Region H fremhæver GDPR-ugyldig sondring mellem 'at se' patientdata og placering af data

Hvordan mon det står til med SP's relationer til App Orchard? Indgår den i nogen form i SP?

https://www.cnbc.com/2019/03/06/health-records-giant-epic-halts-additions-to-its-app-orchard.html​

Lad mig gætte lidt engang: Lad os antage at Lars Løkke, Mette Frederiksen eller andre som betragtes VIGTIGE for staten, så bliver deres data (hvis der skulle opstå "fejl" der) IKKE blive brugt i fejlretnings øjemed ??

</p>
<p>Interessant oplysning, Kim Henriksen. Jeg går ud fra, at du ikke mener, at det var tilstrækkeligt?</p>
<p>Måske ligefrem en oplysning af interesse for en journalist?

De kan bare kontakte mig - de har min mail ;-)

Nogle af mine udenlandske kollegaer havde også personlige VPN kontoer til RegH

"Regionen understreger, at 'data ligger ikke i USA':"

Jamen, jamen, jamen, hvis vi så går over i en helt anden boldgade, så har rettighedsalliancen og deres klakører jo i årevis sagt at bare det man lytter til et stykke musik, så er det eksemplarkopiering, og dermed tyveri.

Det kunne være lidt interessant at få en juristudmelding på hvordan man så skal finde fællesmængden af disse to 180° forskellige udmeldinger.

Når data lægges i en cashe i USA så man kan læse dem der - så er det en overførsel at data. Det gælder både i praktisk, juridisk og GDPR-forstand. Hvis en i USA kan læse om impotens, depression og abort så er den tekniske vej for data underordnet. For brudet på privatlivet er det samme.

Desuden har man jo netop måtte lave en databehandleraftale for at kunne lave det man sjovt kalder for en dataoverførsel. Adminstrationen tager røver på jer.

Iøvrigt fra side 45 i rapporten, kan man forstå at sundhedsplatformen klart bryder med princippet om dataminimering i GDPR, når alle patientientdata ligger i supportmiljøet. Det er slet ikke nødvendigt og data for alle tjener derfor ikke noget formål. Og som de skriver data overføres til USA.

Fra Bech-Bruun rapport side 45.

Privacy risiko: -Risiko 10.3: Personoplysninger i supportmiljøet.

Anbefalede mitigerende tiltag: -Nedlukning for fuldstændig spejling af op-lysninger fra produktions- til supportmiljø.

Implikationer for Sundhedsplatformen: -Øget for manglende compliance med databeskyttelsesforordningen, når oplysningerspejles til supportmiljøet (i kombination med overførsel til USA).

Det er så absolut ikke Best practice at man har rigtige data i test/udvikling. Ej heller at en leverandør har adgang til produktion.

Det er svært at fortænke dem i at mene det modsatte, når det nu er så bekvemt og "billigt", og man i forvejen er så presset. Specielt ikke, når man ser flere debattører her i debatten, have det synspunkt at det modsatte er naturligt, ja nærmest uundgåeligt, og helt igennem uproblematisk.

De rigtige løsninger har altid haft det svært i konkurrencen med de nemme og bekvemme smutveje.

Det lugter sku lidt...-

Det er ret tydeligt for en ‘teknisk’ person at Region(erne) Ikke overholder persondataforordningen, når man læser embedsværkets skriv til politikerne. Bare for at nævne et par ting...

Helt overordnet ignorerer man princippet om dataminimering.

Med hensyn til, at medarbejdere i Epic (i USA) har adgang til danske sundhedsdata, så er det korrekt. Det er en nødvendighed, i forhold til at kunne supportere og fejlrette hurtigt og effektivt.

Gu er det ej. Det er så absolut ikke Best practice at man har rigtige data i test/udvikling. Ej heller at en leverandør har adgang til produktion. Man kan også vælge at kryptere data, for at minimere en leverandørs adgang. Derfor er der ingen grund til at en leverandør har generel adgang til prod data. Hvis de skal... skal man sørge for specielle foranstaltninger.

De udvalgte support-medarbejdere i Epic, som supporterer systemet i Danmark, har de samme adgange til systemet, som de danske supportmedarbejdere, der er ansat i regionen og kan se de samme oplysninger. Man er underlagt de samme regler som alle andre – og alt færden i systemet, det gælder for både læger, sygeplejersker og supportmedarbejdere i både ind- og udland, logges.

Det lugter sku lidt...-

// Jesper

... "videregivet".

"Kategorier af oplysninger: De videregivne oplysninger omfatter følgende kategorier af oplysninger: Identifikationsoplysninger (personlige kontaktoplysninger såsom navn, adresse, hjemmetelefon- eller mobilnummer, e-mail-adresse og cpr-nummer) og helbredsoplysninger, aktuelle såvel som historiske data for alle patienter på de af dataeksportøren drevne hospitaler, samt data hos hospitalspersonale. Særlige kategorier af oplysninger (hvis relevant): De videregivne personoplysninger omfatter følgende særlige kategorier af oplysninger (angiv nærmere): Behandlingen omfatter følsomme oplysninger, særligt oplysninger om helbredsmæssige eller seksuelle forhold og i særlige tilfælde religiøs overbevisning. "

Fra "Data Transfer agreement" mellem Region H og Epic.

Når en medarbejder hos dataimportøren fratræder, ophæves den pågældende medarbejders adgang til dataimportørens netværk."

De to regioner kan give navngivne medarbejdere hos Epic mulighed for at se patientdata, men data ligger i Danmark i de to regioners datacentre og ejes af Region Hovedstaden og Region Sjælland. Data ligger ikke i USA,«

Data ligger i USA jf. domstolene. I 2008 blev Tele2 dømt til at lave censur på The Pirate Bay. En af begrundelserne var at data blev opbevaret hos internet udbyderen. - Det lå nemlig i noget cache når pakkerne susede igennem en router i et par nanosekunder. I 2010 stadsfæstede højesteret dette.

Her er tale om at data reelt ligger i noget grafikram på et grafikkort i USA når de navngivene medarbejdere kigger i systemet - i adskillige sekunder op til flere minutter. - Det er svært at argumentere for at det så ikke ligger i USA, hvis vi skal kunne tage højesterets ord for gode vare.

Da jeg havde noget med det at gøre, havde bare en personlig VPN konto til RegH, men til andre regioner havde vi lige frem site-to-site fra kontoret.

Måske ligefrem en oplysning af interesse for en journalist?

Har du noget bud på, hvorfor der er sådan? Er der ingen faglige kompetencer, eller drukner sikkerheden i økonomi og politik? Er det viljen, der mangler - eller evnerne?

site-to-site-VPN, og at regionen i den forbindelse kan kræve to-factor-login. Men gør de det? Og er det nok med så følsomme data?

Da jeg havde noget med det at gøre, havde bare en personlig VPN konto til RegH, men til andre regioner havde vi lige frem site-to-site fra kontoret.

Jeg har arbejdet med offentlig sundheds IT i en kortere periode og lidt længere periode i forskellige sammenhænge, men sagde begge jobs op pga. tingenes tilstand - det var simpelthen for pinligt at være med det og ingen vilje til at gøre det.

DER ER IKKE STYR PÅ EN SKID

Min oplevelser er i øvrigt at de medarbejdere der "styrer" tingene heller ikke ved ret meget om IT.

Det kan f.eks. være tidligere sundhedspersonale, der er sat til at tage IT beslutninger og tøjle amerikanske levandører/support medarbejdere/teknikere.

Betyder det at sundhedsplatformen er på internettet og Epic må tilgå den fra og behandle dens data på valgfri mobile enheder, blot de ikke gemmer noget ukrypteret og husker en pinkode på enheden?

"Med mindre andet er aftalt, vil dataimportørens medarbejdere kun kunne tilgå dataeksportørens systemer gennem den site-to-site-VPN, der er etableret mellem dataimportøren og dataeksportøren. De af dataimportørens medarbejdere, der har adgang til dataimportørens site-to-site-VPN, vil kun have adgang til Sundhedsplatformen, så længe de har forbindelse til dataimportørens netværk. Forbindelse til dataimportørens netværk fra noget sted uden for dataimportørens netværksperimeter (dvs. via VPN) er i øjeblikket underlagt to-faktor-sikkerhed. Hvis forbindelsen til dataeksportørens netværk etableres fra et sted uden brug af site-to-site-VPN mellem dataimportøren og dataeksportøren, kan dataeksportøren kræve to-faktor-sikkerhed i forbindelse med en sådan adgang. Når en medarbejder hos dataimportøren fratræder, ophæves den pågældende medarbejders adgang til dataimportørens netværk."

Som jeg læser det, åbner man altså for, at der kan etableres forbindelse til netværket udenfor Epics/regionens site-to-site-VPN, og at regionen i den forbindelse kan kræve to-factor-login. Men gør de det? Og er det nok med så følsomme data?

Forståelsesspørgsmål: Skal det forstås på den måde, at det er EPIC, der i givet fald skal sørge for to-faktor-login, eller er det regionen?

Slutbrugere skal kryptere Personoplysninger gemt på mobil

Betyder det at sundhedsplatformen er på internettet og Epic må tilgå den fra og behandle dens data på valgfri mobile enheder, blot de ikke gemmer noget ukrypteret og husker en pinkode på enheden?

Det virker vildt at at 2,5 Mio danskeres helbredsdata afhænger af at en vilkårlig mobil enhed hos epic ikke har sikkerhedshuller og ikke har malware installeret...

Det giver jo ikke meget mening tale om hvor data ligger, men derimod hvem der har adgang til data:

Formelt set er al brug og "overførsel" vel en kopiering (og transformering) af rådata. Data forsvinder jo ikke fra server-harddisken ved overføres til klientens browser.

Og hvordan kan regionen garantere at myndighederne i USA ikke har adgang til data når det er velkendt at USA benytter hemmelige domme fra FISA-domstole til at tvinge virksomheder til at give statens efterretnignstjenester adgang til kundedata, og under strengeste fortrolighed, hvor de ikke engang må fortælle at der foreligger en dom der tvinger dem til noget... (jeg siger ikke at Kina eller Rusland er det mindste bedre, men nu er det USA der er tale om her.)

https://en.wikipedia.org/wiki/United_States_Foreign_Intelligence_Surveillance_Court

Nu har jeg i stedet skrevet udvalgte passager af - med stavefjel og det hele:

"Regionen anerkender, at Epic og dets medarbejdere vil behandle data andetsteds end fra regionens faciliteter ("Ad hoc-arbejdssteder"), hvilket Regionen accepterer, så længe sådan behandlingen i øvrigt er i overensstemmelse med dette Ændringsbilag og Standardbestemmelserne, herunder bilag 2 til bilag 18"

"Slutbrugere skal kryptere Personoplysninger gemt på mobil eller aftagelige enheder med AES-128-kryptering eller kraftigere. Implementerings- og teknisk supportrepræsentanter kan synkronisere deres virksomheds-e-mail til mobile enheder eksempelvis iPhone, iPad og Android-enheder. I henhold til dataimportørens aktuelle politik skal sådanne anordninger have (i)en pinkode på mindst 4 cifre for at kunne synkronisere uden modtagelse af vedhæftede filer, eller (ii) password på mindst 8 alfanumeriske tegn, AES-128-kryptering eller kraftigere aktiveret på enheden og en timeout for inaktivitet indstillet til højst 5 minutter for at kunne synkronisere og modtage vedhæftede filer."

"Hvis der modtages anmodning om inspektion direkte fra en tilsynsmyndighed, skal Regionen forsøge selv at håndtere anmodningen direkte med tilsynsmyndigheden, ved anvendelse af oplysninger og ressourcer tilvejebragt af Epic og/eller eventuelle underkontraherede registerførere."

EPIC medarbejdere er support på system. Deres hovedopgave er, at levere opdateringer. Det er ikke at behandle persondata.

@Region og @Epic - prøv lige at få nogle kloge jurister med omkring bordet, før i vrøvler om hvor data ligger og om at læse fra USA -- det er jo fuldstændigt irrelevant

Tak, Jesper Nielsen. Det prøver jeg. .....................................

Nå - Det ser ikke ud til at virke på min pc. I Tor vises bare en hvid side - tekstfeltet kommer ikke med. I IE sker der ingen ting.

Hvis nogen kort kan forklare mig, hvordan man lægger noget skærmkopi ind i en kommentar

Du kan evt. paste dit screenshot til https://snag.gy/, og så blot linke dertil fra din kommentar.

... griber de hvert et halmstrå for at bortforklare deres sløserier.

Men Region Hovedstaden oplyser, at der er er aftalt et overførselsgrundlag for Epics adgang til patientdata."​

Men dette overførselsgrundlag er i følge rapporten meget lidt konkretiseret.

"Epics adgang til persondata sker i henhold til den standard EU-kontrakt, som de to regioner har med Epic og den fælles databehandleraftale. Aftalerne er indgået indenfor rammerne af EU’s regler på området. De udvalgte support-medarbejdere i Epic, som supporterer systemet i Danmark, har de samme adgange til systemet, som de danske supportmedarbejdere, der er ansat i regionen og kan se de samme oplysninger. Man er underlagt de samme regler som alle andre – og alt færden i systemet, det gælder for både læger, sygeplejersker og supportmedarbejdere i både ind- og udland, logges. ​"

Men hvad med kontrollen med, om aftalerne (som i forvejen er mangelfulde), så også overholdes? Den er - så vidt jeg har kunnet læse mig til, ikke-eksisterende.

"Data ligger ikke i USA"

Hvis nogen kort kan forklare mig, hvordan man lægger noget skærmkopi ind i en kommentar, kan jeg bidrage med nogle klip fra kontrakten, som omtaler, at Epic-medarbejderne ved modtagelse af emails og vedhæftede filer skal kryptere disse - hvilket vel indebærer dels, at man anvender mobile enheder ("ad hoc arbejdssteder " - hvilket vel evt. kunne være hjemmefra?) til disse data (det fremgår også andre steder, og det fremgår, at regionerne kan stille krav vedr. dette - men det fremgår ikke, at de så faktisk også stiller disse krav . Kun, at de har mulighed for det), dels at man modtager følsomme data som vedhæftede filer - ellers var der jo ingen grund til at kryptere. Men kontrollerer man, om dette overholdes? Det har jeg ikke indtryk af.

Men regionerne vil åbenbart stadig ikke lytte - de affærdiger som sædvanligt kritik med, at den er fejlagtig - selv når de selv har bestilt rapporten. Det er ikke tillidsfremmende.