Samtlige regioner får røffel af Datatilsynet for at svigte persondataregler

Regionerne får håndteret EPJ-data hos underleverandører. Men de forsømmer bl.a. at indgå databehandleraftaler med alle leverandører og at sikre, at leverandørerne passer godt nok på vores data.

Datatilsynet har haft regionerne under luppen for, om de lever op til persondataloven og sikkerhedsbekendtgørelsen.

Fire områder har været i fokus, og samtlige regioner har svigtet at gøre på alle punkter, som de skal ifølge lovgivningen for at passe på bl.a. følsomme og personlige sundhedsdata.

Det fremgår af netop offentliggjorte afgørelser fra Datatilsynet - link til afgørelse om Region Syddanmark.

Nedenfor gennemgår vi de fire fokusområder

Regionerne har ikke efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler.

Det betyder mere konkret, at der bl.a. skal etableres autorisation og adgangskontrol til persondata, og at eksterne kommunikationsforbindelser til forsendelse af personoplysninger kun må etableres, hvis der træffes særlige foranstaltninger, f.eks. kryptering hvis der er tale om følsomme persondata.

Læs også: Kritik fra Datatilsynet hagler ned over forskere: De forsynder sig mod persondatalovgivningen

Regionerne har ikke fastsat retningslinjer for regionens eget tilsyn.

Regningslinjer skal sikre, at interne bestemmelser om sikkerhedsforanstaltninger, der er fastsat for regionen i overensstemmelse med sikkerhedsbekendtgørelsen, overholdes af regionen. Men flere steder er de ikke tilstrækkelige.

Regionerne har ikke konsekvent levet op til persondatalovens krav om indgåelse af skriftlige databehandleraftale.

I regionerne benytter man ofte databehandlere som underleverandører til behandling af personoplysninger i forbindelse med elektroniske patientjournaler. Men det kræver en databehandleraftale, og flere regioner har ikke indgået en sådan aftale med alle databehandlere, i Region Syddanmark eksempelvis kun halvdelen.

Regionerne har ikke levet op til persondatalovens krav om, at sikkerheden hos anvendte databehandlere skal påses.

Dette forhold skal kontrollere, at databehandlerne har etableret de krævede sikkerhedsforanstaltninger. Ideen her er, at sikkerheden skal være nøjagtig lige så god, hvis man får behandlet f.eks. EPJ-data ude i byen, som hvis alt foregik på egne servere. Og det skal der både være en klar aftale om - og det skal kontrolleres.

Region Sjælland og Region Syddanmark har fået en påtale for manglende overholdelse på samtlige fire punkter med prædikatet 'meget kritisabelt', mens resten af regionerne 'kun' har forsømt sig på tre punkter og får konklusionen 'kritisabelt'.

Regionerne har fået fire uger til at sende en redegørelse til Datatilsynet om, hvordan man vil sikre, at regionen fremadrettet overholder persondataloven og sikkerhedsbekendtgørelsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (2)

Anne-Marie Krogsbøll

... at det kommer bag på en. Og så alligevel ...... hvordan kan man blive ved med uden at rødme at påstå overfor den undrende offentlighed, at man har styr på sikkerheden omkring persondata?

Sundhedsplatformen sender i nogle tilfælde vore sundhedsdata til USA - sådan tolker jeg i hvert fald dette svar:
"Kære Anne-Marie Krogsbøll,
Du har skrevet til os med et par spørgsmål, som jeg her sender dig et svar på.
Data lagres kun i Danmark, i Sundhedsplatformens to nationale datacentre. Det amerikanske softwarefirma Epics medarbejdere kan få en begrænset adgang til patientdata i Sundhedsplatformen for at kunne udføre vedligehold og fejlretning i systemet.
Hvis der opstår en fejl i systemet, er det nødvendigt for firmaet, at de kan se de data, der var til stede, da fejlen opstod. Adgangen til Sundhedsplatformen sker i henhold til gældende lovgivning, hvorefter aktiviteter logges.
Adgang sker i henhold til gældende sikkerhedsstandarder, og det er kun autoriserede personer, der har adgang. Derudover gennemføres der en Privacy Impact Assessment, der har til hensigt at sikre, at Sundhedsplatformens sikkerhedsniveau løbende tilpasses, så der sikres fuld overholdelse af EU’s forordning om persondata, vedtaget i Europaparlamentet den 14. april 2016, der træder i kraft i Danmark den 25. maj 2018.
Vi ejer alle data, og data ligger i Danmark, hvorfor man i USA ikke har ret til at se i andre data, end vi giver tilladelse til, som beskrevet.
Behandling af data sker i overensstemmelse med gældende regler og som beskrevet i den databehandleraftale, der er indgået med Epic i forbindelse med kontrakten. Aftalen revideres i henhold til seneste domspraksis og vejledninger fra Europa-Kommissionen.
Vi forholder os derfor kun til den europæiske og danske lovgivning.
Med venlig hilsen
Maria Elisabeth Nielsen"

I den forbindelse kan man jo spekulere over, om Sundhedsplatformen er et dydsmønster i ovennævnte forsamling af regionale skurke? Eller om svaret er fyldt med "bullshit", så der i praksis ikke er nogen kontrol med data, når først de har krydset Atlanten? Måske synes regionen, at det er nok, at man har skrevet et eller andet i kontrakten - yderligere kontrol er derfor ikke påkrævet?

Jeg forsøger at få svar på det, det går lidt trægt.

Anne-Marie Krogsbøll

Når man følger linket til Datatilsynets afgørelse om Region Syddanmark ovenfor, så er det på en gang underholdende og dybt deprimerende læsning. For det er svært ikke at komme til den konklusion, at Datatilsynet vurderer, at regionen simpelthen lodret lyver i de svar, man har sendt til Datatilsynet. Eks:
"Region Syddanmark har som svar på Datatilsynets spørgsmål om årlig gennemgang af uddybende sikkerhedsregler oplyst, at regionen årligt har foretaget en gennemgang af sine uddybende sikkerhedsregler. Regionen har samtidig oplyst tidspunktet for sidste og næstsidste gennemgang.
Efter en gennemgang af Region Syddanmarks svar på tilsynets spørgsmål om tidspunkt for sidste og næstsidste gennemgang er det imidlertid Datatilsynets vurdering, at regionen ikke har efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler. "

Og der er flere af disse eksempler - reglen i stedet for undtagelsen. Så set i det lys, må det nærmest betegnes som en voldsom underdrivelse, når Datatilsynet konkluderer "Meget kritisabelt".

Når man dertil lægger, at det så vidt jeg husker var Region Syddanmark, der følte sig berettiget til at stjæle borgernes sundhedsdata via den ulovlige dataindsamling i DAMD - så bliver det meget svært for myndighederne fremover at rette op på den "tillid", som an ustandseligt fabler om som forudsætning for, at man kan blive ved med at behandle borgerne som umælende datamalkekøer.

For der er simpelthen ikke den mindste lille bitte grund til at have en sådan tillid....

Log ind eller opret en konto for at skrive kommentarer