Tyndbenet kontrol med snageopslag på patientdata i Region H

Screeningen indebærer altså, at hvis en medarbejder f.eks. slår op på et familiemedlem, sig selv eller en nabo, uden at der er tale om aktuel behandling, så bliver først Juridisk Kontrol i Region Midtjylland og herefter HR adviseret.

For at svare på min egne spørgsmål vedr. adgange i USA - fra rapporten:

"Risiko 10.1: Overladelse af personoplysninger til tredjelande Supportmedarbejdere hos EPIC i England og USA har adgang til personoplysninger på patienter og ansatte i Sundhedsplatformens produktionsmiljø. At der i USA, som databeskyttelsesretligt udgør et tredjeland, er skabt adgang til personoplysninger vedrørende danske patienter og ansatte udgør i sig selv en risiko. Grundlaget for overførsel af personoplysninger til EPIC i USA er EU- Kommissionens Standard Contractual Clauses for overførsel af oplysninger fra en dataansvarlig i EU (hhv. Region Hovedstaden og Region Sjælland) til en databehandler i et ikke-sikkert tredjeland (EPIC i USA) (bilag 18 til aftalen med EPIC). Det fremgår af aftalens tillæg 1, at EPIC (dataimportøren) i forbindelse med implementerings-, vedligeholdelses- og supportydelser vil have adgang til relevante personoplysninger, uden at dette er nærmere konkretiseret. Det fremgår videre af aftalens tillæg 2, litra b, at EPIC’s medarbejdere bl.a. kan tilgå hhv. Region Hovedstadens og Region Sjællands systemer via en site-to-site VPN. Der er tale om et meget vagt formuleret overførselsgrundlag, som skal konkretiseres yderligere i praksis, og som ikke giver EPIC en ubetinget adgang til Sundhedsplatformen. I forbindelse med gennemførelse af nærværende DPIA har det ikke været muligt de facto at kontrollere, om EPIC’s adgange er nærmere konkretiseret i forhold til adgang til de enkelte miljøer (efter det oplyste pågår et arbejde med beskrivelse af procedurer for tildeling af adgange for EPIC medarbejdere), og om EPIC overholder de betingelser for overførslen, som er fastsat i Standard Contractual Clauses (bilag 18, tillæg 2). I den forbindelse skal det understreges, at den revisionserklæring, som er udarbejdet vedr. EPIC, ikke har været en del af nærværende DPIA, hvorfor det ikke har været muligt at inddrage forhold herfra."(beklager at formatteringen er røget i kopieringstrinet).https://webcache.googleusercontent.com/search?q=cache%3A8pFuSlkz_LMJ%3Ahttps%3A%2F%2Fwww.regionh.dk%2FDocuments%2FDPIA%25202018%2520Sundhedsplatformen.pdf%20&cd=1&hl=da&ct=clnk&gl=dk&fbclid=IwAR0ciuFORqud7f-MckvqQ-ml1_pJyZOW4pZjnZ48KklqHwJFYkQX5euXwk4

Så bemærk manglende konkretisering af overførselsgrundlag, og man har ikke de facto kunnet kontrollere, om konkretisering findes andre steder, eller om Epic overholder betingelserne. Og regionen er først nu (utroligt) i gang med nærmere beskrivelser. Så selv i denne i forvejen bekymrende rapport er der kæmpe huller, som handler om, at man ser ud til primært at have kigget på aftaler og kontrakter - ikke på, hvordan det udspiller sig i praksis - hverken herhjemme eller i USA. Overholdes de (mangelfulde) aftaler, som er indgået? Ingen ser ud til at ane det, sådan som jeg læser disse afsnit. Så reelt har man vel faktisk ikke kontrolleret datasikkerheden - kun papirarbejdet - som så er meget mangelfuldt?

Og det er vel noget af det, firmaer og institutioner opnår ved at lægge disse funktioner og systemer langt væk i udlandet (ud over spændende rejser til ledelsen) - at risikoen for, at nogen faktisk bevæger sig til åstedet for at kontrollere sikkerheden, er lig nul.

Meget bekymrende...

Sagsomkostninger plejer at være mange tusinde i Danmark. Det er svært at gennemskue artiklen på JV om retten har troet på lægens forklaring om at det var fordi de var tidl. patienter hos hende at hun ville se om deres journaler var afsluttet rigtigt; så er det jo en væsentlig formildende omstændighed (hvis det ikke er for at snage). Men det kan jo også være en utroværdig forklaring - en efterrationalisering.

Tak, Mogens Lysemose. Det er jo til fuldstændigt til grin - en skandale i sig selv. Gad vide, hvad straframmen er? Lad os håbe, at sagsomkostningerne i det mindste har været tårnhøje. Ellers er det jo en invitation til at gøre det igen - også for andre.

Jeg har fundet lidt detaljer om sagen med bøden på 250kr:

https://www.jv.dk/esbjerg/Speciallaege-doemt-for-at-kigge-i-ansattes-oplysninger/artikel/2492237

Dommen lød på en bøde på 250 kroner, og så skal hun også betale for sagens omkostninger.

Ja Der står 250 kr i bøde!

Ja Der står 250 kr i bøde! Jeg ved selvfølgelig ikke om Politiken har fejlciteret dommen. Det håber jeg da.

Måske skal “hjul og stejle” genindføres ?

Tænker bare ovenstående eksempler.

i 2017 blev en speciallæge idømt en bøde på 250 kroner i Retten i Esbjerg (...)

Politiken har i dag en artikel som viser man heller ikke kan have blind tillid til sundhedspersonale:

https://politiken.dk/indland/art7266472/%C2%BBJeg-ved-at-der-er-nogle-der-logger-ind-og-kigger-p%C3%A5-operationsprogrammet-for-at-finde-kendte-mennesker%C2%AB

Udvalgte uddrag:

For to år siden henvendte en kvinde sig til gynækologisk afdeling på Herlev Hospital.
Den tidligere patient ønskede at få slettet et journalnotat, som beskrev, at hun var seksuelt aktiv. Et familiemedlem havde på den ene eller anden måde set informationerne i hendes journal, hvilket havde givet anledning til store problemer hjemme i familien.

»Sladderen går altid på et sygehus. Jeg ved, at der er nogle, der logger ind og kigger på operationsprogrammet for at finde kendte mennesker«, siger Gunnar Lose [ *pensioneret professor emeritus og overlæge på Herlev Hospital *]

i 2017 blev en speciallæge idømt en bøde på 250 kroner i Retten i Esbjerg (...) To sygeplejersker, som havde været ansat i speciallægens praksis, opdagede, at den kvindelige læge uden at spørge om tilladelse havde været på sundhed.dk for at studere deres personlige sundhedsoplysninger.

Region Midtjylland har logvisning</p>
<p>Jeg kan godt (bor i region Midtjylland) se en log på sundhed.dk med hvem der har trukket oplysninger på mig. Og sådan har det, så vidt jeg husker, været noget tid..

Jeg ville ikke forvente du ser det fulde overblik - der er rigtig mange "støtte" systemer rundt omkring sådan en fælles "platform" (e.g. Sundhedsplatformen).

Der er næppe kontrol / logs der dækker på tværs af disse - så du kan måske se en log når nogle har kigget på dine data via "fælles platformen" - men næppe hvis kiggeriet er sket ude i det "originerende system"

Tak for linket til de 14 punkter, her er mine "favoritter" ud over nr 1 ( manglende systematisk kontrol for misbrug af rettigheder) som har stjålet al fokus:

3: 152 Epic-medarbejdere havde i august 2018 adgang til personoplysninger om danske patienter. Det indebærer en risiko, hvis it-medarbejdere, som ikke har behov for adgangen, stadig kan tilgå oplysningerne.</p>
<p>10: Medarbejdere på hospitalerne kan få adgang til personoplysninger, som ikke er omfattet af deres autorisation.</p>
<p>12: Et sikkerhedsbrud vil kunne kompromittere følsomme helbredsoplysninger for op mod 2,5 millioner borgere.</p>
<p>14: Herudover er der yderligere en risiko, som Region Hovedstaden har valgt at hemmeligholde i aktindsigten.

Nr. 14 er jo ren Homér: "Det var så skrækkeligt at jeg ikke kan fortælle om det!"

Så vidt jeg husker, så har log funktionaliteten været en del af sundhed.dk fra starten af, og skal ses som del af sikkerheden. Det giver en mulighed for at melde tilbage om det, som ser underligt ud, og det kan være et værdifuldt supplement til de interne kontroller.

Oprindeligt var tanken, at man stikprøvevist ville kontakte brugere og bede dem bekræfte, at de kunne genkende indholdet i logning. Tanken var, at det ikke så er mange, som finder ind på sundhed.dk og at der er et betydeligt element af selvudvælgelse (det er langt fra alle slags borgere, som kommer forbi sundhed.dk). Den del blev svjv. desværre hurtigt fravalgt.

Svjv. så indeholder loggen på sundhed.dk dog kun de logninger, som de bagvedliggende systemer synes at de vil dele. Det er langtfra alle systemer, som mener at det er vigtigt at dele med sundhed.dk, og det er ikke nødvendigvist alt, som bliver delt (det er givetvis også et trade-off, jo mere der deles, jo større chance for at noget går galt).

Derfor kan man - ligesom i andre sammenhænge - ikke konkludere noget udfra fraværet af registreringer, men burde kunne fæstne rimelig lid til de registreringer, som trods alt er der.

men jeg synes det klart mest foruroligende er at en af truslerne selv er hemmelig;

Jeg undrer mig også over, at man har været nødt til at bestille en rapport udefra for at afdække de nævnte risici. De er jo en følge af de kontrakter, man selv har underskrevet, og de procedurer, man selv har iværksat - så hvordan kan det komme som en overraskelse? Igen er jeg målløs. Ved man virkeligt ikke, hvad man selv laver? Har man ikke selv eksperter ansat, som ville kunne gennemskue disse risici? Det er da i så fald yderst betændt. Eller er det - det frygter jeg - bevidst fordækt spil? I så fald er rapporten bare endnu et forhalingstiltag - nu kan man så lade som om, man først lige har fået peget på disse risici, og at det derfor tager tid at udbedre dem. På trods af, at Version2 har peget på disse ting utallige gange efterhånden. Jeg fatter ikke, hvad der foregår.

Et af problemerne er i følge diverse artikler og rapporten, at man har lavet en EU-kontrakt for usikre 3. lande. og nu siger man så, at GDPR har påført regionen nye krav, som man nu må til at indarbejde i kontrakten.

1: Man har nu i årevis vidst, at GDPR ville medføre disse krav - så hvorfor er man først nu igang med at tage højde for dem?

2: Bl.a. her på siden er der gentagne gange peget på det problem - så hvorfor er det en nyhed for regionen?

3: Jeg gætter på, at en grund til, at det tager tid (hvis det ikke bare er forhaling), er, at Epic vel ikke har nogen interesse i at lade regionen slippe af krogen, hvis de allerede har en mere gunstig kontrakt? I så fald er der vel sejtrækkeri i gang omkring, hvad det skal koste regionen at stramme op på kravene i kontrakten? Mon det er indregnet i busines casen, at der sandsynligvis kommer en stor ekstraudgift - løbende fremover - oven i det allerede aftalte? Garanteret ikke!

4: En ting er, at man har underskrevet en dårlig kontrakt vedr. usikre 3. lande - men fra aktindsigt har jeg indtryk af, at man derudover har underskrevet tillæg til kontrakten, som giver Epic yderligere margen ift. rimelige sikkerhedskrav - altså at man yderligere har undermineret den i forvejen utilstrækkelige kontrakt vedr. usikre 3. lande. F.eks. har man udtrykkeligt givet Epic tilladelse til at lade medarbejderne tilgå systemerne fra "ad-hoc-arbedjssteder", dvs. udenfor regionen. Regionen har i den forbindelse betinget sig ret til, at dette skal foregå ved 2-faktor-login - men det fremgår ikke, om man så faktisk har benyttet denne ret.

Ligeledes har man accepteret, at såfremt en tilsynsmyndighed anmoder om at måtte gøre tilsynsbesøg, så skal regionen forsøge selv at håndtere dette ift. til tilsynsmyndigheden - hvilket for mig lyder som om, man så vidt muligt skal undgå, at tilsynsmyndigheder får adgang til direkte besigtigtigelse hos Epic.

5: Og det fører mig til endnu et punkt: Bech-Bruun har udfærdiget rapporten vedr. kontraktbestemmelser og procedurer - men mit indtryk (kan være forkert) - er, at der stadig ikke er nogen, som faktisk har bevæget sig over til Epic, og besigtiget sikkerhedshåndteringen i praksis? Er der nogen, som ved, om Bech-Bruun har gjort det?

6: Og har Datatilsynet mon heller ikke endnu bevæget sig over Dammen for ved selvsyn at tjekke, om det lidt, der er aftalt (som jo allerede er utilstrækkeligt), så faktisk i det hele taget overholdes? Eller er det stadig på "Vi tror på, hvad de siger"-niveauet?

7: Og så er der det med de talrige underlevererandører, som også har fået tilladelse til at behandle data - og hvor kontrakten giver tilladelse til, at Epic kan mørklægge dele vedr. sikkerhedsbestemmelserne i disse underleverandørkontrakter som forretningshemmeligheder (sådan forstår jeg det i hvert fald - er ikke jurist). Det er for mig at se i givet fald et kæmpe hul i sikkerhedsnettet omkring vore data, da Epic har ret til uden videre at lægge databehandlingen ud til mindst 5 underleverandører i forskellige lande - sandsynligvis på nuværende tidspunkt endnu flere. Er disse underleverandører omfattet af rapporten?

Jeg kan godt (bor i region Midtjylland) se en log på sundhed.dk med hvem der har trukket oplysninger på mig. Og sådan har det, så vidt jeg husker, været noget tid..

Advokatrapporten afdækker iflg. Politiken 14 trusler mod fortroligholdelsen af persondataoplysningen.

Der er efterhånden ikke så meget der kan overraske, men jeg synes det klart mest foruroligende er at en af truslerne selv er hemmelig; regionen har undtaget den fra aktindsigten!

Alert - betalingsmur:https://politiken.dk/indland/art7267583/Her-er-Sundhedsplatformens-14-største-trusler-mod-privatlivet-plus-en-hemmelig