Sundhedsplatformen på kant med loven: Regioner skal i kritiske forhandlinger med Epic efter Schrems II-dom

20 kommentarer.  Hop til debatten
Sundhedsplatformen på kant med loven: Regioner skal i kritiske forhandlinger med Epic efter Schrems II-dom
Illustration: Rigshospitalet.
Schrems II-dommen og nye anbefalinger fra Det Europæiske Databeskyttelsesråd gør det svært for europæiske virksomheder at overføre data til USA på lovlig vis. Det giver alvorlige udfordringer med Sundhedsplatformen, der giver amerikanske Epic-ansatte adgang til danske sundhedsdata.
11. januar 2021 kl. 03:45
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Regionerne Hovedstaden og Sjælland har, som så mange andre, tredjelands-hovedpine ovenpå 2020.

Schrems II-dommen tog livet af Privacy Shield, og med de efterfølgende anbefalinger fra Det Europæiske Databeskyttelsesråd ser det rigtig sort ud for de dataoverførsler til USA, der er et vilkår for at anvende mange af de amerikanske software-leverandører.

Det giver blandt andet problemer med Sundhedsplatformen, hvor den amerikanske leverandør, Epic, har adgang til danske sundhedsoplysninger i forbindelse med supportsager.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
20 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
20
12. januar 2021 kl. 02:46

Man må gå ud fra at de vil anonymisere data....

Ja, det må man da gerne, men kan de finde ud af det? Det har vist sig ret svært flere gange tidligere. Og måske synes de, at det vil være en fordel, bare at beholde det, som det er. Så kan man altid sortere senere. Epic vil nok helst beholde det hele, vil jeg gætte på.

19
11. januar 2021 kl. 23:16

Man kan godt se fidusen ved at samle den slags data og der vil være store penge at tjene på det. Det er faktisk noget af det man taler om i forbindelse med EU-projektet GAIA-X som startede i 2019.

Man må gå ud fra at de vil anonymisere data....

18
11. januar 2021 kl. 18:21

Epics topchef har jo været meget åben om, at hun gerne vil/har søsat initiativer om, at skabe et verdensomspændende net, hvor alle verdens sundhedsdata er samlet ét sted.

Med andre ord – høste så mange af kundernes gratis data, som muligt, kunne man sige:

25.09.18: https://www.version2.dk/artikel/epic-ceo-vil-samle-hele-verdens-sundhedsdata-sted-siloerne-skal-vaek-1086310

Så gu’ ved, hvor meget de har nået at spejle/gafle allerede?

17
11. januar 2021 kl. 16:00

Ja, absolut. Hvis NNIT kan supportere det med deres danske eller tjekkiske medarbejdere, så er der jo ingen problemer. Vi skal bare ikke have deres kinesiske folk på, så er den jo gal igen :-)

16
11. januar 2021 kl. 15:43

EPIC har jo i forevejen brugt NNIT som underleverandør, så hvorfor ikke lade NNIT eller en anden samarbejdspartner i EU håndtere supporten på EPICs kunder i EU. Så er problemet ligesom løst....

15
11. januar 2021 kl. 13:09

Men en se-adgang bliver af Datatilsynet sidestillet med en videregivelse/overførsel af data.</p>
<p>OK. Det er jo tydeligt tåbeligt, så lige der kan man jo gøre nogen indsigelser (mod tåbelig lovgivning).

Det er derfor at en del systemer, har funktioner til at skjule/forvanske følsomme data, når de overføres til test.

Denne problemstilling er årtier gammel.

I sjældne tilfælde kræver det så kompetente folk for at reproducerer fejlen i de ændrede data.

14
11. januar 2021 kl. 12:53

Tjaeh - det er da en ønskværdighed situation. Det er bare ikke sådan deres lov er skruet sammen eller sådan at det foregår i virkeligheden :(

13
11. januar 2021 kl. 12:38

Igen: det KAN løses

Jep, ved at Amerikanerne (alle over en kam) acceptere at hvis de ønsker at vide noget om en EU borger, så sker det via myndighederne i EU.

Så hvis en amerikansk myndighed vil vide noget om fx mig, så må de kontakte FE eller politiet.

Hvis FE eller politiet ikke vil hjælpe, så må den Amerikanske myndighed acceptere at deres forespørgelse ikke har gang på jorden.

12
11. januar 2021 kl. 12:12

OK. Det er jo tydeligt tåbeligt, så lige der kan man jo gøre nogen indsigelser (mod tåbelig lovgivning). Desuden så kan der jo oprettes sager hvor der godkendes adgang til specifikke (person)data med henblik på konkrete fejl undersøgelser. I sådant tilfælde er adgangen jo 'under kontrol' og begrænset - og der kan principielt indhentes tilladelse...</p>
<p>Igen: det KAN løses

Jeg vil nu ikke mene, der er tåbelig lovgivning. Og heller ikke, at det kan løses, indtil at USA ikke ændrer deres lovgivning som overvåger alle og enhver.

Og nej, sådanne sager hvor der oprettes adgang til specifik persondata er stadig ikke lovlige, så nej, det kan IKKE løses.

Det er simpelt: Hvis du ønsker, at en europæisk borgers persondata overføres til USA i klartekst (dvs enten gøres tilgængeligt i klartekst til en amerikansk instans, eller gemme data i datacentre i USA, el.lign.), så må du opgive dit ønske. Det kommer ikke til at ske, fordi USA ikke overholder nogle meget basale dataetiske normer.

»Et af kravene kan være, at vi vil bede dem om at rette henvendelse til os øjeblikkeligt, hvis de amerikanske myndigheder henvender sig til Epic for at få data udleveret, eller hvis de opdager, at amerikanske myndigheder prøver at få adgang til oplysninger på en anden måde,« siger Anna Olga Aaskilde Laursen

Ja, det er ønsketænkning. NSA beder en cloud-leverandør om at udlevere data, hvilket er ensbetydende med at de har brug for de data (eller burde det i hvert fald være), som igen er ensbetydende med at de ikke ønsker at andre bliver bekendt med, at de har brug for disse data. Ergo: Hvis NSA spørger om data, må virksomheden bare føje sig og klappe i.

Så er der derudover de overvågningsprogrammer, som gør, at data automatisk støvsuges i kablerne, når data når over atlanten til USA.

Skal EPIC så også kræve af NSA, at NSA siger besked, hvis de har støvsuget data, hvilket sker automatisk? Ønsketænkning.

Og ja... så er der selvfølgelig problemet med at dem fra EPIC alligevel ikke må se data, uanset om de så sidder i EU med en EU-købt PC og på en EU-administreret internetforbindelse med EU-mænd lige ved siden af, inde i EU-kommissærens kontor i Bruxelles... det kommer ikke til at ske! Det er follow-the-money-princippet, og så længe mennesker kan huske informationer, må ingen US-ansat person eller system brugt af US-ansatte personer få adgang til EU-borgeres persondata i klartekst.

11
11. januar 2021 kl. 11:48

Men en se-adgang bliver af Datatilsynet sidestillet med en videregivelse/overførsel af data.

OK. Det er jo tydeligt tåbeligt, så lige der kan man jo gøre nogen indsigelser (mod tåbelig lovgivning). Desuden så kan der jo oprettes sager hvor der godkendes adgang til specifikke (person)data med henblik på konkrete fejl undersøgelser. I sådant tilfælde er adgangen jo 'under kontrol' og begrænset - og der kan principielt indhentes tilladelse...

Igen: det KAN løses

10
11. januar 2021 kl. 11:32

Ja, det er ikke lokationen der er afgørende, det er hvem der kan gribe fat i data, som gør udslaget. Amerikanske firmaer skal udlevere data de råder over, til myndighederne i USA.

Den eneste løsningsmodel der kan holde de amerikanske selskaber inde i varmen i EU, er hvis selskaberne overlader deres software til EU-selskaber som drifter løsningen i sikre data centre. De amerikanske selskaber må så opkræve licens-afgift.

Der kan ikke laves nogen form for aftale der forhindrer dataoverførsler til USA (eller andre tredjelande), så det skal man ikke sidde og vente på.

9
11. januar 2021 kl. 10:53

Det er fjernadgang til produktionsmiljøet.

Men en se-adgang bliver af Datatilsynet sidestillet med en videregivelse/overførsel af data.

Som jeg forstår det, så er det til produktionsmiljøet, for med sikkerhed at kunne replicere fejlen.

8
11. januar 2021 kl. 10:52

Det har ikke noget placeringen af serveren at gøre. Det er netop fjernadgangen der er problemet. Ved fjernadgang overføres data (til USA).

Men selvom EPIC så lavede et europæisk supportcenter - så er det stadig et amerikansk selskab. Og derfor må FISA vel kræve data udleveret der har været på deres PC'ere?! Eller hvor går grænsen?

7
11. januar 2021 kl. 10:28

Hvad er det for konkrete situationer der kræver at data sendes til USA?? Eller rettere - hvad kan de gøre i USA som de ikke også kan gøre via fjernadgang til et testmiljø i et dansk datacenter???

Det er det alle vi andre gør....

6
11. januar 2021 kl. 10:26

Der snakkes meget om GDPR og det er naturligvis fordi den fylder meget for os alle sammen, så lad os lige gå et skridt tilbage.

GDPR er en slags juridisk manifestation af EU's charter om grundlæggende rettigheder for borgere i EU. Den er fra 2000 og Danmark har naturligvis tiltrådt den. Det er artikel 7 og 8 (se nedenfor) som man skal forholde sig til.

Uanset om vi har GDPR eller gyldige aftaler i stil med Privacy Shield, så kan man ikke lovligt sende data til et tredjeland, hvis man ved at borgernes data ikke er lige så godt beskyttet som de er i EU.

Med andre ord, så har Sundhedsplatformen været i strid med EUs charter fra dag ét, da den amerikanske lovgivning, som er den formelle årsag til problemet (forøvrigt lavet af Joe Biden midt i 90'erne) har været i kraft siden oktober 2001.

(Og loven har ikke været hemmelig på noget tidspunkt siden.)

EUs charter:

Artikel 7: Respekt for privatliv og familieliv Enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin kommunikation.

Artikel 8: Beskyttelse af personoplysninger

  1. Enhver har ret til beskyttelse af personoplysninger, der vedrører ham/hende.
  2. Disse oplysninger skal behandles rimeligt, til udtrykkeligt angivne formål og på grundlag af de berørte personers samtykke eller på et andet berettiget ved lov fastsat grundlag. Enhver har ret til adgang til indsamlede oplysninger, der vedrører ham/hende, og til berigtigelse heraf.
  3. Overholdelsen af disse regler er underlagt en uafhængig myndigheds kontrol.
4
11. januar 2021 kl. 09:02

at hente de data, de har tænkt sig, uanset hvor de befinder sig - og uanset hvad EU i øvrigt synes og mener om det ? Men selvfølgelig skal vi da markere vores territorium - for et syns skyld - for meget mere bliver det vist næppe til.

3
11. januar 2021 kl. 08:58

Jo EPIC må gerne fortælle dette, med mindre myndighederne også har en "gag ordre" med. Med en "gag ordre" bliver det ulovligt for EPIC at fortælle om en udlevering af data til myndighederne.

2
11. januar 2021 kl. 08:11

Yeah right, er rimelig sikker på de ikke må oplyse, hvis NSA har bedt om at få udleveret data. De kan sikkert få en sag på nakken om de har "obstructed justice".

1
11. januar 2021 kl. 07:59

Tænk at man overfører biometriske eller personfølsomme data til et land udenfor EU for at udføre support. At supporteren skal kunne læse disse data i klartekst for at kunne supportere et system og at hverken dataejer eller systemejer kan se det er et problem?

Det tænker jeg burde trykprøves af Datatilsynet!