Region Midtjylland øger kontrol af mistænkelige persondata-opslag

Illustration: Systematic
Medarbejderes opslag i it-systemer med personoplysninger bliver undersøgt mere systematisk fra 2019 i Region Midtjylland.

Siden nytår er alle medarbejderes opslag i MIDT-EPJ blevet undersøgt mere systematisk end hidtil. Det er sket ved projektet 'Log og Logopfølgning', som for alvor er rullet ud her i starten af det nye år.

»Regionen ønsker at iværksætte en mere systematisk opfølgning på mistænkelige opslag med henblik på at sikre, at lovgivningens krav vedrørende kontrol med behandling af personoplysninger i it-systemer opfyldes for hermed at kunne påvise og stoppe eventuelt misbrug af persondata, som Region Midtjylland er dataansvarlig for. Med indførelsen af databeskyttelsesforordningen er reglerne for dokumentation af beskyttelsen af persondata skærpet. Hidtil er der fulgt op på alle mistænkelige opslag, som regionen er blevet bekendt med,« skriver Lena Danvøgg, juridisk specialkonsulent i Region Midtjylland, i en mail til DigiTech.

Regionen understreger, at reglerne for, hvad og hvornår man må slå op i systemerne, ikke er ændret, hverken som følge af GDPR eller logopfølgningen. Selve logningen af it-systemerne er ligeledes uændret, men det er måden, som regionen følger op på logningen, der er ændret.

Helt overordnet screener systemet, om der er en sammenhæng mellem patienten, der er søgt på, og så den medarbejder, der har søgt i it-systemet.

»Hvis systemet ikke kan finde en behandlerrelation på afdelingen mellem medarbejderen, der har slået op, og den person, der er slået op på, vil opslaget blive sendt til videre foranstaltning hos HR.«

Læs også: Region H: Meningsløst at sammenligne priser på Sundhedsplatformen og EPJ SYD

Klar i 2019

Regionen beskriver selv processen således:

»Overordnet set vil processen være således, at Juridisk Kontor trækker lister med mistænkelige opslag i systemerne. Det kunne fx være en medarbejder, der har slået op på sit familiemedlem, sig selv eller sin nabo, uden at der er tale om aktuel behandling. Listerne sendes til Lokal HR, der vil være ansvarlig for håndteringen af det videre forløb efter almindelige personaleretlige principper. Der gives tilbagemelding til Juridisk Kontor, der indberetter sikkerhedsbrud til Datatilsynet.«

Den største udfordring i arbejdet med at indføre et system til logopfølgning er balancen mellem at finde uregelmæssigheder og samtidig undgå at mistænkeliggøre medarbejdere, der har haft en legitim årsag til at lave et opslag, men som ikke automatisk er blevet genkendt af logopfølningssystemet.

»Der er arbejdet meget med at tilrette systemet, så det sikres, at eventuelt misbrug af systemerne opdages, samtidig med at det ønskes undgået, at medarbejdere mistænkeliggøres for berettigede opslag, der ikke har kunnet findes begrundelse for ved et automatisk udtræk,« skriver Lena Danvøgg.

Der startes ud med iværksættelse af logopfølgning på Midt-EPJ og Sensum Bosted på socialområdet. På sigt vil alle kildesystemer blive omfattet af logopfølgningen. Det forventes på nuværende tidspunkt, at logopfølgningen sættes i drift i begyndelsen af 2019.

Projekt 'Log og Logopfølgning' har et budget på 6,5 mio. kr.

Region Sjælland startede i 2013

Det er langtfra nyt, at regioner og andre offentlige myndigheder skal følge op på, hvordan medarbejderne bruger deres priviligerede adgang til personfølsomme oplysninger.

Det blev dog en ekstra varm kartoffel i kølvandet på Se & Hør-sagen fra 2014, hvor det blandt andet kom frem, at ugebladet havde en kilde på Rigshospitalet, der gav bladet fortrolige oplysninger om kendtes graviditetsscanninger.

Region Sjælland indførte allerede året før, i efteråret 2013, et system, som understøtter en mere systematiseret logopfølgning, mens alle fem regioner forpligtede sig til at foretage systematisk logopfølgning som en del af den Fællesregionale Informationssikkerhedspolitik, som blev vedtaget i regionsrådene i starten af 2017.

Læs den fulde version af denne artikel på DigiTech (kræver abonnement).

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize