Tyndbenet kontrol med snageopslag på patientdata i Region H

Advokatrapport afslører, at kontrollen i Region Hovedstaden med ansattes mulige uberettigede opslag er meget sporatisk og i øvrigt manuel. I flere andre regioner foregår det automatiseret.

Patienter i Region Hovedstaden er i dag dårligt beskyttet mod uretmæssige opslag på deres sundhedsdata fra de ansatte i regionen. Kontrollen med læger, sygeplejerskers og andre ansattes opslag i Sundhedsplatformen er nemlig sporadisk og manuel.

Det fremgår af en databeskyttelsesrapport, som advokatfirmaet Bech-Bruun har udarbejdet, skriver Politiken.

»De største risici i relation til behandling af personoplysninger i Sundhedsplatformen er centreret omkring Region Hovedstadens gennemgang af loggen via stikprøver«, skriver advokatfirmaet ifølge Politiken.

Den manuelle kontrol vil sige, at alle hospitalsafdelinger i løbet af et år udfører én stikprøvekontrol. Her udvælges 10 brugere per afdeling over en periode på syv dage til kontrol.

Uberettigede opslag sker. I april kunne bl.a. Aarhus Stiftstidende fortælle, at 50 sager om uberettigede opslag i borgeres medicinforbrug er sendt videre til politiet i årene 2014-2018. Opslagene var sket i det Fælles Medicinkort, som giver sundhedspersonale adgang til oplysninger om borgeres medicin og vaccinationer.

Automatiseret kontrol i flere regioner

Den manuelle og sporadiske kontrol står i modsætning til Region Midtjylland, som har indført en systematisk kontrol af medarbejdernes opslag i sundheds-it systemet MIDT-EPJ.

Det beskev Version2's søstermedie DigiTech i januar.

Helt overordnet screener systemet, om der er en sammenhæng mellem patienten, der er søgt på, og så den medarbejder, der har søgt i it-systemet.

»Hvis systemet ikke kan finde en behandlerrelation på afdelingen mellem medarbejderen, der har slået op, og den person, der er slået op på, vil opslaget blive sendt til videre foranstaltning hos HR,« oplyste Lena Danvøgg, juridisk specialkonsulent i Region Midtjylland, i en mail til DigiTech.

Screeningen indebærer altså, at hvis en medarbejder f.eks. slår op på et familiemedlem, sig selv eller en nabo, uden at der er tale om aktuel behandling, så bliver først Juridisk Kontrol i Region Midtjylland og herefter HR adviseret.

HR er ansvarlig for håndteringen af det videre forløb efter almindelige personaleretlige principper.

Efter undersøgelsen skal HR melde tilbage til Juridisk Kontor, der indberetter mulige sikkerhedsbrud til Datatilsynet.

Også Region Sjælland har ifølge Politiken indført automatiseret overvågning af opslag på sundhedsdata.

Region Hovedstaden forventer at indføre et kontrolsystem som i naboregionen i løbet af efteråret.

Egenkontrol med opslag haltede

Udover en central og automatisk overvågning af opslag kræver Sundhedsloven også, at patienterne skal have adgang til at selv at kontrollere i en log, hvem der har slået op i deres digitale journal, samt hvornår opslaget af sket.

I april sidste år kunne Version2 dog oplyse, at kun to ud af fem danske regioner har indført denne mulighed, nemlig Region Sjælland og Region Hovedstaden, som følge af, at denne funktion findes i Sundhedsplatformen. Om flere regioner er kommet på siden april sidste år, er ikke oplyst.

På sundhed.dk kan borgere også selv se, hvem der har haft adgang til deres sundhedsoplysninger.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Jacobsen

Advokatrapporten afdækker iflg. Politiken 14 trusler mod fortroligholdelsen af persondataoplysningen.

Der er efterhånden ikke så meget der kan overraske, men jeg synes det klart mest foruroligende er at en af truslerne selv er hemmelig; regionen har undtaget den fra aktindsigten!

Alert - betalingsmur:
https://politiken.dk/indland/art7267583/Her-er-Sundhedsplatformens-14-st...

  • 7
  • 0
Anne-Marie Krogsbøll

men jeg synes det klart mest foruroligende er at en af truslerne selv er hemmelig;


Ja, det er helt grotesk. Man må vel formode, at det så er den mest alvorlige risiko, vi ikke har lov til at se? Gad vide, hvad den går ud på?

Jeg undrer mig også over, at man har været nødt til at bestille en rapport udefra for at afdække de nævnte risici. De er jo en følge af de kontrakter, man selv har underskrevet, og de procedurer, man selv har iværksat - så hvordan kan det komme som en overraskelse? Igen er jeg målløs. Ved man virkeligt ikke, hvad man selv laver? Har man ikke selv eksperter ansat, som ville kunne gennemskue disse risici? Det er da i så fald yderst betændt. Eller er det - det frygter jeg - bevidst fordækt spil? I så fald er rapporten bare endnu et forhalingstiltag - nu kan man så lade som om, man først lige har fået peget på disse risici, og at det derfor tager tid at udbedre dem. På trods af, at Version2 har peget på disse ting utallige gange efterhånden. Jeg fatter ikke, hvad der foregår.

Et af problemerne er i følge diverse artikler og rapporten, at man har lavet en EU-kontrakt for usikre 3. lande. og nu siger man så, at GDPR har påført regionen nye krav, som man nu må til at indarbejde i kontrakten.

1: Man har nu i årevis vidst, at GDPR ville medføre disse krav - så hvorfor er man først nu igang med at tage højde for dem?

2: Bl.a. her på siden er der gentagne gange peget på det problem - så hvorfor er det en nyhed for regionen?

3: Jeg gætter på, at en grund til, at det tager tid (hvis det ikke bare er forhaling), er, at Epic vel ikke har nogen interesse i at lade regionen slippe af krogen, hvis de allerede har en mere gunstig kontrakt? I så fald er der vel sejtrækkeri i gang omkring, hvad det skal koste regionen at stramme op på kravene i kontrakten? Mon det er indregnet i busines casen, at der sandsynligvis kommer en stor ekstraudgift - løbende fremover - oven i det allerede aftalte? Garanteret ikke!

4: En ting er, at man har underskrevet en dårlig kontrakt vedr. usikre 3. lande - men fra aktindsigt har jeg indtryk af, at man derudover har underskrevet tillæg til kontrakten, som giver Epic yderligere margen ift. rimelige sikkerhedskrav - altså at man yderligere har undermineret den i forvejen utilstrækkelige kontrakt vedr. usikre 3. lande. F.eks. har man udtrykkeligt givet Epic tilladelse til at lade medarbejderne tilgå systemerne fra "ad-hoc-arbedjssteder", dvs. udenfor regionen. Regionen har i den forbindelse betinget sig ret til, at dette skal foregå ved 2-faktor-login - men det fremgår ikke, om man så faktisk har benyttet denne ret.

Ligeledes har man accepteret, at såfremt en tilsynsmyndighed anmoder om at måtte gøre tilsynsbesøg, så skal regionen forsøge selv at håndtere dette ift. til tilsynsmyndigheden - hvilket for mig lyder som om, man så vidt muligt skal undgå, at tilsynsmyndigheder får adgang til direkte besigtigtigelse hos Epic.

5: Og det fører mig til endnu et punkt: Bech-Bruun har udfærdiget rapporten vedr. kontraktbestemmelser og procedurer - men mit indtryk (kan være forkert) - er, at der stadig ikke er nogen, som faktisk har bevæget sig over til Epic, og besigtiget sikkerhedshåndteringen i praksis? Er der nogen, som ved, om Bech-Bruun har gjort det?

6: Og har Datatilsynet mon heller ikke endnu bevæget sig over Dammen for ved selvsyn at tjekke, om det lidt, der er aftalt (som jo allerede er utilstrækkeligt), så faktisk i det hele taget overholdes? Eller er det stadig på "Vi tror på, hvad de siger"-niveauet?

7: Og så er der det med de talrige underlevererandører, som også har fået tilladelse til at behandle data - og hvor kontrakten giver tilladelse til, at Epic kan mørklægge dele vedr. sikkerhedsbestemmelserne i disse underleverandørkontrakter som forretningshemmeligheder (sådan forstår jeg det i hvert fald - er ikke jurist). Det er for mig at se i givet fald et kæmpe hul i sikkerhedsnettet omkring vore data, da Epic har ret til uden videre at lægge databehandlingen ud til mindst 5 underleverandører i forskellige lande - sandsynligvis på nuværende tidspunkt endnu flere. Er disse underleverandører omfattet af rapporten?

  • 3
  • 0
Bjarne Nielsen

Så vidt jeg husker, så har log funktionaliteten været en del af sundhed.dk fra starten af, og skal ses som del af sikkerheden. Det giver en mulighed for at melde tilbage om det, som ser underligt ud, og det kan være et værdifuldt supplement til de interne kontroller.

Oprindeligt var tanken, at man stikprøvevist ville kontakte brugere og bede dem bekræfte, at de kunne genkende indholdet i logning. Tanken var, at det ikke så er mange, som finder ind på sundhed.dk og at der er et betydeligt element af selvudvælgelse (det er langt fra alle slags borgere, som kommer forbi sundhed.dk). Den del blev svjv. desværre hurtigt fravalgt.

Svjv. så indeholder loggen på sundhed.dk dog kun de logninger, som de bagvedliggende systemer synes at de vil dele. Det er langtfra alle systemer, som mener at det er vigtigt at dele med sundhed.dk, og det er ikke nødvendigvist alt, som bliver delt (det er givetvis også et trade-off, jo mere der deles, jo større chance for at noget går galt).

Derfor kan man - ligesom i andre sammenhænge - ikke konkludere noget udfra fraværet af registreringer, men burde kunne fæstne rimelig lid til de registreringer, som trods alt er der.

  • 5
  • 0
Mogens Lysemose

Tak for linket til de 14 punkter, her er mine "favoritter" ud over nr 1 ( manglende systematisk kontrol for misbrug af rettigheder) som har stjålet al fokus:

3: 152 Epic-medarbejdere havde i august 2018 adgang til personoplysninger om danske patienter. Det indebærer en risiko, hvis it-medarbejdere, som ikke har behov for adgangen, stadig kan tilgå oplysningerne.

10: Medarbejdere på hospitalerne kan få adgang til personoplysninger, som ikke er omfattet af deres autorisation.

12: Et sikkerhedsbrud vil kunne kompromittere følsomme helbredsoplysninger for op mod 2,5 millioner borgere.

14: Herudover er der yderligere en risiko, som Region Hovedstaden har valgt at hemmeligholde i aktindsigten.

Nr. 14 er jo ren Homér: "Det var så skrækkeligt at jeg ikke kan fortælle om det!"

  • 9
  • 0
Kim Henriksen

Region Midtjylland har logvisning

Jeg kan godt (bor i region Midtjylland) se en log på sundhed.dk med hvem der har trukket oplysninger på mig. Og sådan har det, så vidt jeg husker, været noget tid..

Jeg ville ikke forvente du ser det fulde overblik - der er rigtig mange "støtte" systemer rundt omkring sådan en fælles "platform" (e.g. Sundhedsplatformen).

Der er næppe kontrol / logs der dækker på tværs af disse - så du kan måske se en log når nogle har kigget på dine data via "fælles platformen" - men næppe hvis kiggeriet er sket ude i det "originerende system"

  • 6
  • 0
Mogens Lysemose

Politiken har i dag en artikel som viser man heller ikke kan have blind tillid til sundhedspersonale:

https://politiken.dk/indland/art7266472/%C2%BBJeg-ved-at-der-er-nogle-de...

Udvalgte uddrag:

For to år siden henvendte en kvinde sig til gynækologisk afdeling på Herlev Hospital.
Den tidligere patient ønskede at få slettet et journalnotat, som beskrev, at hun var seksuelt aktiv. Et familiemedlem havde på den ene eller anden måde set informationerne i hendes journal, hvilket havde givet anledning til store problemer hjemme i familien.

»Sladderen går altid på et sygehus. Jeg ved, at der er nogle, der logger ind og kigger på operationsprogrammet for at finde kendte mennesker«, siger Gunnar Lose [ *pensioneret professor emeritus og overlæge på Herlev Hospital *]

i 2017 blev en speciallæge idømt en bøde på 250 kroner i Retten i Esbjerg (...) To sygeplejersker, som havde været ansat i speciallægens praksis, opdagede, at den kvindelige læge uden at spørge om tilladelse havde været på sundhed.dk for at studere deres personlige sundhedsoplysninger.

  • 6
  • 0
Mogens Lysemose

Sagsomkostninger plejer at være mange tusinde i Danmark.
Det er svært at gennemskue artiklen på JV om retten har troet på lægens forklaring om at det var fordi de var tidl. patienter hos hende at hun ville se om deres journaler var afsluttet rigtigt; så er det jo en væsentlig formildende omstændighed (hvis det ikke er for at snage). Men det kan jo også være en utroværdig forklaring - en efterrationalisering.

  • 6
  • 0
Anne-Marie Krogsbøll

For at svare på min egne spørgsmål vedr. adgange i USA -
fra rapporten:

"Risiko 10.1: Overladelse af personoplysninger til tredjelande
Supportmedarbejdere hos EPIC i England og USA har adgang til personoplysninger på patienter og ansatte i Sundhedsplatformens produktionsmiljø. At der i USA, som databeskyttelsesretligt udgør et tredjeland, er skabt adgang til personoplysninger vedrørende danske patienter og ansatte udgør i sig selv en risiko.
Grundlaget for overførsel af personoplysninger til EPIC i USA er EU-
Kommissionens Standard Contractual Clauses for overførsel af oplysninger fra en dataansvarlig i EU (hhv. Region Hovedstaden og Region Sjælland) til en databehandler i et ikke-sikkert tredjeland (EPIC i USA) (bilag 18 til aftalen med EPIC). Det fremgår af aftalens tillæg 1, at EPIC (dataimportøren) i forbindelse med implementerings-, vedligeholdelses- og supportydelser vil have adgang til relevante personoplysninger, uden at dette er nærmere konkretiseret. Det fremgår videre af aftalens tillæg 2, litra b, at EPIC’s medarbejdere bl.a. kan tilgå hhv. Region Hovedstadens og Region Sjællands systemer via en site-to-site VPN.
Der er tale om et meget vagt formuleret overførselsgrundlag, som skal konkretiseres yderligere i praksis, og som ikke giver EPIC en ubetinget adgang til Sundhedsplatformen. I forbindelse med gennemførelse af nærværende DPIA har det ikke været muligt de facto at kontrollere, om EPIC’s adgange er nærmere konkretiseret i forhold til adgang til de enkelte miljøer (efter det oplyste pågår et arbejde med beskrivelse af procedurer for tildeling af adgange for EPIC medarbejdere), og
om EPIC overholder de betingelser for overførslen, som er fastsat i Standard Contractual Clauses (bilag 18, tillæg 2). I den forbindelse skal det understreges, at den revisionserklæring, som er udarbejdet vedr. EPIC, ikke har været en del af nærværende DPIA, hvorfor det ikke har været muligt at inddrage forhold herfra."

(beklager at formatteringen er røget i kopieringstrinet).
https://webcache.googleusercontent.com/search?q=cache%3A8pFuSlkz_LMJ%3Ah...

Så bemærk manglende konkretisering af overførselsgrundlag, og man har ikke de facto kunnet kontrollere, om konkretisering findes andre steder, eller om Epic overholder betingelserne. Og regionen er først nu (utroligt) i gang med nærmere beskrivelser. Så selv i denne i forvejen bekymrende rapport er der kæmpe huller, som handler om, at man ser ud til primært at have kigget på aftaler og kontrakter - ikke på, hvordan det udspiller sig i praksis - hverken herhjemme eller i USA. Overholdes de (mangelfulde) aftaler, som er indgået? Ingen ser ud til at ane det, sådan som jeg læser disse afsnit. Så reelt har man vel faktisk ikke kontrolleret datasikkerheden - kun papirarbejdet - som så er meget mangelfuldt?

Og det er vel noget af det, firmaer og institutioner opnår ved at lægge disse funktioner og systemer langt væk i udlandet (ud over spændende rejser til ledelsen) - at risikoen for, at nogen faktisk bevæger sig til åstedet for at kontrollere sikkerheden, er lig nul.

Meget bekymrende...

  • 2
  • 0
Martin Rasmussen

Screeningen indebærer altså, at hvis en medarbejder f.eks. slår op på et familiemedlem, sig selv eller en nabo, uden at der er tale om aktuel behandling, så bliver først Juridisk Kontrol i Region Midtjylland og herefter HR adviseret.

Nogen der kan kaste lys på hvorfor en medarbejder ikke må kigge på sig selv?
Er det fordi der kan stå psykologiske profiler, patienten/medarbejderen ikke må vide, og i så fald hvorfor?

  • 1
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize