Princesser imod EPJ

En af sideeffekterne ved EPJ systemer, er at VIP'ers helseoplysninger vil ligge åbne for skandalepressen.

Jo, jo, jeg har da læst om disciplinærsanktioner til dem der kigger på patienter de ikke har i behandling, men er straffene hårde nok til, at skandalepressen ikke kan give et bedre tilbud ?

Det er ikke et teoretisk problem.

53 medarbejder på UCLA's hospital er blevet straffet for uretmæssigt at læse Britney Spears journal.

Der var ingen af de 14 (!) læger der blev fyret, mens folk længere nede i systemet blev hældt ud af døren.

Forskellen skyldes at lægernes forseelser bliver bedømt af et nævn af læger, mens personaleafdelingen tager sig af alle de andre.

Med den lægemangel vi har i Danmark idag, er der ingen grund til at tro at situationen vil være væsentligt anderledes her.

Det bliver ikke bedre af, at Sundhedsstyrelsen anslår at er ca. 1000 danske læger der er ude i misbrug af en eller anden art.

Vores 1½ princesser kan umuligt være glade for EPJ.

phk

Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Lasse Nielsen

Hvis en patient, fx, kommer ind på skadestuen, så har den modtagende læge jo brug for journalen, og ret til at se den (han behandler jo faktisk patienten). Hvis patientent endda giver mundtligt samtykke, så må lægen se hele journalen.

Det er der ingen automatik der kan tjekke, for systemet ved jo ikke om patienten faktisk ligger der og bløder. Altså skal lægen kunne se journalen, blot ved at fortælle systemet at han har ret til det. Det eneste man kan gøre er at logge dette, og håndtere uretmæssig adgang administrativt.

Det vigtige er at have et kontrol-system der tjekker op på adgang til journaler, og klare retningslinjer for hvordan overtrædelser behandles. Og kontrollen skal ikke kun være at patienten selv kan se hvem der har kigget i journalen, som det allerede er planen.

/L

  • 0
  • 0
#3 Poul-Henning Kamp Blogger

Den kontrol kommer til at findes, som vi har set, for udvalgte tragikomiske heltinder, men for almindelige mennesker bliver der i praksis ingen kontrol, for hvordan skal man lave kontrollen ?

Skal man ringe til patienten og spøge om han har været behandlet af en læge der hed N.N ?

Hvor mange patienter kan lige svare på det ?

Poul-Henning

  • 0
  • 0
#6 Erik Cederstrand

Selvfølgelig skal der være mulighed for adgang uden samtykke, som Lasse skriver. 100% kontrol og samtykke vil koste menneskeliv. Det bedste man kan gøre er at logge adgangen og gøre den tilgængelig for patienten. En forudsætning er dog, at EPJ systemerne fungerer så tilfredsstillende, at læger ikke på grund af lange svartider osv. fristes til at bruge hinandens logins.

Samtidig må kulturen på sygehusene ændres, så personalet respekterer patienternes rettigheder. Artiklen om Britney Spears vidner om en kultur, hvor det er helt i orden at snage i uvedkommendes journaler. Det dukker til tider også op i DK, f.eks. politifolk som disciplineres for uretmæssigt at læse i straffeattester.

Man kan drage paralleller mellem sygehusenes og Skat. Sygehuset kan lave statistiske analyser af loggen for at finde mistænkelig adfærd. Er der en ansat, som har væsentligt flere opslag end andre? Som har lavet opslag udenfor arbejdstid? Udenfor patientens indskrivningsperiode? Desuden kan man tage stikprøver. Og ligesom hos Skat må patienten have et ansvar for at se loggen igennem og se, om det ser rimeligt ud.

  • 0
  • 0
#7 Morten Olsen

Baade sundhedsstyrelsen i dk og HIPPA i USA kraever mulighed for "emergency override", saaledes at man kan se alle oplysninger om alle patienter. Det gaelder ikke kun laeger, men ogsaa radiografer, sygeplejersker osv. der maaske har brug for at se cave information osv. Det skal logges naar det sker (DICOM supplement 95 "Security Alert" og rfc 3881 hvis man er virkelig interesseret! :) Forudsat at der overhovedet er opsat restriktioner, saa vil de i danmark nok aldrig vaere mere end paa afdelingsniveau.

Men det er altsammen mere eller mindre ligegyldigt, for i den virkelige verden logger man ind med en "faellesbruger" med kodeordet placeret strategisk med en post-it paa skaermen. Isaer hvis IT-systemet er saa uheldigt indrettet at det er baseret paa windows login. Det er heldigvis lang tid siden jeg selv har brugt det, saadan et domaene-logon kan vel snildt tage en halv formiddag.

Eller man har patient administrations systemer hvor kodeordet er brugerens CPR-nummer...

  • 0
  • 0
#8 Christian Schmidt Blogger

"Hvem præcis er det der skal indtaste at en stresset yngre læge i den sidste time af en 16 timers vagt har tilset følgende 21 patienter på skadestuen ?"

En lægesekretær, velsagtens?

Jeg vil tro, at hospitalet har rimelig godt styr på, hvilke patienter der er indlagt på en given afdeling, samt hvilke læger der er tilknyttet denne afdeling.

  • 0
  • 0
#9 Poul-Henning Kamp Blogger

Erik skriver:

"Selvfølgelig skal der være mulighed for adgang uden samtykke, som Lasse skriver. 100% kontrol og samtykke vil koste menneskeliv."

For den gennemsnitlige danske borger, er det en ok holdning at have, men for en "offentlig person", som f.eks en kongelig, en minister eller blot en eller anden poptøs, skal der kun en fejlagtig adgang til, så er historien plastret ud på forsiden af et eller andet skandaleblad.

Det samme sker ikke for tømrer mortensen der har ramt fingeren.

Hvordan vil man sikre at særligt udsatte personer beskyttes ?

Burde de have et database flag så det kun er overlæger der kan få adgang ?

Poul-Henning

  • 0
  • 0
#10 Anonym

PHK. Her agerer du vist letsindigt med patienters følsomme data. VIP-problemet er kun et lille af mange problemer relateret til EPJ-sikkerhed. Alene den økonomiske værdi er betragtelig.

Samtidig er det for tyndt at udstille brugerne som den primære sikkerhedsrisiko, når man efterlader data helt usikrede poå serverne og føder dem til højre og venstre.

Selvfølgelig er der behov for løsninger for adgang til patientens data, når vedkommende selv er ude af stand til at lukke op og det klart er i vedkommende interesse. Det er i patientens interesse og det har vi heldigvis modeller til i dag - jeg fremlagde selv en sådan på SHI2007 baseret på at deponere en digital nøgle fysisk på patienten selv.

Problemet er jo at sikkerheden omkring EPJ ryger hvis kontrollen over data ikke ligger hos patienten selv. Listen over interesser i at udnytte patienters data er lang og misbruget nærmest evident, dvs. håndteringen af emergency problemet er forudsætningen for overhovedet at kunne sikre EPJ.

Desværre er holdningen til sikkerhed omkring EPJ mildt sagt lemfældig og tages alt for let. Man kan jo blot studere L50B fa sidste år, hvor man på samme tid fjerner sikkerhedskravene, retssikkerheden og samtidig sikrer den planøkonomiske ineffektivisering fortsætter ved at umynddiggøre patienten selv omkring egne data.

PHK spørger "Hvordan skal vi sikre at særligt udsatte personer beskyttes"?

Svaret er - det skal vi ikke anderledes end alle andre. Vi skal sikre alle og herunder gøre det grænsende til umuligt at udpege EPJ for "særligr udsatte personer".

Man kan ikke teknisk beskytte mod at personale som er direkte involveret i behandlingen ringer til Se og Hør, men kan kan lukke af for den letsindige omgang med patientdata i sundhedssektoren it-udvikling, så man isolerer det overskuelige problem til dem som er direkte involveret.

Det problematiske er at den viden er kendt f.eks. som behandlet i Teknologirådets RTT 186, men alligevel ser vi debat som den ovenstående som springer over hvor gærdet er alt for lavt.

Jeg hørte for nylig en interessant statestik i denne sammenhæng - ca. 40% af al adgang til norske EPJ skulle ske via emergency override.

  • 0
  • 0
#11 Morten Nissen

Har svært ved at se at det er et EPJ problem, i dag har de en tavshedspligt, og det har de også hvis de læser det fra EPJ. De personer der kan fristes af Sex & Hor til at lække EPJ oplysninger, ville også uden EPJ over tid alligevel komme i besiddelse af nogle oplysninger som kunne sælges. Ikke at man skal ignorer problemet, man skal bare huske at det ikke er et problem EPJ introducere.

  • 0
  • 0
#12 Anonym

Morten

Vi er enige. De færreste direkte involveret i behandlingen ville kompromitere deres egen patient.

Men problemet er den generelle ringe sikkerhed omkring ERJ - som her ved at tro at det kan håndteres med "tavshedspligt", overvågning og noget primit rolle-baseret adgangskontrol - fordi man risikerer at tabe enorme investeringer på bulvet ved at bygge dem på lerfødder så de hverken kan sikres eller gøre tilgængelige.

De ansvarlige omkring specielt it-udviklingen er meget hurtige til at dæmonisere brugeren og dekretere mere overvågning, men glemmer at det er dem selv der begår fejlene ved i første omgang at blotlægge databaserne uden reel sikkerhed. De har selv lavet alle bagdørene som nemt kan misbruges.

Her skal man huske at sundheds-it skal distribueres og går langt ud over syehusene. Både med hjemmemedicinering, telemedicin, en bredere sundhedsforståelsen indeholdende f.eks. hygiejne, kost, genoptræning, løbende monitorering etc. Men endnu vigtigere at mange sundhedsrelaterede spørgsmål skubbes tilbage i livscyklusen tættere på borgeren selv fordi forebyggelse er både billigere, helbredsmæssigt mindre destruktivt og mere effektivt end behandling senere i forløbet. En større del af sundhed vil altså skulle ske ved at patienten bruger egen EPJ og løbende målinger som del af f.eks. indkøb, motion etc.

Prinsesse-problemet er ikke specielt alvorligt - det er blot symptomer på de langt mere alvorlige udnerliggende problemer. Men det har den fordel at de politiske beslutningstager som sidder alt for langt fra virkeligheden kan mærke det tættere på.

Lidt a la pr-eventen med at "stjæle" politikeres fingeraftryk - det synliggør jo bare hvor let det er og sætter fokus på hvor farligt det er at basere sikkerhed på biometri. Startede i Tyskland og fulgt op f.eks. her http://www.privacyinternational.org/article.shtml?cmd%5B347%5D=x-347-561230

Spørgsmålet er så blot hvordan man får it-folkene til at tage sikkehed alvorligt. Der er alt for stor tendens til at reducere sikkerhed til simple aspekter såsom availability, overvågning og så lidt kryptering - hvor man glemmer at det efterlader systemerne helt blotlagte når perimetersikkerheden ryger.

Lektien er ret enkel - hvis de selv kan, så kan de kriminelle også. Dvs. det drejer sig om at få lidt mere selvkritik ind i processen så man slipper ud over disse - "vi kan stole på x"-problemer.

  • 0
  • 0
#15 Anonym

"fra enhver lægepraksis"

Ak, hvis det var var så lidt.

Realiteten er jo at antallet af access points som ville kunne give sådanne adgange er langt større - der vil være masser af administrative, tekniske, forskningsmæssige, service-relatederede adgange til sådanne informationer.

Tænk bare på noget så banalt som at apoteket af en eller anden underlig misforståelse skal have adgang til at koble cpr-nummer på medicinen som skal behandle problemet.

Og det er før vi ser på den mere bevidste kriminelle, kommercielle eller "statslige" override, hvor alene førstnævnte med identity theft, man-in-the-middle, remote-ware etc. nærmest ligger EPJ vidt åben for dem med tilstrækkelig motiv og ressourcer.

Problemet er at vi ikke sikrer "den bløde mellemvare", dvs. alle de reelt sekundære og nød-adgange ved simpelthen at sikre at kun dem med absolut accept af patienten KAN få adgang til at personhenføre EPJ.

Alle andre kan (muligvis afhængig af data og en masse andre forhold) få adgang til pseudonyme data med forskellig grad af granularitet. Vi ved det jo godt fordi det er det man gør med forskningsdata og den samme naturlige logik som lovgivnignen reelt bygger på - men teknikkerne bare glemmer at overstætte til design.

Og det indebærer selvfølgelig IKKE et centralt samtykke register eftersom det blot som et rigtigt Single Point of Trust failure - vil gøre det så meget nemmere at trænge ind - et sådant system skulle jo vedligeholdes og kunne udtrykke den faktiske kompleksitet - 2 simple og håbløse aspekter som man allerede i dag er ude af stand til at håndtere på et hospital.

Som jeg ser det er vi nødt til at vende rundt og erkende at grundproblemet er selve cpr-tankegangen. At mennesker kun har en Identitet som indlejres i alle systemer, verificeres i alle access points og agerer indgang til alle datatabeller, hvorefter man ikke har nogen sikkerhedsmodel mod fejl, angreb, og misbrug.

Beklager at tage den lidt mere komplekse vinkel - men princessproblemet kan og bør ikke løses isoleret.

  • 0
  • 0
#16 Hans Schou

Det bliver helt det samme scenarie som da en politibetjent på Lyngby politistation søgte i efterforskningsregistret for at finde noget om Per Stig Møller. I dette register bliver data ikke slettet efter 5 år, så politibetjenten kunne finde ud af at Per Stig Møller havde en spiritusdom i 1967. Så skrev Pedro fra Ekstrabladet om Per Stig og hvad der skete i 1967, og kilden blev angivet som Frederiksberg lokalavis.

Politibetjenten blev ikke fundet og dømt, da der var tre på arbejde samtidigt og man kunne ikke finde ud af hvem det var. Der var ikke password på, for "det var alt for besværligt" hvis man lige skulle slå noget op for en patruljevogn.

Næste gang skriver Pedro nok om Per Stigs medicinforbrug.

  • 0
  • 0
#17 Henrik Jensen

Jo, jo, jeg har da læst om disciplinærsanktioner til dem der kigger på patienter de ikke har i behandling, men er straffene hårde nok til, at skandalepressen ikke kan give et bedre tilbud ?

Jeg vil bestemt sige nej og det sjove er at når pilen vender den anden vej kan det jo se helt anderledes ud, eller også er det bare fordi at man ikke "værdisætter" de data som den enkelte borger oplyser til det offentlige eller det offentlige opsamler om borgeren, særlig højt.

Da jeg for et par år siden blev sikkerhedsgodkendt til 'Hemmeligt' hos PET i forbindelse med noget konsulentarbejde jeg skulle udføre fra en offentlig instans, der fik jeg samtidigt med godkendelsen lige udleveret et fin sikkerhedsbriefing hvor jeg blev gjort opmærksom på hvilke paragraffer i straffeloven jeg ville overtræde hvis jeg på nogen måde videregav eller på anden vis foranledigede at de oplysninger jeg fik adgang til kunne benyttes af uvedkomne.

Paragrafferne (106,109,110) har strafferamme op til 12/16 år og op til 3 år hvis det er uagtsomt. Det er altså en højere strafferamme end f.eks. voldtægt.

Så her var det altså det offentlige som betroede mig nogle oplysninger efter at PET havde sagt ok for dette, Men når jeg betror det offentlige nogle oplysninger så virker det til at man tager langt lettere på det hvis nogen videregiver disse oplysninger til uvedkomne.

Jeg kan selvfølgelig godt se at i det store billede er oplysninger som er vigtige for statens sikkerhed vigtigere end det enkelte individs oplysninger i f.eks. sundhedsvæsenet. Men principielt synes jeg at det handler om at man kan betro nogle oplysninger til andre og så forvente at de behandler disse data professionelt og sikkert, og er de ikke i stand til dette så må der falde en hård straf.

  • 0
  • 0
#18 Anonym

Omkring EPJ

Din personlige læge og dem som er direkte involeret i behandlingen MÅ KUNNE se EPJ.

Alle andre MP IKKE KUNNE, inkl. sec administrator, PET og hvem der ellers måtte have interesse.

Men ved at pseudonymisere EPJ kan data stadig gøres tilgængelige for administrative og forskningsmæssige formål.

Men ingen tror mere på at persondata kan holdes fortrolige blot fordi en eller anden lov siger man skal - det er blot centraladministrationen som forsøger at skabe illusioenr ved at påstå at det serviceperonalet som udgør truslen mod sikkerheden. Det er det ikke - det er bagdørene, administrratorerne, ministerierne og alle andre som udnytter at data ligger uden sikkerhed i databasen.

Om du så satte strafferamen op til 50 år, så ville ministeriet blot påstå et "værdispring" i datamæssig betydning eller få etableret endnu en undtagelsesregel hver gang de har lyst til adgang. Hele "Adgang til Data" projektet bygger på efterhånden næsten generelle undtagelsesbestemmelser og systematisk registersamkøring.

  • 0
  • 0
#19 Henrik Jensen

Men ingen tror mere på at persondata kan holdes fortrolige blot fordi en eller anden lov siger man skal

Nej der er jo heller ingen der tror på at vi aldrig vil se voldtægter, røverier m.v. fordi at det står i en lov.

Men det skal da ikke betyde at vi så dropper at straffe passende for det.

Når min læge og folk der direkte er involveret i min benhandling MÅ KUNNE se min EPJ som du skriver, så er det vel også fair nok at de får en ordentlig straf hvis de videresælger oplysningerne. På samme måde som jeg ganske sikkert ville have fået en ordentlig straf hvis jeg videresolgte de oplysninger jeg i sin tid fik udleveret som var stemplet som 'Hemmeligt'. Der er jo ingen forskel, det var jo heller ikke oplysninger jeg på nogen måde stjal via bagdøre, undtagelsregler, usikre systemer m.v, det var oplysninger jeg blev betroet.

Det kan godt være at hårde straffe ikke kan forhindre at der sker noget ulovligt, men jeg mener at det er forkert at tro at det slet ikke har nogen effekt. Om ikke andet så kan man jo i det mindste fratage folk retten til at komme i nærheden af sådanne fortrolige oplysninger ingen.

  • 0
  • 0
#20 Anonym

Når min læge og folk der direkte er involveret i min benhandling MÅ KUNNE se min EPJ som du skriver, så er det vel også fair nok at de får en ordentlig straf hvis de videresælger oplysningerne.

Enig, men det er IKKE dem der skaber sikkerhedsproblemerne. I modsætning til standardretorikken i ministerierne som refleksivt behandler de offentligt ansatte som sikkehedsproblemet, så glemmer man at det er it-designet af offentlige services som er kilden.

Data ligger uden sikkerhed i databasen forankret omkring cpr-nummer og med en server-side access kontrol - det er et stort larmende sikkerhedshul. Og det er FØR vi fokuserer på at det er ministeriene som misbruger data ved systematisk at mistænkeliggøre borgerne og indføre stadigt flere rigide kontroller og overvågningsmekanismer samtidig med at de offentlige processer bliver stadigt mindre effektive af al den centrale styring.

Se f.eks. mit inviterede indlæg fra Public Service Summit om Trust & Security i eGovernment http://www.priway.com/docs/trust-in-public-service-20051211.pdf

Pseudonyme Data er MERE værd for ALLE fordi man kan bruge dem uden at bekymer sig om begræsninger, mens kontrollen kan følge behovet og risikoen. De eneste som taber er misbrugerne.

  • 0
  • 0
Log ind eller Opret konto for at kommentere