Sundhedsdatastyrelsen opruster sikkerheden i hele sundhedsvæsnet

Illustration: alexskopje / bigstock
Ny cybersikkerhedsafdeling skal overvåge den overordnede sikkerhed, gennemføre beredskabsøvelser på tværs af sundhedssektoren og udbrede fælles sikkerhedsstandarder. Nuv. sektionschef i Region Hovedstaden bliver afdelingsleder.

Opdateret kl. 15:35.

Sundhedsdatastyrelsen åbner i dag en helt ny afdeling for cyber- og Informationssikkerhed.

Det sker i en tid, hvor regioner og hospitaler etablerer stadigt flere integrationer mellem medikoteknisk udstyr og løsninger og centrale databaser og systemer.

Og dermed alt andet lige øger angrebspunkterne for de cyberkriminelle.

Men også efter en række sager om f.eks. postafsendelse af ukrypterede cd'er, der blev afleveret forkert til et kinesisk visumfirma - cd'er, der indeholdt læsbare helbredsoplysninger om kræft, sukkersyge og psykiske lidelser hos 1,15 millioner danskere.

Og flere fejludleveringer af personfølsomme oplysninger om bl.a. CPR-nummer, patienttype, behandlingssted, behandlingstidspunkt, sengedage diagnosekoder til forkert borgere.

Og endelig mangelfuld styring og kontrol af udvidede administratorrettigheder, som betød, at personer uretmæssigt kunne få adgang til it-systemer og data hos den daværende styrelse National Sundheds-it.

It-sikkerhedsniveau skal gøres mere ensartet

Afdelingen i Sundhedsdatastyrelsen skal overvåge den overordnede sikkerhed, stå for beredskabsøvelser på tværs af sundhedssektoren, og udbrede it-sikkerhedsstandarder. Desuden er ambitionen, at de mange it-systemer, der forbinder hospitaler, apoteker, praktiserende læger etc. skal sikres på en mere ensartet måde mod misbrug og hackerangreb.

»Vi har altid prioriteret informationssikkerhed højt og organiseret dette arbejde særskilt. Men i maj fik Danmark en ny national strategi for cyber- og informationssikkerhed, som imødegår udfordringerne på området. Samtidigt trådte EU's net- og informationssikkerhedsdirektiv (NIS) i kraft. Det har givet os nye opgaver og nye ressourcer til formålet. Så i dag opretter vi en ny afdeling, som kommer til at bestå af 12-14 årsværk, når alle stillinger er besat,« udtaler vicedirektør i Sundhedsdatastyrelsen Flemming Christiansen i en email sendt til Version2.

Afdelingen består i dag af otte medarbejdere – herunder fire nyansatte. I den kommende tid vil flere blive ansat. Der er ansat en ny afdelingsleder, som tiltræder 1. januar. Det er Søren Bank Greenfield, som er i dag er sektionschef i Region Hovedstaden.

Han har ifølge styrelsen mange års erfaring med og stor indsigt i sundhedsvæsenets it-infrastruktur samt cyber- og informationssikkerhed.

Indtil han tiltræder ledes afdelingen af den hidtidige leder af Sundhedsdatastyrelsens arbejde på området.

»Den nationale cyberstrategi har fastsat, at der skal udarbejdes en særlig strategi for cyber- og informationssikkerhed på sundhedsområdet inden årsskiftet. Det bliver derfor naturligvis en meget central del af opgaverne for vores nye afdeling for Cyber- og Informationssikkerhed – allerede på denne side af årsskiftet,« forklarer Flemming Christiansen og fortsætter:

»Det er i sagens natur for tidligt at sige så meget om strategien, før dette arbejde er færdigt. Men det handler naturligvis meget om, at sætte sundhedsvæsenet i stand til at forebygge ved for eksempel at finde og lukke eventuelle huller, så vi bliver mindre sårbare. Det handler om at overvåge og efterprøve sikkerheden. Og det handler om at arbejde med et overordnet beredskab og koordinere på tværs af sundhedssektoren og til andre særligt sårbare sektorer i samfundet«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Louise Klint

Det er selvfølgelig rigtig godt, at man nu tager datasikkerhed i sundhedsvæsenet alvorligt.
Men jeg forstår ikke, hvorfor det ikke skal være en enhed under Center For Cybersikkerhed, hos FE eller lignende.
Altså i regi af erfarne kræfter, der har forstand og styr på sikkerhed allerede.

Der skal oprettes 12-14 nye årsværk hos Sundhedsdatastyrelsen til dette formål.
Med mindre de rekrutterer ledende medarbejdere og stab fra CFC, FE eller øvrige med tilsvarende dokumenteret sikkerheds- og beskyttelseserfaring, mener jeg
ikke, at det er en god idé, at placere så stort et ansvar hos så ung en styrelse, som Sundhedsdatastyrelsen, med så kedelig en track record.

Sundhedsdatastyrelsen blev oprettet af daværende sundhedsminister, Sophie
Løhde, 1. november 2015, efter en reorganisering af Sundhedsstyrelsen.
Og lige siden har Styrelsen været hyppig hovedperson her på Version 2, navnlig for deres kritiske omgang med datasikkerheden.
Start evt. nederst her: https://www.version2.dk/sog/sundhedsdatastyrelsen?page=2

Sundhedsdatastyrelsen råder over en lang række registre og databaser inden for sundhedsområdet.
De foretager monitorering, statistik og analyser for sundhedssektoren, men de forvalter også vores private sundheds- og sygdomsoplysninger, via mange forskellige databaser.
Er du behandlet for et alkoholproblem, står du opført i NAB. Har du fået en abort, står du i ABR. Cancerregistret går tilbage til 1943. Det er ganske personfølsomt.
Vi står alle i LPR.
https://sundhedsdatastyrelsen.dk/da/registre-og-services/om-de-nationale...
https://sundhedsdatastyrelsen.dk/da/registre-og-services
Alle oplysninger, som Styrelsen deler ud af – personhenførbart, på cpr-nummer – til forskere og offentlige myndigheder. Dine private oplysninger stilles til rådighed for alle kommuner i Danmark. Så kan de fx indlæse en gruppe borgere (cpr-population) og koble dem til sundhedsdata, på kryds og tværs.
https://sundhedsdatastyrelsen.dk/da/registre-og-services/om-lukket-esund...

Jeg vil gerne erindre om, at det kun er
5 måneder siden, Sundhedsdatastyrelsen ikke mente, at det var nødvendigt at sikre sig selv mod ransomware.
De agtede således ikke at følge Rigsrevisionens anbefaling.
En anbefaling, Rigsrevisionen gav, fordi en revision viste, at Styrelsens IT-sikkerhed var kritisk mangelfuld. Sundhedsdatastyrelsens argument var, at det forhindrede deres medarbejdere i at tilgå privat e-mail fra arbejds-pc’en.
Det synes jeg, taler for sig selv.
07.06.18: https://www.version2.dk/artikel/to-ministerier-blaeser-paa-rigsrevisione...

Efterfølgende har Digitaliseringsstyrelsen udsendt et påkrav til alle statslige
myndigheder om, at kortlægge deres IT samt udarbejde en handlingsplan, der
skal godkendes af Statens IT-råd.
Dette skete efter, at en rapport fra Finansministeriet konkluderede, at mere end 100 statslige IT-systemer var usikre og risikerer nedbrud.
23.07.18: https://www.version2.dk/artikel/efter-kritisk-rapport-alle-statslige-myn...

På den vis skulle ”ledelsen i alle statslige myndigheder blive mere skarpe på de IT-systemer, de råder over, og hvordan IT-systemerne understøtter myndighedernes arbejde”.

Og netop dette, synes at være en bydende nødvendighed
hos Sundhedsdatastyrelsen.
Altså, udover at sikre datasikkerheden, at blive bevidste om, hvad det i grunden er for nogle værdier, de sidder og forvalter, på borgernes vegne.

Som borger kan man derudover ikke få oplyst hvem, Sundhedsdatastyrelsen har videregivet dine data til.
Det er en styrelse, der råder over et hav af registre og databaser (”the one to rule them all”), men de har ikke et simpelt register over hvem, de udleverer vores
private sundhedsoplysninger til.
Der er log og journaliseringspligt i det offentlige, i sundhedsvæsenet – hos lægen og på vores hospitaler – men Sundhedsdatastyrelsen er åbenbart ikke underlagt denne journaliseringspligt.

Så jeg ved ikke…
Jeg synes, det er galt.
Det forekommer mig ikke forsvarligt, at overlade dem så stort et ansvar.

  • 3
  • 0
Log ind eller Opret konto for at kommentere