Det var under et forsøg på at omgå en genstridig PDF-viewer, at en læge i Styrelsen for Patientsikkerhed fik sendt følsomme patientdata i hænderne på en modtager, som med stor sandsynlighed er kriminel.
Det fremgår af en redegørelse fra Styrelsen for Patientsikkerhed i sagen om læk af følsomme patientdata, som vi omtalte på Version2 i går. Redegørelsen er sendt til Folketingets sundhedsudvalg af sundhedsminister Sophie Løhde.
Lægen i Patientsikkerhedsstyrelsen ville åbne for PDF-dokumenter i patientklagesager om syv patienter i organisationens lukkede Citrix-miljø den 20. august. Men det mislykkedes, hvorfor lægen sendte filerne til sin egen private e-mail.
Imidlertid dukkede filerne ikke op, og en nærmere granskning afslørede, at der var tastet en forkert e-mailadresse.
Da afsenderen ikke havde modtaget en fejlmeddelelse, var konklusionen fra it-chefen i styrelsen, at de fire e-mails sandsynligvis var havnet hos en forkert modtager, som man dog først antog var lødig og altså kunne kontaktes med henblik på at få de fejlsendte e-mails slettet.
Efter nærmere undersøgelse meldte mistanken sig om, at domænet, som e-mailen var sendt til, bevidst var etableret med henblik på at høste fejlafsendte data. En undersøgelse af webdomænet bekræftede, at domænet var 'malicious', fordi trafik dertil blev videresendt til sites med malware.
»Det besluttedes, at den normale praksis med at minimere konsekvenserne af et datatab ved at søge data slettet gennem kontakt med dem, der uberettiget er kommet i besiddelse af dem, ikke kan finde anvendelse i denne sag. Årsagen er, at modtageren uden for enhver tvivl må antages at være kriminel,« skriver styrelsen i sin redegørelse i sagen.
Styrelsen frygter, at en henvendelse blot kan forværre brøden, idet det kan øge opmærksomheden på styrelsens IP-adresser, men også på følsomheden af de data, der er lækket.
Den sagkyndige læge fik også i forløbet suspenderet sin sagsbehandling og mulighed for at sende e-mails ud af huset.
Der er også sket datalæk i Sundhedsdatastyrelsen. Her bestod fejlen i, at en borger i forbindelse med en aktindsigt fik tilsendt sin egen og en anden borgers aktindsigt i e-Boks, som indeholdt personfølsomme oplysninger. E-mailen indeholdt oplysninger om CPR-nummer, patienttype, behandlingssted, behandlingstidspunkt, sengedage, diagnosekoder mv.
Sundhedsminister Sophie Løhde sætter nu eksterne konsulenter til at gennemføre et 'serviceeftersyn' af hele Sundheds- og Ældreministeriets koncern, heriblandt de fem styrelser, som hører under ministeriet, for at sikre, at man 'håndterer personfølsomme oplysninger korrekt i alle arbejdsgange, så de ikke udleveres til uvedkommende'.
Læs hele redegørelsen fra Styrelsen for Patientsikkerhed her.
- Kommentar: Værsgo, fru sundhedsminister, 5 råd til dit it-sikkerhedsarbejde
- Danmarks Statistik afviser blankt påstand om krypto-barriere
- Krypto-barriere hos Danmarks Statistik banede vej for CD-læk af 1,1 mio. danskeres helbredsoplysninger
- Denne artikel
- Igen sjusk i Sundhedsministeriet: Sender følsomme patientdata til den forkerte borger
- Medicinsk formand: »Embedsmænd og politikere lider af religiøs dataforhekselse«
- emailE-mail
- linkKopier link

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
Fortsæt din læsning
- Sponseret indhold
V2 Briefing | GENERATIV AI: Sådan bruger du det professionelt
Kunstig Intelligens22. marts
- Sortér efter chevron_right
- Trådet debat
Kan nogen gennemskue, hvad denne nyhed dreje sig om? Sundhedsdataprogrammet skal lægges ind under Sundhedsdatastyrelsen: http://sundhedsdatastyrelsen.dk/da/nyheder/2016/sds-sundhedsdataprogram_07092016
Er det et led i den mere eller mindre hemmelige indsats for at ekspropriere vore sundhedsdata og forære dem til medicinalindustrien?
http://www.altinget.dk/velfaerdsteknologi/artikel/sundhedsklynge-giv-virksomheder-adgang-til-sundhedsdatahttp://www.altinget.dk/velfaerdsteknologi/artikel/sundhedsklynge-saadan-faar-vi-gang-i-velfaerdseksporten
Ok, så du mener, at man på den måde pr. automatik kan fremfinde mails etc. , der indeholder noget personfølsomt, og så pr. automatik kan sørge for, at det bliver sendt forsvarligt? Det lyder smart.
Nu tabte du mig, Michael :-)
Der skal jo ikke opfindes noget, men ændres lidt. Så det er nok ikke så dyrt i.f.t. at undgå at der sendes personfølsomme oplysninger med mail.
Nu tabte du mig, Michael :-)
Netop. Og derfor tror jeg aldrig, at det vil blive helt overflødigt også at vide bare en smule om, hvad man har med at gøre.
Nu er der jo tilsynelandende nogen, der faktisk har lavet en webservice, der kan scanne forskelligt indhold for personfølsomme oplysninger.https://os2.eu/produkt/os2webscanner
Så næste skridt er vel at lave den som plugin til mail-systemer? Den synes da lige at ligge til højrebenet.
Kære Michael, Bjarne, Frithiof: Jeg ved ikke, om jeg overhovedet er uenig med jer. Jeg er enig i, at det principielt skal gøres umuligt at dumme sig med persondata indenfor det offentlige. Lad os sigte mod det. Men der er godt nok lang vej!!
Enig.Det relevante spørgsmål må være, hvorfor det tillades at lægen bringes i en situation, hvor han kan sende personfølsomme oplysninger ukrypteret?
Netop. Og derfor tror jeg aldrig, at det vil blive helt overflødigt også at vide bare en smule om, hvad man har med at gøre.Næppe. Og det bliver nok også en anelse dyrt, hvis det overhovedet er muligt.
Der er så lang vej fra virkeligheden i øjeblikket til den ideelle situation - hvor den offentligt ansatte ikke har brug for at vide noget om datasikkerhed, men blot kan benytte sikre og idiotsikre systemer - at de offentligt ansatte er ladt i stikken, og vil komme til at dumme sig den ene gang efter den anden.
Findes de 100% sikre systemer til dette? Og i givet fald: Hvor mange år tror I, det vil tage at få dem indført i det offentlige? Og hvad hvis de først skal udvikles?
Jeg mener bestemt ikke, at offentligt ansatte skal være eksperter i datasikkerhed, men en grundlæggende forståelse af, hvad man håndterer, og hvor de værste faldgrupper er, kan efter min mening ikke skade. Databehandling er trods alt efterhånden en kerneopgave i det offentlige. Ganske som at man sender folk på obligatorisk håndhygiejnekursus, brandsikkerhedskursus (det burde heller ikke være nødvendigt), hjertestopkursus, jurakursus (mht. tavshedspligt etc.).
Formålet er ikke at kunne finde smutveje uden om supporten - der er jeg enig i, at det ikke er de offentligt ansattes opgave - men formålet er jo bl.a. netop at give de ansatte indsigt i, hvorfor det er vigtigt, at de overlader den slags til supporten, så de ikke tror, at de bare selv kan finde en (dårlig) løsning, som at maile til sig selv eller sende pr. fax - i den tror, at det er i orden.
(PS: Fax bør vel simpelthen fjernes fuldstændigt fra det offentlige, hvis man skal undgå, at folk vælger denne løsning).
Som allerede nævnt: Jeg siger ikke "enten eller" men "både og". Og jeg er enig i, at man da kunne frygte, at politikere ville få den tåbelige idé, at man kan læsse ansvaret over på den offentligt ansatte, i stedet for at ofre penge på at sikre systemerne. Det er bestemt en nærliggende fare - det vil jeg give jer ret i. Men hvis målet er at sikre data bedst muligt, så vil 100% sikre systemer, parret med en grundlæggende forståelse hos den ansatte af, hvad man har med at gøre (jeg kan love jer, at den typiske sundhedsansattes uvidenhed på dette område er afgrundsdyb), være den bedste løsning.
I øvrigt: Måske bliver problemstillingen snart helt overflødig - hvis lobbyister får magt, som de har agt ( Gud forbyde det): http://www.altinget.dk/velfaerdsteknologi/artikel/sundhedsklynge-giv-virksomheder-adgang-til-sundhedsdata
Mareridtet nærmer sig: http://www.business.dk/forsikring/forsikringsselskaber-vil-tjekke-dig-doegnet-rundt-med-smartwatch-og-skrid
Altinget har netop startet et tema omkring datasikkerhed, med indspark fra mange sider:http://www.altinget.dk/velfaerdsteknologi/artikel/el-datasikkerhed-halter-efter#commentshttp://www.altinget.dk/velfaerdsteknologi/artikel/har-danmark-styr-paa-datasikkerhedenhttp://www.altinget.dk/velfaerdsteknologi/artikel/la-kun-en-minister-boer-have-ansvar-for-datasjusk
Det kan man godt. Man skal bare (gen)indføre en "ny" ledelsesform hvor man ikke presser hele ansvaret for fejl og at de operative ting fungerer korrekt nedad i "stakken", imens de fleste af ressourcerne samt alle belønningerne ryger opad!der sender via egen mail, fordi han (angiveligt) ikke kan få åbnet en fil i Citrix. Kan man 100 % sikre sig mod sådanne situationer, hvor personalet kan være nødt til at gøre "det næstbedste", og derfor helst skal vide, hvad de har med at gøre
For at kunne det skal der et generationsskifte og en mentalitetsændring til. De sidste 10-15 års neoliberalisme og krise-propaganda har forårsaget et rent orgie af "control fraud". Fordi alle med lidt overblik ved at vi er på vej ned, at "smash & grab"-reformer, tal-fusk, masseindvandring, social dumpning, offentlig inkompetence og "accounting profits" ikke er holdbare i længden. Det gælder om at komme væk før alle ulykkerne rammer.
Når skibet alligevel synker, så kan man lige så godt snuppe en flaske sprut i baren og måske få noget af sølvtøjet med ud. Tyve års permanent "krise" og "øget konkurrence" har gjort os alle sammen til rotterne, der forlader den synkende skude (i større eller mindre grad!) .
Der er så bare lige det problem at skibet ikke synker, i virkeligheden. Måske lidt, men, det kan lappes. Men ingen tør så længe sirenerne kører for fuldt drøn.
Måske ungdommen kan? Det virker som om at der er en anti-bevægelse i gang: Mine børns venner får børn tidligt, de køber brugt / bytter sig til ting, de lejer når de behøver noget, de tager ikke lån. De tror ikke på ting som "vækst", "globaliseringen" og "konkurrenceevne" fordi det er ord som Fjenden siger, ikke Kina eller Rusland - de gamer med folk fra Kina og Rusland - men tværtimod de lokale helte som lige igen har smadret eller saboteret et eller andet for dem.
PS: I det man kalder et "sikkert miljø" er der ingen der forsøger at omgå systemet når noget ikke fungerer, det går simpelthen ud over karrieren på dramatisk og offentlig vis. Man kalder på supporten. Får problemet løst. Det tager den tid det tager, lederskabet ved alle at der er sådan og at ingen kan gøre noget ved det (ud over at ændre klassificeringen på det man skal arbejde med, men dette ligger langt over ledelsen mandat).
Jeg er enig i, at systemerne skal være sikre. Men kan det - selv med den bedste vilje - lade sig gøre at gøre systemerne så 100 % sikre, at en ukyndig ansat ikke kan komme til at dumme sig?
Bremserne i en standart bil er ikke lige så sikre som bremserne på en formel 1 racer. Men det er jo ikke bilejerne, der vurdere hvornår et sæt bremser er sikre nok. Det gør folk, der ved noget om bremsere og de vurdere hvad krav der skal stilles til et sæt bremser, for at de kan betegnes som sikre nok. De har simpelthen den tekniske ekspertise og "forretningsforståelse".
Systemer kan gå ned, og så står sundhedspersonalet pludseligt med behov for at kunne gå uden om de "autoriserede" systemer - ellers kan der opstå livstruende situationer. Et eksempel (ganske vist ikke livstruende) er jo lægen i patientombuddet, der sender via egen mail, fordi han (angiveligt) ikke kan få åbnet en fil i Citrix. Kan man 100 % sikre sig mod sådanne situationer, hvor personalet kan være nødt til at gøre "det næstbedste", og derfor helst skal vide, hvad de har med at gøre - i hvert fald i et vist omfang?
For mig at se, stiller du det forkerte spørgsmål i forhold til den konkrete situation. Det relevante spørgsmål må være, hvorfor det tillades at lægen bringes i en situation, hvor han kan sende personfølsomme oplysninger ukrypteret?
Og du nævner faktisk netop selv kryptering.
100 % idiotsikre systemer lyder godt -men er det overhovedet indenfor rækkevidde?
Næppe. Og det bliver nok også en anelse dyrt, hvis det overhovedet er muligt. Men mindre kan vel også gøre det?
Enten er løsningen sikker og der er derfor ikke behov for et kursus.
Eller er løsningen ikke sikker og den skal ikke tilbydes og der er derfor ikke behov for et kursus.
Jeg er egentlig overvejende enig, men helt så sort/hvidt kan det nok ikke stilles op (...men overdrivelse fremmer forståelsen :-) ).
For mange år siden var jeg med til at udvikle et system, hvor vi under opstarten kunne se, om noget var helt galt. Når det skete, så spurgte vi brugeren, hvad han helst ville: pest eller kolera? Det var, fik vi at vide, en rigtig dum ide, at tage brugeren som gidsel på en beslutning, som han slet ikke var klædt på til at overskue konsekvenserne af. Men det var vi, så i virkeligheden så prøvede vi egentlig bare at tørre ansvaret af på brugeren.
Jeg er bange for, at et "sikkerhedskursus til sundhedsprofessionelle" kun vil være at tørre mere ansvar af på dem. Der er - set udefra - allerede rigeligt at få ondt i maven over i den del af verden, og dette vil nemt blive endnu en ting. For det er et dilemma - et falsk valg - som vi tvinger dem ud i: skal jeg bøje reglerne for at få hverdagen til at hænge sammen, eller skal jeg insistere på at gøre tingene rigtigt ("gå i bankboksen", som en debattør karikerer det)?
Det bør slet ikke være nødvendigt at skulle træffe det valg, for selvfølgelig skal rammerne for at gøre tingene rigtigt være tilstede. Og kræver det fravalg at nå dertil, så skal de valg træffes et helt andet sted. Det er ikke rimeligt, at man tørrer ansvaret af på de enkelte om at skulle vælge imellem patient eller sikkerhed. Ingen sundhedsprofessionel med respekt for sig selv ville da overveje at springe håndhygiene over i løbet af dagen bare for at kunne nå en patient mere, vel?
Og ja, der er undtagelser: liv før førlighed, og førlighed før sikkerhed. Det er nok også der, hvor man som sundhedsprofessionel vil blæse på håndhygienen om nødvendigt. Her ville mere viden om konsekvenser være på sin plads, så der kunne træffes et oplyst valg, omend der nok var viden, som var vigtigere.
Men vi skal indrette hverdagen, så undtagelser er og bliver undtagelser. Systemerne skal være i orden, ellers skal vi have andre systemer. Et kursus ligner alt for meget symptombehandling, og kan slet ikke stå alene. Synes jeg.
Michael Weber:
Jeg er enig i, at systemerne skal være sikre. Men kan det - selv med den bedste vilje - lade sig gøre at gøre systemerne så 100 % sikre, at en ukyndig ansat ikke kan komme til at dumme sig?
Systemer kan gå ned, og så står sundhedspersonalet pludseligt med behov for at kunne gå uden om de "autoriserede" systemer - ellers kan der opstå livstruende situationer. Et eksempel (ganske vist ikke livstruende) er jo lægen i patientombuddet, der sender via egen mail, fordi han (angiveligt) ikke kan få åbnet en fil i Citrix. Kan man 100 % sikre sig mod sådanne situationer, hvor personalet kan være nødt til at gøre "det næstbedste", og derfor helst skal vide, hvad de har med at gøre - i hvert fald i et vist omfang?
100 % idiotsikre systemer lyder godt -men er det overhovedet indenfor rækkevidde?
Jeg siger "Både-og".
Enten er løsningen sikker og der er derfor ikke behov for et kursus. Eller er løsningen ikke sikker og den skal ikke tilbydes og der er derfor ikke behov for et kursus.
Både-og giver ikke rigigt mening i min optik.
Du mener vel ikke, at det kan være lige meget, om de offentligt ansatte kan gennemskue, hvornår de er i gang med at underminere sikkerheden?
Jeg mener it-løsninger skal være så sikker, at det slet ikke er relevant for brugerne at forholde sig til sikkerhed, fordi it-løsningen slet ikke tillader usikker brug. Personalet skal gøre det, de er gode til.
Kan du forestille dig at Chevrolet sender deres kunder på et kursus, fordi deres bremser er usikre?http://www.autoblog.com/2016/02/11/chevy-silverado-gmc-sierra-hd-brake-recall/
Til Mads: Tak for artiklen.
Ud over kurser i IT-sikkerhed til de offentligt ansatte, ville det være rart med en vejledning fx fra Styrelsen for Patientsikkerhed, i fx hvordan man rekvirerer oplysninger mest sikkert på nuværende tidspunkt. I de forskellige offentlige institutioner er der standardproblemer.
Fx i hospitalssektoren, når man har en patient i ambulatoriet, evt. indlagt. Patienten fortæller at de har været indlagt på XX-sygehus eller er undersøgt/behandlet for på privathospital. Oplysningerne/behandlingen kan ikke ses i den elektroniske journal. Patienterne kommer langvejs fra pga. centraliseringen af sygehuse. De kommer, fordi de er syge. Hvordan rekvirerer man oplysningerne rimeligt hurtigt og sikrest? Man kan ikke bare sende patienten hjem. Styrelsen burde komme med en vejledning. De kunne også oprette en hotline, hvor institutionerne kunne spørge. Styrelsen kunne så se, hvor problemerne var. Måske endda prøve at løse problemet. Ovennævnte på danske hospitaler har eksisteret i mere end 20-30 år, men er blevet værre med øget brug af privathospitalerne.
Jeg håber, at nogen samler sammen på alle de sager, hvor det er gået galt, ikke bare dem, der er kommet i pressen. Ikke for at straffe, men for at forebygge gentagelser.
Hvor ser du, at jeg siger "enten-eller", Michael Weber.Patch mennesker i stedet for maskiner er din løsning?
Jeg siger "Både-og".
Du mener vel ikke, at det kan være lige meget, om de offentligt ansatte kan gennemskue, hvornår de er i gang med at underminere sikkerheden?
Debatten om fax/ikke fax illustrerer vel til fulde, at sundhedspersoner i bedste mening kan gribe til løsninger, som ikke er så sikre, som de tror, og at der derfor er brug for, at sundhedsansatte får obligatoriske kurser i grundlæggende forståelse for, hvordan disse ting virker - kurser, der skal bestås, inden man slippes løs i institutionen.
Patch mennesker i stedet for maskiner er din løsning?
For mig at se, er der langt mellem de gode eksempler på, at patching af mennesker har været succesfuld, når det kommer til sikkerhed. Og et eller andet sted forekommer det mig grundlæggende forkert, fordi det minder om symptombehandling.
Selvfølgelig er der det særegne argument at folk bruger teknologien forkert. Præcis det samme argument vi siden tidernes morgen har hørt om...ild, sten,jern, bronze,.....
Adapt or die :)
Alt hvad der går over telenettet er i princippet hacket siden engang i 1990'erne.Til Mads: jeg vil gerne have dine eksempler på, at fax er hacket. Jeg vil tage det op i sundhedsvæsenet på højere plan.
Dengang vi digitaliserede telefonnettet byggede man også et "Lawful Interception Interface" ind i netvärksudstyret fordi man med digitaliseringen ikke längere kunne gå ind på centralen med to krokodilleklemmer og en båndoptager (d.v.s. det var et stik man stak ind i den "slot" som forbandt abonnenten med centralen, når nogen ikke betalte satte man en platik skive ind i stedet).
End-to-End encryption er nödvendig, hvis man ikke har råd til at stole på at adgangen til "Lawful Interception" ikke er kompromitteret.
Det ville være være rart, hvis I andre kunne råbe sundhedsminister eller regionerne op om en vejledning i, hvad der er den bedste og sikreste måde at rekvirere de manglende journaloplysninger på. Metoden med fax er åbenbart usikker (udover at fax ikke bruges ret mange andre steder, så fax-adressen kan ikke være helt gal, modsat e-mail, hvor der ofte er fejl i adressen).
Det er ikke fordi jeg elsker fax, selvom det kunne se sådan ud i følge ovenstående. Det er bare anset for det mest sikre på de fleste hospitalsafdelinger.
Det er et kæmpe problem med de manglende journaloplysninger, både privathospitalerne men også patienter, der er behandlet i andre regioner, visse afdelinger inden for den samme region, speciallægeerklæringer der ligger hos en styrelse osv osv.
Det at bruge fax er almindeligt i sundhedsvæsenet, mange forskellige steder og meget forskellige typer afdelinger, fordi det regnes for det mest sikre.
Til Mads: jeg vil gerne have dine eksempler på, at fax er hacket. Jeg vil tage det op i sundhedsvæsenet på højere plan.
Debatten om fax/ikke fax illustrerer vel til fulde, at sundhedspersoner i bedste mening kan gribe til løsninger, som ikke er så sikre, som de tror, og at der derfor er brug for, at sundhedsansatte får obligatoriske kurser i grundlæggende forståelse for, hvordan disse ting virker - kurser, der skal bestås, inden man slippes løs i institutionen.
I øvrigt stod fax-maskinen sjældent i et aflåst rum, eller var under opsyn, sidst jeg arbejdede i sundhedsvæsnet for 5-6 år siden. Har forhåbentligt ændret sig.
Nej. Fax blev hacket længe før internettet blev udbredt.Fax er faktisk en ret sikker måde at overføre data, selvom det er meget gammeldags.
Selvfølgelig kan telefonen aflyttes, men det er da lidt søgt.
Overhovedet ikke. Det er endda forlydender om, at nogle bruger talegenkendelse og søgning på nøgleord, så det kan ske i stor skala.
OCR på en opsnappet fax er en langt nemmere opgave end talegenkendelse.
Afsenderfaxen ringer mit faxnr op.
Ja, det er så det andet sted, hvor det kan gå galt. Jeg kender en, som blev kimet ned af et ukendt nummer, som lavede "modemlyde". Da han blev træt af det, koblede han sin computer til, og op på skærmen kom et dokument, hvor første ord var "fortroligt". Heldigvis kun kommercielt fortroligt. Afsender opdagede ikke noget, i den ende var der bare tilfredshed med at faxen endeligt var kommet frem. Modtageren fik godt nok røde ører, da han fortalte dem om det.
Teknisk set, så laves lydene nu om til data! For mig at se, så er det eneste der sikkerhedsmæssigt adskiller en fax fra en e-mail, at emailen ligger i en mailboks, indtil den slettes.På nuværende tidspunkt bliver faxbeskeden komprimeret med data, men stadig sendt på samme måde ved lyde.
Til Lars
Nu befinder vi os på et it-fagligt forum, og diskuterer hvad der teknisk kan lade sig gøre eller ej. Så skal vi ikke bare konstatere, at en fax er data i it-faglig forstand. Eller vil du også påstå at filer overført via et gammeldags modem heller ikke er data fordi det foregår over en analog telefonlinje?
Jeg selv befinder mig på et af regionernes sygehuse. Jeg vil gerne have de oplysninger, som jeg mangler om en patient, når jeg skal bruge dem og på en sikker måde. Hvad enten det foregår med IT, fax, brev- eller rørpost eller gåben.
Jeg er ikke enig med dig i at fax er data i it-faglig forstand. Ved fax foregår overførslen af fx et udprintet journalnotat ved lyd, fuldstændig som en telefonsamtale. Afsenderfaxen ringer mit faxnr op. Faxen i min ende oversætter så lydene til noget på et stykke papir.
Til Kjeld og Mads
Ad. Kelds forslag. Dejligt, hvis du gav det videre til regionerne (jeg ved ikke så meget om det).
Til Mads. Som regel står faxen i printerrummet, fjernt fra patienter, i hvert fald på de afdelinger, hvor jeg har været. Der er altid meget personale og de er meget opmærksomme, hvis uvedkommende er forkerte steder. Evt. er der aflåst fx om natten. Selvfølgelig kan faxlydene i telefonen aflyttes, men det kan telefonsamtaler med patienterne ligeså godt. Sidstnævnte er nok lidt lettere at forstå for en hacker.
Uanset hvad, synes jeg, at det nuværende system i regionerne fungerer både elendigt og usikkert. Jeg er også helt enig med Anne-Marie Krogsbøll i, at alle ansatte, læger, sygeplejersker, sekretærer osv. burde have et kursus i IT-sikkerhed.
Nu befinder vi os på et it-fagligt forum, og diskuterer hvad der teknisk kan lade sig gøre eller ej. Så skal vi ikke bare konstatere, at en fax er data i it-faglig forstand. Eller vil du også påstå at filer overført via et gammeldags modem heller ikke er data fordi det foregår over en analog telefonlinje?efter den gængse opfattelse af data
Til Lars
Nej En fax kan ikke hackes. Telefax er ikke databaseret efter den gængse opfattelse af data. En telefax laver et billede om til lyde, der så bliver overført gennem telefonnettet som lyd. Telefaxen blev opfundet 1846 som en forbedring af telegraferede beskeder og blev overført gennem de eksisterende telegrafledninger. Det var, vel at mærke, før telefonen (telefonsamtaler) blev opfundet. På nuværende tidspunkt bliver faxbeskeden komprimeret med data, men stadig sendt på samme måde ved lyde. Selvfølgelig kan telefonen aflyttes, men det er da lidt søgt.
Fax er faktisk en ret sikker måde at overføre data, selvom det er meget gammeldags.
Der er en hel masse at kryptere. En fax er på ingen måder sikker. Alle kan lytte med på kommunikationen. Og selvom det er et "billede", står der stadig et CPR-nr. på det stykke papir der bliver printet ud af modtageren. Fax-modtageren står sikkert i et kontor med flere brugere, så man ved ikke hvor mange der når at se den, før faxen rammer den rette modtager.Nej. Selvfølgelig er faxen ikke krypteret. Der er ikke noget at kryptere. En fax sender bare et billede af noget, fx en tekst, gennem en telefonforbindelse. Det har været brugt i sygehusvæsenet mange år, netop fordi det er mere sikkert mht. CPR-nr. mm.
At sende en fax er præcis lige så usikkert som at sende en ukrypteret mail.
En simpel webportal med Nem-ID login, kunne gøre det.Har du andre forslag om fax og rekvirere undersøgelser fra privathospitaler og andre? Fx CPR-nr er kun synligt i teksten med fax og er på den måde ret sikkert. Det kan ikke hackes. Brev-post er alt for langsomt.
Et billede er data. Data kan krypteres. Selvfølgelig er der noget at kryptere.
En fax er også ukrypteret. Det er heller ikke en god ide.
Nej. Selvfølgelig er faxen ikke krypteret. Der er ikke noget at kryptere. En fax sender bare et billede af noget, fx en tekst, gennem en telefonforbindelse. Det har været brugt i sygehusvæsenet mange år, netop fordi det er mere sikkert mht. CPR-nr. mm.
En fax er også ukrypteret. Det er heller ikke en god ide.Problemet opstår, når faxen ikke virker. Så bliver oplysninger ofte sendt med almindelig, ukrypteret mail til afdelingen - det er ikke en god ide.
Til Kjeld Har du andre forslag om fax og rekvirere undersøgelser fra privathospitaler og andre? Fx CPR-nr er kun synligt i teksten med fax og er på den måde ret sikkert. Det kan ikke hackes. Brev-post er alt for langsomt. Problemet opstår, når faxen ikke virker. Så bliver oplysninger ofte sendt med almindelig, ukrypteret mail til afdelingen - det er ikke en god ide.
Jeg tror, at der sker masser af den slags i dagligdagen. Det er kun toppen af isbjerget, som vi hører om. Dvs. når det går virkeligt galt, som i ovennævnte sag hos styrelsen for patientsikkerhed..
Dave Pencroof:Ja jeg har den helt store tinhat på, for det kommer, da flertallet er tavse !
Ja, jeg kan kun erklære mig enig. Salamimetoden er i brug for at afskaffe privatlivet.
Jeg kan genkende din beskrivelse, Camilla Bang. Det er derfor, jeg efterhånden mener, at enhver ansættelse bør følges op med et kursus i IT-sikkerhedsproblemer - med afsluttende eksamen.
Tak for svar, Kjeld Flarup Christensen.Jeg kan godt se nogle seriøse udfordringer.
Ja, jeg kan også godt se udfordringer (nogle vil nok sige "problemer", men det ord er jo forbudt i det offentlige, hvor "udfordringer" nærmest er et plusord).
Men som jeg ser det, har vi vel to muligheder:
Vi beslutter at tage persondataspørgsmålet alvorligt i erkendelse af, at det både er folks liv og privatliv, det handler om. Vi sætter derfor tilstrækkelige ressourcer af til, at det faktisk kan lade sig gøre at tage det alvorligt og passe ordentligt på vore persondata.
Vi fortsætter som hidtil med at stikke folk blår i øjnene ved at bilde folk ind, at vi passer godt på deres data - vel vidende at det er en lodret løgn, for det vil vi ikke sætte ressourcer af til.
Jeg er ikke nogen tilhænger af at stikke befolkningen blår i øjnene, så jeg foretrækker afgjort løsning 1 - så må det koste lidt på skatteprocenten, hvis det ikke kan undgås.
Løsning 2 er for de magthavende politikere og de embedsfolk, som har disse på nakken med krav om at få det til at se ud som om, der er styr på tingene. Men det er ikke den løsning, man bør argumentere for i dette forum, IMHO, for det er at ignorere "udfordringerne" i stedet for at løse dem.
Så ville de få travlt med at anmelde folk med hjemmearbejdspladser. Almindelige hjemmesider, er også begyndt at bruge https, fordi det åbenbart giver et plus hos google.Du vil sikkert også få en signal-lampe til at lyse hvis du pludseligt begynder at kryptere alt over dit internet, for selvfølgeligt kan udbyderen se at du kryptere, men ikke hvad du har krypteret, og så kan udbyderen vælge at melde til myndighederne at du er begyndt på kryptering,
Fax er notorisk usikkert, men den aktuelle fejl 40, vil næppe kunne ske, fordi der ikke længere er andre som bruger fax, og man taster ikke blot et udenlandsk nummer. Så det er lidt security by obscurity.Fax bruges stadigt og er et ret sikkert system til personfølsomme oplysninger (selvom faxnummeret selvfølgelig kan skrives forkert).
Hvis man sammenkobler diagnoser af svamp og fodvorter, herunder køb af håndkøbsmedicin på Apotek, som så ikke må betales kontant ,med rettigheden til at gå i offentlig svømmehal. Hvis man køber et svampemiddel eller fodvortemiddel, eller kommer i behandling, så får man automatisk karantæne i 3-4 måneder. Man må jo formode at vedkommende ikke kan beskytte andre mod at blive smittes. Måske dette skulle udvides til personer, der laver søgning på overstående på google. Det er jo muligt, og tænk på alle de børn som ikke har fået opbygget et immunforsvar mod sådan ting. Se at komme igang, det kræver ikke ret mange indgreb i den personlige frihed og privatlivet, og tænk på hvad man får bugt med.
Anne-Marie Krogsbøll Der er flere altoverskyggende begrundelser for at kryptering ikke er allesteds. 1 ALLE politi/efterretningsvæsner/regeringer (bruger det sikkert internt) men kæmper med næb og klør for at holde kryptering på lang afstand, da kryptering mindsker deres muligheder for opklaring/total overvågning på alle fronter, med retssager mod enhver der holder dem ude (kostbare og langvarige retssager), plus at de forlanger bagdøre alle steder som de kan benytte, men det kan de kriminelle så også ! 2 PENGE sikkerhed dvs også kryptering koster virkeligt mange penge løbende, nul afkast = 100 % afskrivning år efter år efter år ! 3 OPLÆRING
Du vil sikkert også få en signal-lampe til at lyse hvis du pludseligt begynder at kryptere alt over dit internet, for selvfølgeligt kan udbyderen se at du kryptere, men ikke hvad du har krypteret, og så kan udbyderen vælge at melde til myndighederne at du er begyndt på kryptering, husk Søren Pinds fantastiske ide ang masseovervågning, den er på ingen måde lagt i mølkassen, skulle det blive vedtaget kan du være 100 % på at, begynder du at kryptere så er det mistænkelig adfærd, og hvad der deraf måtte følge !
Ja jeg har den helt store tinhat på, for det kommer, da flertallet er tavse !
Du glemmer lige at nævne, at de med stor sandsynlighed vil blive udsat for identitets-tyveri på baggrund af disse data, eller få deres økonomiske frihed yderst begrænset, når de selv skal ind for at spærre for låneoptagelser overtræk og meget andet godt !Det lyder som om, der er tale om 7 patientklagesager - det kan næppe blive mere personfølsomt end det. Stakkels de personer det er gået ud over, nu skal de - oven i deres sygdomsforløb, også gå og være nervøse over dette - de burde have ret til en klækkelig erstatning
Fax bruges stadigt og er et ret sikkert system til personfølsomme oplysninger (selvom faxnummeret selvfølgelig kan skrives forkert). Der argumenteres på Version2 for at det er gammeldags og bør udryddes, se fx https://www.version2.dk/artikel/dansk-sygehusvaesen-aar-2016-sygehuse-og-laeger-udveksler-patientdata-med-fax-554564. Måske er det gammeldags men det er sikkert. I sygehusvæsenet skal man ofte rekvirere oplysninger fra undersøgelser og behandlinger foretaget på privathospitalerne. Der er ikke noget fælles datasystem, i hvert fald ikke i region Sjælland. Men når faxen ikke fungerer, er der ingen datasikkerhed ud over brev pr post (meget langsomt) - det duer ikke.
Det ville være rart, hvis alle i Sundhedsvæsenet med tilgang til Citrix og EPJ og andre systemer vidste mere om datasikkerhed. Dagligdagen fungerer helt anderledes, man får noget at vide fra nogen, fx en overlæge, der umiddelbart ikke ved ret meget om datasikkerhed, men gerne udtaler sig om emnet. Man er aldrig i kontakt med nogen, der reelt ved noget om datasikkerhed. Hvis ikke man selv, som fx Kjeld og Anne-Marie er meget opmærksom på problemet, sker der let fejl.
Jo du har egentligt forstået det rimeligt godt. Fordi det er Citrix som giver brugerne adgang til den computer tingene ligger på, så kaldes det ofte i folkemunde for Citrix i de organisationer som bruger det.Nu har jeg igen sikkert ikke fattet noget - for det synes jeg er for dårligt!
Problemet er, at du skal klassificere oplysningerne, og holde den klassifikation op imod hver eneste operation du foretager dig med disse. Dette kan f.eks. gøres i et EPJ system (et par generationer fremme). Systemer er dog til for at blive omgået, man kan f.eks. blot copy paste over i en almindelig mail, og vupti er data ude. Så skal man til at lukke for copy paste, men det gør så arbejdet med at lave nye journaler tungere. Det er heller ikke alle som har EPJ, endsige det samme EPJ system. Jeg kan godt se nogle seriøse udfordringer.Hvis ovenstående faktisk ville kunne lade sig gøre, så mener jeg, at det bør gøres. Nogen vil nok mene, at det vil besværliggøre kommunikationen alt for meget i de offentlige institutioner - men hvis man virkeligt mener det alvorligt, at man tager persondatasikkerhed meget alvorligt - er det så ikke den vej, man er nødt til at gå?
Tak Mads. Jeg er åbenbart helt galt afmarcheret - jeg troede, at Citrix var et stort fælles lukket system, som man som offentligt ansat koblede på, fordi det dengang jeg arbejdede på et sygehus, var sådan, at alle dokumenter, mailbokse m.m. blev lagt ind på centrale servere, samtidig med, at Citrix blev indført. Jeg troede derfor, at disse centrale servere lå "inde i " Citrix et centralt sted - men det er altså kun adgangen til min egen arbejds-pc, der styredes af Citrix - og når man så først er kommet ind på pc-en via Citrix, så har man adgang til netværket, og der er ikke yderligere sikkerhedsforanstaltninger vedr. f.eks. mails?
Nu har jeg igen sikkert ikke fattet noget - for det synes jeg er for dårligt!
Tak for svar, Mads Bendixen. Du har ret - det har nok forvirret mig.
Det har vist også forvirret mig, at jeg har forstået "server" som en fysisk maskine indenfor Citrix-miljøet, som mailsene skal passere igennem. Derfor tænkte jeg, at det så måtte være muligt at konstruere systemet, så mailadresser, der peger ud af citrix-miljøet, automatisk blev krypteret frem til modtageren - når man nu tager i betragtning, at der er tale om umådeligt følsomme oplysninger.
Men det er gået op for mig, at "server" måske lige så godt kan være en mailserver i den kriminelle modtagers pc. Rigtigt forstået?
Under alle omstændigheder: Det kan vel ikke være tekniske forhindringer, der gør, at man ikke kan forhindre persondata at slippe ud af disse lukkede miljøer ved sådanne uheld? - det må vel nødvendigvis være fordi, man stadig ikke tager sikkerheden alvorligt i det offentlige, og at man derfor ikke vil sætte ressourcer (dvs. tid) af til, at personalet kan anvende end to end-kryptering (og lære at anvende det)?
Nej. Der er ingen sammenhæng mellem Citrix og mails. Citrix er (et firma, men i denne sammenhæng) et fjernskrivebord. Tænk det som en pc.Har jeg fattet det nu: Mails kan i Citrix læses af enhver modtager indenfor og udenfor Citrix - krypteringen beskytter udelukkende mod "sniffere" undervejs mellem serverne?
Fordi lægen (formodentlig) ikke har brugt kryptering.Hvorfor har mailen så ikke været krypteret, da de sandsynligvis kriminelle har modtaget den?
Jeg tror det der forvirrer dig, er at der er tale om forskellige typer af kryptering.
- Man kan kryptere transporten - en analogi a la sende et åbent postkort vs. en aflåst attachemappe.
- Kryptere indholdet. Som at skrive et brev i almindelig tekst vs. f.eks. en rebus.
Har jeg fattet det nu: Mails kan i Citrix læses af enhver modtager indenfor og udenfor Citrix - krypteringen beskytter udelukkende mod "sniffere" undervejs mellem serverne?
Hvis det er rigtigt, synes jeg faktisk ikke, at Citrix er særligt sikkert mht. personoplysninger - for det beskytter så ikke imod, at forkerte modtagere indenfor citrix-miljøet kan læse følsomme personoplysninger, som de ikke burde have adgang til. Og det beskytter altså så heller ikke imod, at forkerte modtagere udenfor citrix-miljøet kan læse evt. fejlleveringer.
Så er det jeg spørger:
Er det fordi, det faktisk ikke kan lade sig gøre at sætte systemet op til at kryptere, så kun den tiltænkte modtager kan læse mailen?
Er det fordi, det faktisk ikke kan lade sig gøre i det mindste at kryptere mails, der går ud af citrix-miljøet?
Hvis ovenstående faktisk ville kunne lade sig gøre, så mener jeg, at det bør gøres. Nogen vil nok mene, at det vil besværliggøre kommunikationen alt for meget i de offentlige institutioner - men hvis man virkeligt mener det alvorligt, at man tager persondatasikkerhed meget alvorligt - er det så ikke den vej, man er nødt til at gå?
Tak for svar, Kjeld Flarup. Du må dog tilgive mig, men jeg har ikke helt fattet det endnu. Skrev du ikke det modsatte for lidt siden?"Mailen ligger "ukrypteret" på serveren, men overførsel mellem servere og klienter sker krypteret"
Hvorfor har mailen så ikke været krypteret, da de sandsynligvis kriminelle har modtaget den?
Mails ikke er krypterede, de befinder sig blot i et miljø, hvortil adgangen er krypteret. For at du i dit sikrede miljø skal kunne læse mails, skal de jo være ukrypterede der.Hvis mails som udgangspunkt faktisk er krypterede i Citrix, som du siger, hvorfor er det så et problem, at den omtalte mail er havnet hos en kriminel modtager?
Hvis mails som udgangspunkt faktisk er krypterede i Citrix, som du siger, hvorfor er det så et problem, at den omtalte mail er havnet hos en kriminel modtager? Hvad hjælper Citrix, hvis Citrix "slipper" sikkerheden, netop når der er mest brug for den, nemlig hvis man kommer til at maile udenfor de tiltænkte modtagere?
Så hvis jeg har forstået dig rigtigt, Kjeld (ingen garanti for det), så kan det faktisk godt lade sig gøre at sikre ulæseligheden hele vejen mellem afsender og modtager? I givet fald: Hvis man tager persondatasikkerheden alvorligt - hvilket man jo især bør gøre, når det er andres følsomme data, men behandler, ikke bare ens egne - så er det vel ikke for meget forlangt, at man fra samfundets side indfører som et krav, at den type kommunikation er effektivt krypteret hele vejen frem til modtager?
Det er da muligt, at det vil være lidt mere "besværligt" - men er det ikke altid det at tage noget alvorligt for alvor - og ikke bare for syns skyld?
En systemadministrator er svær at skjule noget for.Tak for uddybning, Kjeld. Men er det ikke netop det, man ofte advares imod - at folk med adgang til serverne kan læse med, hvis ikke mailsene er krypterede?
Alle teleselskaber undervejs og deres driftsfolk. Og NSA kan muligvis bryde en almindelig SSL kryptering.man kan altså også lytte på linien mellem serverne? Hvor og hvem kan gøre det? (Ud over PET, FE, NSA osv.)
Der skal jo en nøgle til at låse og låse op. Det giver faktisk kun mening at gøre dette slutbruger til slutbruger.Er det altid sådan, at mails ikke er krypterede ved deres vej gennem selve serverne? I giver fald: hvad er grunden til dette?
De er beskyttede hele vejen, men det er bøvlet. Det kræver at begge ender har udvekslet nogle nøgler at kryptere det med. Så når du har fundet ud af det, skal dem du vil sende mails til også finde ud af det.Jeg troede faktisk, at krypterede mails (som jeg stadig ikke har fundet ud af at benytte mig af - jeg tager stadig tilløb) var beskyttede hele vejen frem til modtageren.
anonymisering er en fis i en hornlygte
Ja og nej. Der er anonymisering og så er der "anonymisering". Med lad nu det sidste ligge.
Anonymisering er altid gradbøjet. Jo mere generaliserer, jo mere sikkert er, at man ikke kan komme tilbage til den oprindelige information ,men desto mindre information bliver tilbage, og jo mindre man bruge data til.
Dertil kommer, at anonymisering bliver "slidt", jo oftere den bliver brugt. God anonymisering kan bruges til mere, før den bliver "slidt" så meget at det ikke længere er anonymt.
Tænk på disse gættelege hvor man siger noget i retning af: "Der bor tre kvinder og to mand i fire huse ... en af kvinderne er rødhåret ... der bor ikke nogle af samme køn sammen ... etc.". Selvom alle udsagn er anonyme og ikke kan føres tilbage til de oprindelige data, så bliver chancen for at identificere (og få stor viden om) de bagvedliggende individer større, jo flere og mere præcise "anonyme" udsagn du kan erfare.
Så anonymisering er det klassiske eksempel på elastik i metermål.
Og må jeg tilføje - helt for egen regning - at det virker som om, at der er en tydelig tendens til at overvurdere, hvad det kan holde til, hvis man sidder og skal tage beslutningen om anonymisering af andres oplysninger til egen brug eller fortjeneste.
Bent Jensen:
Nu troede jeg lige, at jeg efterhånden har forstået ud fra indlæg herinde, at anonymisering er en fis i en hornlygte :-)Give tilgang til vores data, i anonymiseret form
Wrooooong Agaaaaiiiiin?
Tak for uddybning, Kjeld. Men er det ikke netop det, man ofte advares imod - at folk med adgang til serverne kan læse med, hvis ikke mailsene er krypterede?Mailen ligger "ukrypteret" på serveren, men overførsel mellem servere og klienter sker krypteret, på samme måde som når du tilgår en https side og laver en kort betaling. Det vil sige, at mailen kan ikke opsnappes, ved blot at lytte på linjen, men der er selvfølgelig andre steder.
Jeg bliver hele tiden klogere - så man kan altså også lytte på linien mellem serverne? Hvor og hvem kan gøre det? (Ud over PET, FE, NSA osv.)
Er det altid sådan, at mails ikke er krypterede ved deres vej gennem selve serverne? I giver fald: hvad er grunden til dette?
Ubehageligt! Ganske vist er nok de færreste af typen BOFH, men nogen er vel! Jeg troede faktisk, at krypterede mails (som jeg stadig ikke har fundet ud af at benytte mig af - jeg tager stadig tilløb) var beskyttede hele vejen frem til modtageren.
"Hvis du ikke vil reduceres til umælende datamalkeko, så er det med at komme op på barrikaderne:"
Nu ikke nødvendigt, hvis jeg ikke har noget som jeg ikke vil have i min Journal, så bestiller jeg en konsulation, hvorunder jeg beder min læge om et privat råd, som jeg udtrykkeligt beder om ikke skal i Journalen. Når der komme til "grøme" skemaer som skal udfyldes, så er jeg ikke altid helt præcis eller konsensus, i med hvad eller hvordan de udfyldes. Så watson vil nok stille en psykisk diagnose, eller mene der var kognitive problemer ind jeg have nogen Fysiks skavanker.
Men lidt træls man skal ødelægge et ellers velfungere sundhedssystem, på grund af misbrug. Men når man alligevel er i gang, kunne man lige så godt gøre det rigtigt, i stedet for at forære data væk. Give tilgang til vores data, i anonymiseret form mod at få alt medicin fra samme producent gratis, samt betydelige beløb til indbetalt til sundhedssektoren. Måske en betaling af 100 milioner Euro, for hver dataudtræk, hvor samtlige Danske sundhedsjournaler skal burges.
Politiker og læger siger jo at vores data er så meget værd, det er der for at de så gerne vil indsamle dem. Ja så vil vi gerne bede om at få det bettalt. Ellers ligner det jo mere korruption, mellem læger, politikere og de sundhedfirmaer som bruger vores data.
Det er i hvert fald det man bruger det til hos Region Midt.Så du mener, at sundhedspersonale har adgang til opkobling på Citrix hjemmefra?
Normalt vil det hele ligge i EPJ, men det kan være en ekstern speciallægeerklæring eller noget, som er lagt ind. Men Citrix er jo blot et fjernskrivebord, husk det.Men anvender man overhovedet pdf-filer på den måde, hvis man åbner patientsager i Citrix?
Mailen ligger "ukrypteret" på serveren, men overførsel mellem servere og klienter sker krypteret, på samme måde som når du tilgår en https side og laver en kort betaling. Det vil sige, at mailen kan ikke opsnappes, ved blot at lytte på linjen, men der er selvfølgelig andre steder.Jeg håber da, at der bruges SSL mellem serverne.</p>
<p>Der kommer min IT-forståelse til kort:
Der kommer min IT-forståelse til kort: Kan man modtage en krypteret mail, uden selv at være klar over det? Jeg har i hvert fald aldrig selv skulle gøre noget, der havde med kryptering at gøre, mens jeg arbejdede i sundhedsvæsnet.Jeg håber da, at der bruges SSL mellem serverne.
Så du mener, at sundhedspersonale har adgang til opkobling på Citrix hjemmefra? Det havde vi ikke dengang, jeg arbejdede der, sådan som jeg husker det.
Men anvender man overhovedet pdf-filer på den måde, hvis man åbner patientsager i Citrix? Måske skyldes det mit manglende IT-kundskab, at dette undrer mig.