Sundhedsplatformens leverandør sjusker: Garanti for lovlig databehandling kasseret

Illustration: Morten Egedal
Epic, som levererer Sundhedsplatformen, har ikke overholdt kravene til dokumentation for korrekt håndtering af patientdata, viser aktindsigt.

Det kniber gevaldigt for leverandøren af Sundhedsplatformen, it-selskabet Epic, med at fremlægge beviser for, at danske patientdata ikke misbruges eller kommer i uvedkommende hænder. Og dermed generelt at dokumentere - som de ellers skal - at data behandles i overensstemmelse med den danske persondatalovgivning.

Det fremgår af akter, som Version2 er i besiddelse af.

Sikkerhedsdokumentationen er et uomgåeligt krav, men kvaliteten har været så utilfredsstillende, at Region H har måttet afvise et udkast, som regionerne har fået tilsendt.

Sagen går helt tilbage til den 22. juni i år, hvor Epic havde deadline for den årlige sikkerhedserklæring om selskabets data-, system- og informationssikkerhed.

Den stærkt mangelfulde 1. sikkerhedserklæring fra Epic Illustration: Aktindsigt

Men dels var Epic to måneder forsinket med erklæringen til organisationen bag Sundhedsplatformen - det såkaldte Sundhedsplatformprogram. Den kom først frem den 25. august 2017.

Region Hs afvisning af Epics sikkerhedserklæring i email d. 4. september Illustration: Aktindsigt Region H

Dels havde Epic ikke givet erklæringen den korrekte betegnelse, og endelig blev den afvist, fordi den ifølge regionens replik er utilstrækkelig.

Epic havde nemlig blot fremsendt en 2,5 linjer lang erklæring. (se kopi til højre)

Det er for mangelfuldt, bl.a. fordi erklæringen skal indeholde en detaljeret gennemgang af, hvordan Epic lever op til kravene i databehandleraftalen og dermed lovgivningen.

»Sundhedsplatformen vurderede, at erklæringen ikke havde den fornødne detaljeringsgrad,« skriver Region H i en kommentar til Version2.

Sikkerhedserklæringen manglede ligeledes en beskrivelse af den uafhængige revision - en såkaldt audit - som skal dokumentere, at Epic behandler danske patientdata i overensstemmelse med reglerne.

»Region Hovedstaden/Sundhedsplatformen vurderer, at denne sag er alvorlig, og det meget vigtigt, at der fremsendes en tilfredsstillende revisionserklæring,« lyder det i en skriftlig kommentar fra Region H.

Fremsender excel-ark som støtteredskab

Region H påpeger manglerne over for Epic i en e-mail dateret d. 4. september, som Version2 har fået indsigt i.

Regionen oplyser, at SP-programmet har været i dialog med Epic i et forsøg på at sikre en korrekt erklæring. Den 4. oktober fremsender regionen et excel-ark som eksempel på, hvilke punkter man forventer, at Epic forholder sig til.

Det fremgår af akterne, at Region H/Sundhedsplatformen ultimo oktober modtog en nyt udkast til revisionserklæring, som herefter har været gransket.

Trods trakasserierne fastslår Region H over for Version2, at selv om Epic ikke har papirerne i orden, frygter man ikke for misbrug af danske patientdata:

»Det skal i den forbindelse dog bemærkes, at SP programmet ikke på nuværende tidspunkt har grund til at antage, at Epic ikke skulle overholde databehandleraftalen med Sundhedsplatformen,« lyder det i svaret til Version2.

Regionen oplyser endvidere, at data-, system- og informationssikkerhed i forhold til Sundhedsplatformen er et vigtigt emne, som på politisk niveau bl.a. drøftes i forbindelse med statussager om Sundhedsplatformen, som udleveres til bl.a. regionsrådet.

På nuværende tidspunkt har sagen ikke haft økonomiske konsekvenser, oplyser Region H.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (43)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

"»Det skal i den forbindelse dog bemærkes, at SP programmet ikke på nuværende tidspunkt har grund til at antage, at Epic ikke skulle overholde databehandleraftalen med Sundhedsplatformen,« lyder det i svaret til Version2."

Nå, ok - så er der jo ingen grund til bekymring....... Jeg ville dog være endnu mere rolig, hvis man havde egentlig dokumentation for, at Epic faktisk overholder reglerne, har styr på datasikkerheden, og at der ingen "sikkerhedshændelser" har været.

Jeg har bedt om aktindsigt i revisionsrapporten for 1/2 år siden. Jeg blev hele sommeren lovet, at jeg ville få den, når man modtog den. Da den (det nye udkast, ikke de 2 1/2 linje) så faktisk kom, fik jeg afslag med begrundelsen "sikkerhedshensyn" og "forretningshemmeligheder" (sådan ca).

Jeg finder det foruroligende, at man kan mørklægge hele rapporten - selv om jeg har forståelse for, at der selvfølgelig vil være dele af den, der må holdes fortroligt. Jeg frygter, at hemmeligholdelsen mest handler om, at indholdet er pinligt for Epic/Sundhedsplatformen.

Jeg finder det meget foruroligende og mærkeligt, at et foretagende som Epic, med de omkring 1200 tilknyttede (mener jeg, det er) hospitaler i mange lande, ikke ved, hvordan man udfærdiger den årlige revisionsrapport, som jeg har fået indtryk af er en del af de fleste standardkontrakter. Er de aldrig før blevet bedt om at opfylde kontraktens krav af andre kunder? Er den pågældende paragraf blot en pynteparagraf, så dataansvarlig kan påstå at tage sikkerheden alvorligt, mens man i praksis aldrig følger op på det?

I så fald er det lidt rystende, at Epic har ansvaret for Region Hovedstadens borgeres meget følsomme sundhedsdata. Hvad mener man egentligt, når man fra myndigheders side hævder, at man passer godt på vore data?

Og hvordan spiller en adgang til/opbevaring af vore følsomme sundhedsdata i USA (mindst) sammen med f.eks. dette? : https://www.nrk.no/ytring/usa-vil-snoke-i-dine-data-1.13802893

  • 22
  • 0
Bjarne Nielsen

Men data opbevares ikke i USA. Serverne står i Danmark.

Det er ikke afgørende, hvor data opbevares eller hvor serverne står, men hvordan data bliver tilgået, og under hvilke vilkår. Og det er mit klare indtryk, at der er vid adgang til data fra "moderskibet" i USA ifm. supportsager; sager, som der er mange af, og hvor det er ganske vanskeligt reelt at afgrænse adgangen endsige føre et lokalt tilsyn.

  • 13
  • 0
Anne-Marie Krogsbøll

der er vid adgang til data fra "moderskibet" i USA ifm. supportsager;


Det er rigtigt, Bjarne. Jeg ved fra aktindsigt, at allerede kort tid efter go live havde over 100 supportere haft adgang fra USA (været godkendt til dette). Og det fremgår også af aktindsigt i regionens aftaler med Epic, at regionen accepterer, at der i nogle tilfælde er adgang fra mobile enheder.

  • 11
  • 0
Claus Bobjerg Juul
  1. Maj 2018 nærmer sig hastigt, mon der ikke kommer mere og mere skub på processen som vi nærmer os. Det er trods alt et klokkeklart brud på GDPR. Det kan komme til at koste Region H, mange penge. Jeg tror det vil være en lækkerbisken for Datatilsynet at ramme loftet på 16 millioner første gang.
  • 8
  • 0
Jesper Frimann

Det er ikke afgørende, hvor data opbevares eller hvor serverne står, men hvordan data bliver tilgået, og under hvilke vilkår. Og det er mit klare indtryk, at der er vid adgang til data fra "moderskibet" i USA ifm. supportsager; sager, som der er mange af, og hvor det er ganske vanskeligt reelt at afgrænse adgangen endsige føre et lokalt tilsyn.

Enig i at det er den faktiske adgang.. PÅ ALLE NIVEAUER.. der er vigtigt. Problemet er bare, at de her sikkerheds revisionserklæring tit ikke er fem potter *** værd IMHO.
Husk på at de systemer, der blev kompromitteret i CSC hacker sagen havde en bestået revisionserklæring (godt nok med nogle anmærkninger).

http://multimedia.pol.dk/archive/00859/Revisionsrapporter__859162a.pdf

Så det der nok IMHO er det mest kritiske som jeg læser det, er hvis borgere nægtes aktindsigt. Disse rapporter burde jo være offentlig tilgængelige, efter leverandøren havde haft en chance for at udbedre eventuelle brister.

// Jesper

  • 7
  • 0
Anne-Marie Krogsbøll

Hvad er så din løsning på at holde kontrol med sikkerheden fra dataansvarliges side, når databehandler befinder sig på den anden side af dammen, Jesper Frimann? Hvis man ikke kan bruge revisionserklæringerne til noget - hvad så?

Og vil du give mig ret i, at det er bekymrende, at man lukker for indsigt - ikke kun pga. borgernes rettigheder, men at det kan give mistanke om, at noget ikke er, som det skal være mht. datasikkerheden?

  • 1
  • 0
Bjarke Jørgensen

Jeg kunne faktisk godt tænke mig at vide om afslag på aktindsigt i dette tilfælde er lovligt... Vil du dele deres svar?

On-topic: det svar de kommer med... Hvis det er standard for kvaliteten af Epics arbejde kan jeg sandelig godt forstå vi har sat dem til at stå for det største IT-system i sundhedssektoren.

  • 4
  • 0
Jesper Frimann

Hvad er så din løsning på at holde kontrol med sikkerheden fra dataansvarliges side, når databehandler befinder sig på den anden side af dammen, Jesper Frimann? Hvis man ikke kan bruge revisionserklæringerne til noget - hvad så?


En revisionserklæring er jo 'bare' en gennemgang af, at man opfylder visse forudbestemte krav. Og derfor er en revision jo logisk nok ikke bedre end kravene, den verificerer op imod.

Et eks. Hvis du ser på den revisions rapport som jeg linkede til oven for. Så handler A14.1 om beredskab. Og resultatet af revisionen er godkende fordi der foreligger en ledelsesgodkendt og afprøvet beredskabsplan.

Der står jo ikke noget om, hvor god en faglig kompetent specialist mener planen er.. er det realistisk at den vil virke når der virkelig er brug for den ? etc. etc.

IMHO er de her revisions rapporter lidt af en CMA øvelse. Lidt som når man skriver under på at købskontrakt på et hus med advokatforbehold.

Man er fra den offentlige myndighed nødt til at tage ansvar, og stoppe med at købe IT som om det var kuglepenne. Det er IT simpelt hen blevet for 'core business' i det offentlige til, at man kan gøre det på den måde

Og verden har ændret sig for offentlig IT. Det er ikke længere 2 offentlige selskaber, der står for det hele. Det er heller ikke længere bare en håndfuld 'the Usual suspects' leverandører, som man kender og stoler på, der leverer. I dag er offentlig IT en multisourcing mareridt, som det også er hos mange private virksomheder. Og det kræver altså, at man stepper op redefinere hvordan man ser på offentlig IT.
For bag ved en simpel uskyldig udseende IT-service, kan der sagtens ligge et pænt stort træ af underleverandører til underleverandører til underleverandører.... som alle, hvis de ville, kunne få adgang til dele af de data man ønsker f.eks. at udføre en databehandling på med en service.

// Jesper

  • 7
  • 0
Anne-Marie Krogsbøll
  • 2
  • 0
Anne-Marie Krogsbøll

Jeg kunne faktisk godt tænke mig at vide om afslag på aktindsigt i dette tilfælde er lovligt... Vil du dele deres svar?


Ja - jeg har da også anket det, Bjarke Jørgensen - klagen ligger hos Ankestyrelsen - og de har meget lang svartid.
Jeg skal nok prøve at finde afslaget - ved ikke, om jeg når det i dag.

Hvis det er standard for kvaliteten af Epics arbejde kan jeg sandelig godt forstå vi har sat dem til at stå for det største IT-system i sundhedssektoren.


Ja- det er foruroligende, at de kan have troet, at det levede op til ISA-standarden. Jeg kan ikke frigøre mig fra en mistanke om, at de ikke havde forventet overhovedet at skulle levere en sådan revisionsrapport.

  • 3
  • 0
Jesper Frimann

Det lyder rigtigt, Jesper Frimann. Men så meget desto værre, at Epic ikke engang kan opfylde kravene på papiret.


Jo, men det ved vi jo ikke noget om. EPIC kan have jordens bedste IT-sikkerhed.
Som jeg læser artiklen har man slet ikke lavet en ekstern revisions gennemgang. Og det kan jo betyde en hel masse.. eller ingen ting.
Jeg forstår så heller ikke hvorfor EPIC skulle være databehandler, leverer de ikke bare produktet og implementering + support.

// Jesper

  • 0
  • 0
Anne-Marie Krogsbøll

Jeg kunne faktisk godt tænke mig at vide om afslag på aktindsigt i dette tilfælde er lovligt... Vil du dele deres svar?


Bjarke:
"Region Hovedstaden/Sundhedsplatformen vurderer, at det udkast til revisionserklæring som Epic har fremsendt den 31. oktober 2017 i sin helhed er undtaget for reglerne om aktindsigt i henhold til offentlighedsloven § 30, nr. 2, hvorefter retten til aktindsigt ikke omfatter ikke oplysninger om tekniske indretninger eller fremgangsmåder eller om drifts- eller forretningsforhold el.lign., for så vidt det er af væsentlig økonomisk betydning for den person eller virksomhed, oplysningerne angår."

  • 3
  • 0
Anne-Marie Krogsbøll

Som jeg læser artiklen har man slet ikke lavet en ekstern revisions gennemgang.


Spørgsmålet er jo så "hvorfor"? Det er da ikke betryggende, at de ikke kan/vil levere det, når det er fastsat i kontrakten?

Jeg forstår så heller ikke hvorfor EPIC skulle være databehandler, leverer de ikke bare produktet og implementering + support.


Den skelnen skal jeg ikke gøre mig klog på - men jeg ved, at der er indgået databehandleraftale.

  • 2
  • 0
Martin Hoffmann

De overholder ikke kravene til audit og certificering. Hvordan kan Regionen så overhovedet sige de ikke har grund til at tro de ikke overholder kravene?

Der er jo forskel på at sige at der er et stort hul, og på at sige at det ikke er bevist at der ikke er et hul.

Begge dele er alvorlige, navnligt når det gælder så følsomme oplysninger, men det er dog vigtigt at gemme lidt plads i følelsesregisteret til den dag der rent faktisk påvises et hul :)

  • 0
  • 0
Mogens Lysemose

Martin det jeg skriver og henviser til er at kravet om revisionsundersøgelse ikke er overholdt.
Om der ikke har været hul eller aktivt datamisbrug ændrer jo ikke på at undersøgelsen ikke er lavet, kun på alvorligheden. Hvis kontrakten kræver årlig revisionsundersøgelse så kan man jo ikke begynde at undskylde sig med alt muligt andet. Men jeg ved ikke om der faktisk som anbefalet er krav til undersøgelsen i databehandleraftalen eller om de har det som selvstændigt krav i kontrakten og de derfor bare taler udenom ved at skelne imellem kontrakt og databehandleraftalen. https://www.datatilsynet.dk/erhverv/dataansvarlig-databehandler/databeha...

  • 3
  • 0
Anne-Marie Krogsbøll

Mogens Lysemose:

Men jeg ved ikke om der faktisk som anbefalet er krav til undersøgelsen i databehandleraftalen eller om de har det som selvstændigt krav i kontrakten


Svaret er her:
"Region Hovedstaden og Sundhedsplatformen har lagt grund for besvarelsen, at der henvises til den revisionserklæring, der er nævnt i hovedkontrakten med Epic punkt 11.5 (Revision af data- og system- og informationssikkerhed), hvori det er angivet at: ”Leverandøren skal en gang årligt og senest fire uger efter aflæggelse af årsrapport vederlagsfrit udlevere en erklæring, som opfylder de til enhver tid gældende regler (p.t. ISAE 3402, type 2) om Leverandørens data-, system- og informationssikkerhed fra Leverandørens eksterne systemrevisor. Ved Leverandørens revision skal givne it-sikkerhedsstandarder lægges til grund for vurderingen, DS 484 eller ISO 27001, samt være af en sådan kvalitet, at Kundens revisorer kan lægge den til grund ved tilrettelæggelse af deres egen revision.”

  • 2
  • 0
John Petersen

Når man kender lidt til Region H, kan det ikke undre - man har aldrig prioriteret sikkerhed særligt højt. Jeg tror ikke man vil bruge de nødvendige omkostninger - tilsvarende lever man i en naiv boble om at der ikke opstår misbrug. Tænk på alle de udlændinge (ikke danske statsborgere) der har adgang til sundhedsdata - foruroligende. Man anvender eksempelvis laboratoriesystem udviklet i Rusland - andre systemer udviklet i Indien osv.

  • 3
  • 0
Omaer Virk
  • 2
  • 0
Christian Nobel
  • 5
  • 0
Finn Christensen

Skræmmende.

Overhovedet ikke Christian... ;) det er blot en helt almindelig dag på kontoret.

Al den sikkerhed og mærkelige regler er uforståeligt, og hindrer for det meste vores faglige arbejde.. vi bliver konstant sinket af systemerne!

Vi er aldrig blevet oplyst om hvad og hvorfor det er væsentligt, og er aldrig undervejs i vores uddannelse blevet bekendt med "det der" mumbo jumbo, som for os er alt for stort, fremmed og uoverskueligt.

Det er ikke vores ansvar; nogle andre fandt på det hele, samt der er alligevel ingen konsekvenser uanset hvad der sker, og vi løber stærkt hele dagen og har ikke tid - summa summarum passer vi blot vores arbejde.

Dem, der kontrollerer, tror på et papir med underskrift, samt der er sjældent afsat midler til løbende og uvarslede uafhængige kontroller. Alle data er der jo, og bliver så vidt vides ikke stjålet (kun kopieret og solgt) og ingen har set, at det sker.

Vi kan jo stoler på hinanden herhjemme, og det er vi så farligt stolte af. Mens tilliden daler i andre lande i verden, vokser den i Danmark.[1]

Men det her vedrører andre lande kære lille Danmark, så vågn da op af tornerosesøvnen !

[1] Verdensmester i tillid og naivitet mht. datasikkerhed..
http://www.socialdemokratiet.dk/da/nyhedsarkiv/2017/1/danmark-er-kun-dan...
http://politiken.dk/debat/debatindlaeg/art5512401/Danskerne-er-verdensme...
https://www.magisterbladet.dk/magisterbladet/2014/082014/082014_p42

  • 1
  • 1
Jesper Frimann

Ikke helt enig, Jesper.

I netop CSC-sagen var det en 3402 erklæring der blev udarbejdet, hvor CSC & Rigspolitiet blev gjort opmærksom på en række kritiske forhold:

http://politiken.dk/indland/art5523788/CSC-og-politi-blev-advaret-under-...

Nu fandt jeg linket til revisions rapporterne netop i den artikel du refererer til.

Kan vi blive enige om følgende:

  1. De forhold der gøres opmærksom på i 2011 og 2012 erklæringerne blev jo rettet.
  2. Der udføres ikke revision på områder, hvor rigspolitiet er ansvarlig.
  3. CSC's arbejde bliver godkendt i både 2011 og 2012 (selv om systemerne er/bliver hackede i 2012)
  4. De forhold der gør at der kan brydes ind i systemerne i hacker sagen findes ikke, eller de står der i det mindste ikke.
  5. Der er ingen revision af selve arkitekturen

Så når en ledelse i en offentlig myndighed læser sådan en revisions rapport, så er den godkendt. Godkendt betyder ingen problemer. CMA'en er lavet. Vi har en revisionsrapport der siger vi er OK.
Og bonus der blev fundet nogle svagheder, men de blev jo rettet.. så all is good.

Og så kan det da godt være, at når folk med IT-sikkerhedserfaring læser rapporterne så siger de.. ok.. upatchede os-versioner, og der er godt nok mange fejl. Har man egentlig check på tingene ? Og hvorfor laves der ikke revision af Rigspoliets egne opgaver.. igen IT-sikkerhed er kæde, så hvis bare et led brydes så..
Men det er jo ikke sådanne folk der læser de her revisions rapporter. Derfor vil jeg stadig mene, at de i høj grad er værdiløse og er en CMA øvelse. De kan/skal ikke IMHO ikke bruges som en undskyldning for ikke at tage IT sikkerhed seriøst.

// Jesper

  • 2
  • 0
Anne-Marie Krogsbøll

Enig i, at en revisionsrapport ikke er en garanti for noget som helst, Jesper Frimann. Ikke desto mindre synes jeg, at den (forhåbentligt) er et forsøg på at holde styr på datasikkerheden, og det er et faresignal, når Epic åbenbart har så svært ved at leve op til de krav, de selv har skrevet under på i kontrakten.

Men jeg undrer mig også over, at Region Hovedstaden/Sundhedsplatformen giver Epic så lang line mht. at opfylde kontraktens krav. Det er trods alt vores meget følsomme privatliv, det drejer sig om - og vi kan kun miste det én gang, så er ulykken sket.

Hvorfor slår man ikke i bordet? Det undrer mig, og forstærker min fornemmelse af, at man simpelthen ikke tager datasikkerheden helt alvorligt i regionen/sundhedsplatformen - men jeg ved ikke, om det er den normale måde at håndtere den slags manglende kontraktopfyldelse på.

  • 0
  • 0
Jesper Frimann

@Anne-Marie Krogsbøll

Mit problem er, at ud fra det jeg har læst (og jeg har ikke set kontrakten) så forstår jeg ikke hvorfor at EPIC skulle have en databehandler aftale.
Hvilke data behandler/hoster EPIC for Regionerne ?
I don't get it.
Så vidt jeg ved er det Regionerne der selv hoster hele baduljen i Region Sjællands nye forkromede drifts center.
Selvfølgelig skal EPIC mfl. kunne yde support, hjælp, fejlfinding m.m. men det burde kunne gøres så EPIC aldrig får personhenførbare data i deres hænder. Selvfølgelig vil folk fra EPIC skulle kunne logge på forskellige systemer m.m. men det er igen noget som burde kunne håndteres.

Mht. at slå i bordet over for en leverandør. Hvis det ikke er et problem, så kan det ikke betale sig at hidse sig op over det. Man skal tage de kampe der er værd at tage. Igen se det i relation til, at jeg har lidt på fornemmeren at EPIC nok ikke rigtig laver databehandling for regionen, og det her er sådan lidt en CMA++ fra regionen side.

Igen med hensyn til Revisions rapporter af sikkerhed i henhold til ISO27001, så er det IMHO stadig noget CMA. Det er lidt som når man køber et produkt med 99.9999999% oppetid, og hvis leverandøren ikke opfylder så vanker der bøder.
Sådan noget betyder kun en ting for dig som kunde.. du betaler mere, uden at får værdi.
Jeg vil 1000 gange hellere se den bagved liggende arkitektur og have fagligheden inhouse til at vurdere om en løsning opfylder mine krav.

Jeg husker et af mine første IT job, hvor det her SUPER kritiske system skulle have 99.98% oppetid, sagde man fra 'forretningen'. Det betød så et totalt redundant system med alt hvad man kunne tænke sig.. til 30-40 millioner. Problemet var bare at ved nærmere analyse så var det man havde brug for 95% oppetid i tidsrummet 17.00-08.00, og det kunne klares med den vagtordning og lidt lavpraktisk 'spare parts'. Men det betød at prisen faldt ret kraftigt med ~85%.

For de penge man betaler for sådan en rapport, den tid man selv bruger etc. etc. så kunne man formodentlig ansætte en kompetent IT sikkerheds person, som faktisk ville gøre en hel del gavn.

Tja ja...
// JEsper

  • 2
  • 0
Anne-Marie Krogsbøll

Tak for uddybning, Jesper Frimann.

Selvfølgelig skal EPIC mfl. kunne yde support, hjælp, fejlfinding m.m. men det burde kunne gøres så EPIC aldrig får personhenførbare data i deres hænder.


Jeg ved ikke, hvad forklaringen er - men som nævnt havde over 100 personer allerede haft adgang fra USA kort tid efter go live, så på nuværende tidspunkt må det sandsynligvis være flere hundrede. I anmeldelsen står der (så vidt jeg husker) support og udvikling. Og regionen har skriftlige bekræftet, at man er nødt til at kunne tilgå patientdata fra USA .

I følge "Spørgsmål og svar":
"Sundhedsplatformen leveres af et amerikansk softwareselskab. Havner patientdata i USA?
Data lagres på regionernes servere i henholdsvis Ringsted og Hvidovre, men det amerikanske softwarefirmas/Epics medarbejdere har en begrænset adgang til patientdata i Sundhedsplatformen for at kunne udføre vedligehold og fejlretning i systemet. Hvis der opstår fejl i systemet, er det nødvendigt for firmaet, at de kan se de data, der var til stede, da fejlen opstod. Adgang sker i henhold til gældende sikkerhedsstandarder, og det er kun autoriserede personer, der har adgang. "

https://www.regionh.dk/sundhedsplatform/om-sundhedsplatformen/Sider/spø...

Mht. at slå i bordet over for en leverandør. Hvis det ikke er et problem, så kan det ikke betale sig at hidse sig op over det.


I mine øjne er det et problem, at der er adgang fra USA - og at Epic ikke engang kan finde ud af at opfylde kontraktens krav. Det tyder ikke godt. Mht. prisen så fremgår det af citatet fra kontrakten (se ovenfor), at der ikke skal betales for dette fra regionens side - det er en del af de ydelser, Epic har forpligtet sig til iht. kontrakten, uden yderligere betaling. Derfor forstår jeg ikke, at man ikke kræver dette opfyldt.

Jeg vil 1000 gange hellere se den bagved liggende arkitektur og have fagligheden inhouse til at vurdere om en løsning opfylder mine krav.


Bør det ikke være både og? Når man tillader sig at sende borgernes privatliv til USA, og ikke gider foretage inspektioner på stedet (det gør man ikke, så vidt jeg har forstået), så er det mindste, man kan gøre, at kræve en ekstern erklæring om, at tingene er, som de skal være.

Allerhelst så jeg da, at vore data aldrig kunne tilgås fra USA - især da NSA også vil have lov at kigge med over skulderen. Men når nu man i regionen har valgt at overhøre alle advarsler på det punkt i sin iver efter at blive en del af den fine internationale Epic-incrowd, så må man altså gøre sig umage for at forebygge "utilsigtede hændelser" med vore data.

  • 0
  • 0
Anne-Marie Krogsbøll

Mener du, at det burde være muligt for en it-mand placeret herhjemme i Hovedstaden at kunne se herfra, om alt er, som det skal være med datasikkerheden og tilgangen til personfølsomme data hos Epic i USA?

Nu ved jeg ikke, præcist hvad ISA-standarden dækker - men jeg forestiller mig f.eks., at det skal sikres, at man ikke printer patientdata ud, så de ligger og flyder - eller deler passwords til systemerne - eller henter ting ned, og glemmer at slette dem osv. - eller tillader, at de ansatte henter sjove spil og frække billeder ned på arbejdscomputeren, så denne kan komprimeteres. Kræver den slags ikke, at man besigtiger lokaliteterne?

  • 0
  • 0
Anne-Marie Krogsbøll

... dette link om Epics databeskyttelsessystem:
http://documentation.commvault.com/commvault/v10/article?p=products/epic...

Der er sikkert nogen, som bliver klogere af det - jeg gør ikke.

Og så fandt jeg lige dette:
"Epic software problems hurt Dana-Farber earnings "
https://ehrintelligence.com/news/epic-ehr-contributed-to-major-operating...
Om Epic så bare er syndebuk for noget andet her, er ikke til at vide..

  • 0
  • 0
Jesper Frimann

Jeg ved ikke, hvad forklaringen er - men som nævnt havde over 100 personer allerede haft adgang fra USA kort tid efter go live, så på nuværende tidspunkt må det sandsynligvis være flere hundrede. I anmeldelsen står der (så vidt jeg husker) support og udvikling. Og regionen har skriftlige bekræftet, at man er nødt til at kunne tilgå patientdata fra USA .


Det må jeg indrømme, at jeg ikke kan forstå at de skal kunne tilgå produktions data, med mindre der er tale om en kritsit (nedbrud, eller anden kritisk situation). I et 'ordentligt' drifts/udvikling setup vil udviklerne ikke behøve at skulle have adgang til rigtige patient data.

Så med mindre man har købt noget drift relateret af af EPIC, så kan jeg stadig ikke forstå at man skal se EPIC som en databehandler.

I mine øjne er det et problem, at der er adgang fra USA - og at Epic ikke engang kan finde ud af at opfylde kontraktens krav. Det tyder ikke godt. Mht. prisen så fremgår det af citatet fra kontrakten (se ovenfor), at der ikke skal betales for dette fra regionens side - det er en del af de ydelser, Epic har forpligtet sig til iht. kontrakten, uden yderligere betaling. Derfor forstår jeg ikke, at man ikke kræver dette opfyldt.


Der er rigtig mange systemer, hvor du gennem forskellige 'hop' har 'adgang til' systemer fra andre lande. F.eks. sådan noget som hardware overvågning som du har på større hardware installationer, der kan du sagtens have at f.eks. en hardware leverandør får automatisk besked når en hardware komponent f.eks. fejler delvist eller helt. Og at denne leverandør så sender en hardware tekniker, som kommer og skifter komponenten før det bliver et problem.
Så længe man har styr på hvilken information og hvordan det sendes, behøver dette jo ikke være et problem. Igen er det et spg. om at have styr på IT-fagligheden.

mht. til kontrakt forholdene, så vil det altid være en prioriteret liste. Du afbryder jo ikke en kontrakt med en leverandør pga. en mindre ting. Man finder ud af det. Hvis man ikke gør det på den måde.. altså løser problemer i 'good faith', så ja.. ender man med kaos. Der kan jo være mange udestående kontrakt forhold, hvor hvis man flue****** kontrakten så er der problemer.
Og jeg tror de fleste der har prøvet at være leverandør til det offentlige ved, at der er emsige djøffere i det offentlige der INSISTERER på at skyde sig selv i benet med et jagtgevær, bare for at opfylde en kontrakt. Koste hvad det vil..
Jeg har set offentlige kontrakt folk der insisterede på at få sat museumsgenstande op, som ikke kunne køre supporterede OS versioner, og betød million regninger ekstra i applikations software. Men det stod i kontrakten...

Bør det ikke være både og? Når man tillader sig at sende borgernes privatliv til USA, og ikke gider foretage inspektioner på stedet (det gør man ikke, så vidt jeg har forstået), så er det mindste, man kan gøre, at kræve en ekstern erklæring om, at tingene er, som de skal være.


Jo, men en faglig kompetence, der HAR NOGET AT SKULLE HAVE SAGT i organisationen, vil jo aldrig sanktionere, at der bliver sendt sundhedsdata til USA. Igen så vil mange af de problemer man ser når store projekter fejler, eller store systemer gå live, vil være fanget meget meget tidligere, hvis man har den rette faglige kompetence til stede til at starte med, og at disse personers fagligt funderede meninger tages til efterretning.

Problemet er igen.. at fagligheden har det dårligt i Danmark.. Og det er skidt for, det er i høj grad vores 'håndværker snilde og respekt for faglighed', der har gjort os til et rigt land.

// Jesper

  • 0
  • 0
Jesper Frimann

Mener du, at det burde være muligt for en it-mand placeret herhjemme i Hovedstaden at kunne se herfra, om alt er, som det skal være med datasikkerheden og tilgangen til personfølsomme data hos Epic i USA?

Data skal jo aldrig til USA. Så simpelt er det. Vores sundhedsdata har intet at gøre i USA. Derfor HVORFOR skal de have en databehandler aftale. Det er jo det en kompetent IT-sikkerheds person vil sige.

Hvis man skal være slem... så kan man sige, at har de kun brug for hvis de sidder og retter og koder direkte i produktion. Hvis de gør det.. ... ... så er man helt ude på overdrevet ... hvor de folk der har givet lov til det, skal tømme deres skrivebord under opsyn og følges til døren.. hvorefter at yderlige tiltag mod dem overvejes.

Nu ved jeg ikke, præcist hvad ISA-standarden dækker - men jeg forestiller mig f.eks., at det skal sikres, at man ikke printer patientdata ud, så de ligger og flyder - eller deler passwords til systemerne - eller henter ting ned, og glemmer at slette dem osv. - eller tillader, at de ansatte henter sjove spil og frække billeder ned på arbejdscomputeren, så denne kan komprimeteres. Kræver den slags ikke, at man besigtiger lokaliteterne?


Igen.. hvis man har ordentlige sikkerhed.. så er man lige glad med om folk sidder i USA og koder og downloader vira etc. Det er jo netop derfor at man har 'ordentlig IT-sikkehed' for at kunne beskytte sig mod disse ting.

// Jesper

  • 0
  • 0
Bjarne Nielsen

Det må jeg indrømme, at jeg ikke kan forstå at de skal kunne tilgå produktions data, med mindre der er tale om en kritsit (nedbrud, eller anden kritisk situation). I et 'ordentligt' drifts/udvikling setup vil udviklerne ikke behøve at skulle have adgang til rigtige patient data.

Så med mindre man har købt noget drift relateret af af EPIC, så kan jeg stadig ikke forstå at man skal se EPIC som en databehandler.

Det er så forskellen på teori og praksis. Jeg har ofte været i strid modvind både lokalt og hos kunden, når jeg insisterede på, at de måtte kunne beskrive fejlen på en måde, så jeg ikke skulle have en lokal kopi af et udsnit af rigtige produktionsdata.

"Jamen, fejlen optræder ikke i vores test-miljø". "Fejlen optræder kun for Hr. Jensen". "Vi har altså travlt, kan du ikke bare selv gå i på systemet på CPR-nummer xxxxxx-xxxx?".

Og klassikeren fra den lokale ledelse er ofte: "Gør nu bare, som de beder om; jeg skal nok tage skraldet". Oh, yes, lad os se, hvordan du reagerer, når du står i retten - og lad os se, om dommeren mener at straffelovens paragraffer tillader at du "tager skraldet".

Suk!

PS: Jeg har ingen konkret viden om, hvorvidt det også er tilfældet med SP og EPIC; men med det kompetance-niveau man i øvrigt har lagt for dagen, så tænker jeg mit. Og EPIC er nok ikke engang bange for en dansk dommer.

  • 2
  • 0
Anne-Marie Krogsbøll

Fin uddybning, Jesper - tak. Men som du selv bemærker, så er det jo som om, der er noget, der ikke helt hænger sammen i denne sag - og det er jo i sig selv foruroligende.

Mht. fagligheden så er jeg bestemt enig, den skal man lytte til. Men jeg forstår ikke helt din konklusion. Er den, at ekstern kontrol med sådan kritisk infrastruktur - der oven i købet behandler (ser det ud til, uanset om det er logisk eller ej) stærkt følsomme personoplysninger - ikke er nødvendigt, hvis bare man internt har nogle gode it-fagfolk?

Hvis det er det, du mener, så er jeg ikke enig. Jeg vil gerne have egentlig ekstern kontrol - selvkontrol (eller er det egenkontrol, det hedder :-)) er i mine øjne ikke nok - det har vi set den ene gang efter den anden.

Så jeg forstår ikke helt, hvad du mener mht. , hvordan man egentlig skal føre tilsyn med, at Epic behandler disse persondata ordentligt? Og selv, hvis man ikke behandler personoplysninger, selv om man siger det (som du antyder), så er det vel rimeligt, at der en ekstern kontrol med, at systemet faktisk fungerer efter det aftalte - at man har rimeligt styr på sikkerheden, så ingen ad omveje kan komme ind og "pille"?

Faglighed er godt og nødvendigt - men kan efter min opfattelse ikke erstatte ekstern kontrol - det har jo vist sig masser af gange, at intern faglighed kan lade sig tryne.

  • 0
  • 0
Anne-Marie Krogsbøll

Igen.. hvis man har ordentlige sikkerhed..


Ja - hvis og hvis..... hvis alle var ærlige, kunne man helt afskaffe skattekontrol - og det var jo åbenbart også i en årrække skiftende regeringers opfattelse - og se, hvordan det gik.

Jeg gider ikke opleve noget lignende med mine persondata - jeg vil have kontrol og gode interne fagfolk, som der bliver lyttet til (a pro pos Bjarne Nielsens eksempler).

  • 0
  • 0
Anne-Marie Krogsbøll

...Jesper:
Vi er jo enige om, at data aldrig burde komme til USA. Men når nu de tilsyneladende er der - hvad gør vi så? Hvis du har ret i, at dette burde være overflødigt, så siger det jo netop noget om kvaliteten af det, man har fået skruet sammen mellem Region Hovedstaden og Epic - og så er der da ekstra grund til bekymring. Både over Epic og over Region Hovedstaden (og Sjælland).

  • 0
  • 0
Jesper Frimann

@Bjarne Nielsen

Jeg tror vi har været langt de fleste af os. Men Igen så er der forskel på 'execption' og så BAU. Hvis BAU er at rette i produktions systemer og give hundredevis af udviklere fra underleverandører adgang.. Så er det beyond stråplan.

Execption .. kritsit.. den skal man kunne håndtere, og det kan man sku' stort set altid enten ved at du har en der ser der over skulderen... eller at ..... ja..

// Jesper

  • 1
  • 0
Jesper Frimann

Så jeg forstår ikke helt, hvad du mener mht. , hvordan man egentlig skal føre tilsyn med, at Epic behandler disse persondata ordentligt?


Min pointe er.. (og der er desværre flere).

Hvis man laver en IT-løsning ordentligt, så kan man minimere behovet for en ekstern revision af underleverandører, til kun at omfatte det der er nødvendigt. Hvis du simpelt hen ikke giver dem mere adgang end de behøver.
Så lad os sige, at du har 10 lag i din løsning (hardware, netværk, disksystemer, databaser, operativ systemer etc etc.), og at du har separate adskilte 'implementeringer' til Udvikling, Test, produktion m.m.
Så kan du simpelt hen sørge for, at hvis du har et eksternt udviklings firma til at udvikle din applikation, så foregår det i et udvikling system, og de tester i et test system. I disse systemer er der 'fake' men repræsentative data. Så de ser aldrig rigtige produktion data. Så har du ikke behov for, at udviklings leverandøren skal have en databehandler aftale. For de ser som hovedregel aldrig rigtige produktions data.

Men som Bjarne Nielsen rigtig nok skriver så vil der være undtagelser, men det kan du jo også håndtere.. ved at du kun lukker navngivne identificerede personer 'ind' på dine produktions systemer, når der er brug for det og at du overvåger dem mens de er der.

Mht. eksterne revision. Igen så er konteksten her jo ekstern revision af underleverandører til det offentlige.

Og det er igen IMHO en CMA øvelse. I den rapport som var relevant ifh. CSC hacker sagen.. fangede jo ikke andet end trivialiteter, og igen CSC fik en bestået med anmærkninger Der hvor der virkelig var problemer, der lå hos ansvaret hos Rigspolitiet. Og det fanger en ekstern revisions rapport af underleverandøren jo ikke. Selv om man må rose konsulent huset for at gøre opmærksom på, at der var et problem. Selv om det lå uden for deres mandat.

Problemet er det man verificere op mod er, som sådanne standarder skal være, rimelig overfladisk.
Det er typisk sådan noget som.. du skal have en disaster strategi som skal være afprøvet.. ja.. men .. hvor god skal den være.. hvor tit skal den testes, hvor realistisk skal sådan en test være.. etc. etc. Og så går standarden fra at være en standard til faktisk at være defacto implementering.

Hvis en ekstern revision skal virke af en underleverandør.. så kommer du enten op mod, at man som offentlige outsourcer skal have meget specifikke detaljerede krav. Meget gerne have lavet arkitekturen selv, eller have selv have services som underleverandøren skal bruge.

Eller så skal man gå den anden vej og have et meget kompetent whitehat team til at teste sikkerheden.. problemet med det sidste hvordan får man lige det skrevet ind i en kontrakt.. og hvem skal betale.. Det er svært at specificere..

Derfor er min pointer.

  1. Minimer antallet af underleverandører der behøver at være databehandlere.
  2. Hav faglig styr på dine ting, og lav selv arkitekturen. Eller hvis du får en underleverandør til det, så få ejerskab af arkitekturen.
  3. Hvis du skal lave revision.. så skal du gøre det indefra.. altså hvor du laver revision af dig selv som det offentlige. Det er jo sådan noget, som IMHO man ville have en forventning om at Digitaliserings styrelsen kunne gøre.... eller datatilsynet.. meeeeeeeeeen.

Håber det forklarer lidt.

// Jesper

  • 0
  • 0
Jesper Frimann

Vi er jo enige om, at data aldrig burde komme til USA. Men når nu de tilsyneladende er der - hvad gør vi så? Hvis du har ret i, at dette burde være overflødigt, så siger det jo netop noget om kvaliteten af det, man har fået skruet sammen mellem Region Hovedstaden og Epic - og så er der da ekstra grund til bekymring. Både over Epic og over Region Hovedstaden (og Sjælland).


Det kommer helt an på hvorfor aftalen er nødvendig. Vi ved det ikke. Det kan være noget CMA noget i forhold til regionerne (læses det betyder ikke noget), over til sjusk i den måde man har valgt at udvikle og drive løsningen, til at de faktisk kører databehandlig i USA hos epic i en eller anden udstrækning.
Når vi ikke ved hvorfor.. så kan man jo ikke rigtig sige hvad man burde gøre ved det.

// Jesper

  • 1
  • 0
Anne-Marie Krogsbøll

Jeg har muligvis misforstået din brug af ordet "intern", Jesper. Hvis du derunder indbefatter kontrol ved eks. Datatilsynet, foretaget af it-kyndige, så kan vi godt være enige - det ville være en god ting. Jeg troede, at du mente internt i Sundhedsplatformen - og det ville jeg synes var at sætte ræven til at vogte gæs.

Men en grundig opgradering af eks. Datatilsynet til at foretage den slags opgaver ordentligt - det ville være en god idé - som jo desværre nok ikke bliver virkelighed.

  • 0
  • 0
Log ind eller Opret konto for at kommentere