Rigsrevisionen er i gang med at undersøge Sundhedsplatformen

Diskussionen herover handler meget om det først rejste spørgsmål: datasikkerhed. Det er naturligvis vigtigt, men jeg har ikke en "religiøs" holdning til det - måske fordi jeg ikke helt kan gennemskue hvor "forfærdeligt" det er.

Jeg noterer mig med stor undren, at spørgsmålet om "risikovurdering" og deraf afledte aktiviteter til imødegåelse IKKE er et nævnt emne. Een ting er Business Case = penge, men alle de andre risici ? Hvor er de ?

MEN jeg hæfter mig desuden i de skitserede temaer i artiklen især over "Faldende aktivitet". Nu er jeg altid varsom med at fortolke "one liners" - altså det samme som vises på skærmen, når snedige præsentationer vises (PowerPoint, mv.) - og som bagefter kan fortolkes efter ønske .....

For mig er det helt centrale, at Sundhedsplatformens implementering IKKE kan siges at være en succes. Det kan ikke være en succes når:

• færre patienter behandles
• væsentlige og store brugergrupper (sundhedspersonalet) fortsat undsiger løsningen. SÅ MÅ DER VÆRE NOGET GALT. Muligvis ikke med Epic, men så med den måde "implementeringen" (eller bedre udruldning i driftsættelse) er sket.

Og DET SPØRGSMÅL ser jeg gerne besvaret - sammen med alle de andre.

P.S.: I november får vi syn for sagen: kan Region Sjælland gøre det bedre ?

• eller er det valgte system ringe til danske forhold ? Konklusionen kan være tragisk, eller kan pege på inkompetance i Region Hovedstaden. Det ved vi mere om i januar 2018.

Problemet er at det samme gør sig gældende ved manuelle systemer der bygger på papir og kuglepen. IT gør i værste fald tingene mindre usikre end alternativet ...

Det har du ikke noget grundlag for at påstå.

Og faktisk forholder det sig lige omvendt: vores ganske naive brug af IT har givet os nogle helt nye og store udfordringer. Vi kan gøre det bedre, men første skridt er at erkende, at der er noget som kan forbedres.

Tak for svar, Michael Aggerholm.

Hvilke konkrete principper eller love eller regler er det du mener EPIC ikke overholder, eller at tilsynet med EPIC og Sundhedsplatformen ikke følger? Hvis du har noget konkret

I mine øjne har man allerede givet køb på vigtige principper, da man udliciterede sundhedsplatformen til USA, hvorved man har mindre mulighed for at følge op på sikkerheden. Når man tvangsregistrerer befolkningens mest intime hemmeligheder, så har man en ekstra tung pligt til at gøre alt, hvad man kan for at sikre data. Det gør man ikke - man lader sig nøje med leverandørens løfter (som kan være sande eller løgn - det er ikke det væsentlig her, men det, at man ikke tjekker det).

EPIC har kontraktligt ret til at behandle vore data i 5 lande. Hvordan kan vi vide, at der ikke kan ske noget lignende som denne historie i Norge, hvor man efter måneders efterforskning stadig ikke ved, hvor sundhedsdata befinder sig?https://www.nrk.no/norge/fortsatt-it-uvisshet-i-helse-sor-ost-1.13686202

Hvad ved vi om, om EPIC er bedre eller værre end andre leverandører? Min anke går på, at vore myndigheders kontrol med systemer som dette efter min opfattelse er helt utilstrækkelig - noget som Datatilsynet og andre den ene gang efter den anden har slået fast - især gennem de seneste måneder.

At EPIC ikke altid har styr på deres systemer, dokumenterer denne historie:http://archive.jsonline.com/business/jury-awards-940-million-to-epic-systems-corp-in-trade-secrets-lawsuit-against-tat-consultancy-b99709-376114761.html/Så vidt jeg har kunnet læse mig til, så havde man ikke lige fået fjernet en fratrådt medarbejders tilladelser - UPS!

Endvidere kan man ved at google finde mange grove historier fra menige medarbejdere om det dårlige arbejdsklima hos EPIC. Utilfredse medarbejdere er en sikkerhedsrisiko. Den slags kan selvfølgelig ikke altid undgås - det er et spørgsmål om omfang, og det er et faresignal.

Jeg har netop siddet og læst i kontrakten mellem EPIC og Sundhedsplatformen bl.a. vedr. passwords for adgang til systemet: Mindst 10 tegn og mindst to af følgende kriterier: Blandede store og små bogstaver, mindst 1 tal og mindst et tegn eller symbol. Ændres en gang årligt.....! Jeg kan ikke vurdere styrken af det første - men kun at ændre passwords 1 gang årligt på så sensitivt et system - er det godt nok? Det synes jeg ikke, at det plejer at være.

Du får lige lidt læsestof - ikke at jeg tror, at det overbeviser dig - men det er nok et temperamentsspørgsmål, uanset mængden af dokumentation. Og nej - jeg har ikke kildetjekket hver eneste link. Men der er rigeligt at tage af ved almindelig googling vedr. læk fra healthservices o.l. , hvis nogle af disse ikke er lødige nok:https://www.nbcnews.com/news/us-news/thousands-patient-records-leaked-hospital-data-breach-n756981¨https://www.youtube.com/watch?v=MEh9murD_wkhttps://www.wired.co.uk/article/nhs-health-apps-have-been-leaking-private-datahttps://www.wired.com/2014/06/hospital-networks-leaking-data/https://www.propublica.org/article/small-scale-violations-of-medical-privacy-often-cause-the-most-harmhttp://www.beckershospitalreview.com/healthcare-information-technology/former-med-center-health-employee-steals-encrypted-patient-billing-data.html

Nej - hvor ser du, at jeg hævder det?

Når du mener at der er grund til at stille spørgsmål ved sandhedsværdien af EPICs udtalelser om, at de overholder love og regler. Det lugter jo lidt af at de har andre motiver.

Har du nogen sinde hørt om principper? Eller er det too old fashioned?

Hvilke konkrete principper eller love eller regler er det du mener EPIC ikke overholder, eller at tilsynet med EPIC og Sundhedsplatformen ikke følger? Hvis du har noget konkret så synes jeg det er fint at rejse spørgsmålet, men det er useriøst at dømme folk lige fra "samfundets top" til rigsrevisionen eller EPIC uden at have bare en flig af evidens om at der skulle være foregået noget forkert. Det er at misbruge sin ytringsfrihed.

Når nu vi er i gang med at opstille stråmænd: Din pointe er åbenbart, at der ikke er grund til at bekymre sig om datasikkerhed - det skal nok gå alt sammen?

Der er da masser af grunde til at tænke datasikkerhed ind i offentlig IT. Det bliver der også, men fordi systemer betjenes af mennesker så stopper IT sikkerheden ved den enkelte medarbejder og dennes dømmekraft. Problemet er at det samme gør sig gældende ved manuelle systemer der bygger på papir og kuglepen. IT gør i værste fald tingene mindre usikre end alternativet, selvom det jo i sig selv ikke lyder så imponerende når man præsenterer det sådan. Men noget at tænke over når man farer til tasterne for at stigmatisere offentlig it med myter om dårlig datasikkerhed.

Sidder foliehatten lidt for stramt måske?

Mht. til vores sundhedsdata, så er sundhedsdata BIG business, og der er mange der meget gerne vil have fingre i vores sundhedsdata, da disse data er mange penge værd, især når man kan få data fra et så gennemregistreret land som det danske. Og lige nu så er politikerne fløjtende lige glade med os borgernes mening, men lytter mere eller mindre kun til industrien.

Jeg siger ikke, at vores sundhedsdata ikke skal bruges til forskning. Men der skal være en debat og det må i sidste ende være borgerne selv, der bestemmer hvad deres data skal bruges til. Ellers så nærmer vi os ekspropriering.

Mht. EPIC og deres adgang til vores sundhedsdata. Så vil det i praksis være sådan, at leverandører til det offentlige vil have adgang til personfølsomme oplysninger. Men det fritager ikke det offentlige for, at man skal have orden i eget hus.

// Jesper

Kære Mads

Du tager helt fejl.

Rigsrevisionen gennemføre omkring 60-70 it revisioner om året.

Du tænker måske på at rigsrevisionen I en it beretning undersøger I gennemsnit 4 myndigheder.

Rigsrevisionens it revisioner undersøger både it systemer der understøtter økonomien hos en myndighed og it sikkerhed i et mere bredt perspektiv, det der kaldes "generelle it kontroller"

I retten må man gerne benytte ulovligt indsamlede beviser.

Når du har gjort det, så vil jeg lige bemærke, at målet ikke helliger midlet.

Både og. I retten må man gerne benytte ulovligt indsamlede beviser.

Der er en god grund til at "rigets fremtid", herunder også dit helbred, står og falder med om vi kan lære af de sygdomme vi plages af, og hvilke behandlinger der virker bedst. Det er der nogle folkevalgte politikere (dem du kalder "toppen af samfundet") der også er blevet opmærksom på, og som derfor gerne ser flere patientdata samlet i registre, så det bliver muligt at hjælpe den enkelte patient bedre, og at lære mere om hvordan vi behandler sygdomme.

Michael, må jeg ikke bede dig om, ved passende lejlighed, at underbygge din påstand om eksistensen af tvingende omstændigheder (at jeg skulle have overset at "rigets fremtid" står på spil, bekymrer mig).

Når du har gjort det, så vil jeg lige bemærke, at målet ikke helliger midlet. For det første, så har vi her i samfundet nogle aftalte spilleregler, som skal overholdes, og det er faktisk yderst relevant at spørge ind til, om de bliver det. Spillereglerne kan laves om, hvis man kan argumentere for nødvendigheden af det, men man laver altså ikke bare sine egne regler.

Og derefter kan vi så tage en diskussion om proportionalitet og alternativer. Står målet i rimeligt forhold til konsekvenserne, og ville målet kunne opnås med mindre indgribende alternativer?

Men under alle omstændigheder er diskussionen af centrale registre med flere patientdata off-topic i forhold til at Sundhedsplatformen nu skal granskes.

Men det er bare for godt til at være sandt for nogle mennesker. Det er så meget mere spændende at krydre tingene med lidt drama og kulør, også selvom man er nødt til at opfinde det hele selv.

Nå, ja, husk at trække vejret ... :-)

Er det virkelig din helt seriøse vurdering, baseret på absolut intet end din frie fantasi, at EPIC sidder og høster data om danske patienter, under påskøn af at være IT leverandør af et EPJ system?

Har du nogen sinde hørt om principper? Eller er det too old fashioned?

Når nu vi er i gang med at opstille stråmænd: Din pointe er åbenbart, at der ikke er grund til at bekymre sig om datasikkerhed - det skal nok gå alt sammen?

Nogle gange når man læser et indlæg som dit, så overraskes man over hvor skræmte visse mennesker åbenbart går rundt og er. Alting gives en konspiratorisk vinkel, kontrakter ses som maskering af hemmelige aftaler og eliten nyder godt af privilegier som vi stakkels værgeløse ofre ikke kommer i nærheden af.

Er det virkelig din helt seriøse vurdering, baseret på absolut intet end din frie fantasi, at EPIC sidder og høster data om danske patienter, under påskøn af at være IT leverandør af et EPJ system?

Der er en god grund til at "rigets fremtid", herunder også dit helbred, står og falder med om vi kan lære af de sygdomme vi plages af, og hvilke behandlinger der virker bedst. Det er der nogle folkevalgte politikere (dem du kalder "toppen af samfundet") der også er blevet opmærksom på, og som derfor gerne ser flere patientdata samlet i registre, så det bliver muligt at hjælpe den enkelte patient bedre, og at lære mere om hvordan vi behandler sygdomme.

Men det er bare for godt til at være sandt for nogle mennesker. Det er så meget mere spændende at krydre tingene med lidt drama og kulør, også selvom man er nødt til at opfinde det hele selv.

Sidder foliehatten lidt for stramt måske?

Tak for svar, Mads Bendixen. Jeg kan dog alligevel ikke frigøre mig fra det fromme håb, at de lige kigger på datasikkerheden også - datatilsynet er jo ved at segne, så det er ikke sikkert, at der er hjælp at hente derfra.

Ja, pointen er at det burde være Datatilsynet der granskede den specifikke sag. Rigsrevisionen har kun ganske få ressourcer til sådan noget, som de typisk bruger på at lave begrænsede stikprøver hos 4-5 styrelser, myndigheder eller applikationer og som oftest bliver offentliggjort i beretninger til Folketinget.

Du kan bladre lidt i deres resultater for at se hvad de kigger efter, der er en "It" kategori.

Tak for links, Mads Bendixen. Jeg går ud fra, at din pointe er, at Rigsrevisionens arbejdsområde er det økonomiske. Det kan selvfølgelig ses som en forhindring ift. at se på datasikkerheden - med mindre denne er sorteret fra/påvirket af økonomiske årsager?

Og der er dog også andre ting på listen i artiklen, som ikke er direkte økonomiske forhold - eks. patientsikkerheden (som jo lapper over Sundhedsstyrelsens område). Er det mon der, man gemmer datasikkerheden?

Rigsrevisionen:http://rigsrevisionen.dk/om-os/

Datatilsynet:https://www.datatilsynet.dk/om-datatilsynet/datatilsynet/

En meget vigtig disciplin i ledelse af projekter, der rulles ud i flere tempi, er at opsamle erfaringer i en "Lessons learned log" og at omhyggeligt sørge for at næste trin får nøje gennemgået disse erfaringdata så man undgår at begå samme fejl igen. Ligeså skal loggen vedligeholdes af næste implementeringssted og så videre.

Det var nok et hovetema som Rigsrevisonen skulel have med så vi ikke får endnu en Rejsekortskandale.

MVH Jan

... i ovenstående temaer?

Forhåbentligt springer Rigsrevisionen ikke de datasikkerhedsspørgsmål over, som det rejser, når man vælger en leverandør fra USA, og giver denne adgang til vore data fra USA?

Indtil nu er det ikke lykkedes mig at få dokumentation for, at man fra regionens/Sundhedsplatformens side kontrollerer datasikkerheden hos EPIC på anden måde end ved en gang imellem at spørge EPIC, om de nu overholder love og regler - hvilket EPIC (overraskende?) lover, at det gør de.

Er det godt nok?

Men selv ikke Rigsrevisionen tør måske pille ved det betændte spørgsmål om datasikkerhed, når nu rigets fremtid i følge toppen af samfundet (som sikkert køber sig til lægehjælp uden registrering) står og falder med, at vi vælger at se stort på denne, så vi kan sælge de intetanende borgeres privatliv til højestbydende?