Sundhedsplatformen: Epic udskyder igen at levere garanti for sikker databehandling

Illustration: Screenshot
Region Hovedstaden har endnu ikke modtaget en endelig, godkendt revisionserklæring om it-sikkerheden hos Sundhedsplatformens leverandør, Epic.
5

Leverandøren bag Sundhedsplatformen, Epic, har efter otte måneder endnu ikke formået at levere en færdig revisionserklæring, der skal dokumentere, at danske sundhedsdata bevares og behandles forsvarligt.

Dokumentet skulle have været sendt til regionen i juni sidste år. I denne måned har Epic imidlertid meddelt regionen, at revisionserklæringen først vil være klar til maj.

Det fremgår af en aktindsigt, som Version2 har fået.

Her oplyser Region Hovedstaden, at man »løbende vurderer, hvilke kontraktuelle implikationer forsinkelsen skal have«.

To linjer

Som Version2 tidligere har beskrevet, sender Sundhedsplatformen rutinemæssigt ikke-anonymiseret sundhedsdata til it-medarbejdere i USA i forbindelse med vedligehold og fejlretning af it-systemet.

Læs også: Sundhedsplatformen sender ikke-anonymiseret sundhedsdata til USA

Revisionserklæringen er regionens garanti for, at Epic behandler sundhedsdataen sikkert. Men indtil videre har Epics forsøg på at leve op til dokumentationskravet været decideret mangelfulde.

Læs også: Sundhedsplatformens leverandør sjusker: Garanti for lovlig databehandling kasseret

I august sendte Epics Chief Security Officer Stirling Martin en erklæring til Sundhedsplatformen, der på to linjer meddelte, at Epic lever op til alle krav i kontrakten. Den erklæring fandt regionen for let.

»Sundhedsplatformen vurderede, at erklæringen ikke havde den fornødne detaljeringsgrad,« skrev Region Hovedstaden sidste år i en kommentar til Version2.

Region Hovedstaden understreger nu, at man »ikke på noget tidspunkt i forbindelse med driften af Sundhedsplatformen har haft mistanke om, at Epic ikke lever op til kravene i databehandleraftalen«.

Nye erklæringer mørkelagt

Ifølge kontrakten skulle Epic blandt andet dokumentere, at selskabet har haft besøg af uafhængige revisorer. I starten af oktober sendte regionen et regneark til Epic, som et »eksempel på, hvordan rapporteringen kunne gøres, eller hvordan vi kunne forestille os, at det kunne se ud«.

Læs også: Politikere kræver redegørelse for udbuddet af Sundhedsplatformen

Siden har Epic i både oktober og november leveret nye udkast til revisionserklæringen, der er betydeligt længere end notatet fra august. Dem har Version2 også fået indsigt i – men begge er fuldstændig mørkelagt med henvisning til, at Epic i dokumentet beskriver »fortrolige forretningsforhold«.

Ligeledes er den feedback, som regionen har givet Epic på de nye udkast, blevet overstreget med en sort tusch.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

... og meget, meget bekymrende. For hvorfor kan/vil Epic ikke levere det, de ifølge kontrakten er forpligtede til? De burde jo nu faktisk være i gang med at formulere den nye årsrapport? Og hvorfor kan regionen ikke sætte sig igennem med kontraktens krav? Er de i lommen på Epic på en eller anden måde?

Eller er det også fra regionens side et forsøg på at "stalle" og udskyde en rapport, som man måske forventer vil skabe ramaskrig?

"ikke på noget tidspunkt i forbindelse med driften af Sundhedsplatformen har haft mistanke om, at Epic ikke lever op til kravene i databehandleraftalen."

I mine øjne giver selve dette forløb i høj grad mistanke om, at den er grueligt galt med datasikkerheden.

Overstregninger? Hvad er det nu, vi plejer at få at vide? Hvis du ikke har noget at skjule....?

  • 12
  • 0
Kenn Nielsen

Der er da ikke et tilfælde at det er den 18. maj.
Dette er på dagen hvor GDPR's hammer kan falde.

Hvis vi oversætter handlingerne til letforståeligt så betyder de:
"Vi tager alle de data vi kan - lige indtil vi ikke må længere".
Dann haben wir anderen metoden...

K

  • 9
  • 0
Twan Manders

Man fristes til at se på letbanen i Århus hvor toget først måtte køre når alle sikkerhedsgodkendelser var i orden og så Sundhedsplatformen hvor det åbenbart er helt i orden at sikkerheden ikke er godkendt, ikke engang af den myndighed der anvender systemet.

SP toget burde ikke have haft lov til at køre før det var blevet sikkerhedsgodkendt. Det skader igen den tillid som borgerne/ansatte har til at anvende (sundheds-)data til samfundsnyttige formål.

  • 3
  • 0
Log ind eller Opret konto for at kommentere

Midt i skolelukningen: Stor dansk læringsportal ramt af DDoS-angreb

4

Stort DDoS-angreb på UniLogin: »Børne- og Undervisningsministeriet gør alt for at afværge«

21

Uni-Login blev presset i bund af hjemsendte skoleelever

0
Job fra Jobfinder
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Webinar: Find den bedste balance mellem it-sikkerhed og medarbejderfleksibilitet
Whitepaper
Whitepaper
Lær hvordan AI-drevet eksplorativ dataanalyse finder skjulte sammenhænge
Webinar
Webinar
Sådan får hele virksomheden gavn af simuleringskompetencer
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder