den tekniske vej for data underordnet. For brudet på privatlivet er det samme.

Desuden har man jo netop måtte lave en databehandleraftale for at kunne lave det man sjovt kalder for en dataoverførsel. Adminstrationen tager røver på jer.

Iøvrigt fra side 45 i rapporten, kan man forstå at sundhedsplatformen klart bryder med princippet om dataminimering i GDPR, når alle patientientdata ligger i supportmiljøet. Det er slet ikke nødvendigt og data for alle tjener derfor ikke noget formål. Og som de skriver data overføres til USA.

Fra Bech-Bruun rapport side 45.

Privacy risiko:
-Risiko 10.3: Personoplysninger i supportmiljøet.

Anbefalede mitigerende tiltag:
-Nedlukning for fuldstændig spejling af op-lysninger fra produktions- til supportmiljø.

Implikationer for Sundhedsplatformen:
-Øget for manglende compliance med databeskyttelsesforordningen, når oplysningerspejles til supportmiljøet (i kombination med overførsel til USA).

Christian Nobel

"Regionen understreger, at 'data ligger ikke i USA':"

Jamen, jamen, jamen, hvis vi så går over i en helt anden boldgade, så har rettighedsalliancen og deres klakører jo i årevis sagt at bare det man lytter til et stykke musik, så er det eksemplarkopiering, og dermed tyveri.

Det kunne være lidt interessant at få en juristudmelding på hvordan man så skal finde fællesmængden af disse to 180° forskellige udmeldinger.

Dave Pencroof

Lad mig gætte lidt engang:
Lad os antage at Lars Løkke, Mette Frederiksen eller andre som betragtes VIGTIGE for staten, så bliver deres data (hvis der skulle opstå "fejl" der) IKKE blive brugt i fejlretnings øjemed ??

Log ind eller Opret konto for at kommentere