Your privacy or your life?

Marevan

Det er onsdag aften kl. 18:37. Overlæge Jensen på kirurgisk afdeling er netop kommet fra pause, da hun modtager information om at en ældre, bevidsløs akutpatient er på vej ind med ambulance. Patienten, der via sit sygesikringsbevis identificeres som Martha Hansen på 79, har alvorlige læsioner som følge af en trafikulykke, herunder indre blødninger. Meget tyder på at også milten er skadet og må fjernes.

Patienten beskrives som overvægtig og overlæge Jensen mistænker at denne måske er i behandling med antikoagulerende medicin for at forebygge blodpropper. Mens patienten ankommer til hospitalet, slår Jensen patitentens medicinhistorik op i sit medicinmodul.

It-systemet har ikke nogen registreret relation mellem overlægen og Martha Hansen og informerer om at der kun kan gives akutadgang i henhold til værdispringsreglen, Sundhedslovens §42 a, stk. 5. Systemet skriver desuden, at Jensens aktiviteter vedr. patienten vil blive genstand for særlig registrering og opfølgning.

Overlægen accepterer og får derpå vist fru Hansens medicinhistorik, der bla. viser at hun som mistænkt er i antikoauglationsbehandling med præparatet "Marevan". At foretage en operation vil derfor være risikabelt fordi det måske vil være umuligt at standse blødningen med mindre antikoagulationsbehandlingen neutraliseres.

Da patienten ankommer til operationsstuen, neutraliserer overlægen straks den antikoagulerende behandling og foretager kort efter en succesfuld operation.

Patienten overlever.

Sundhedsloven

Danmark har fået en ny Sundhedslov (lov nr. 431 af 8. maj 2007), der udtaler sig om it-anvendelse i sundhedsvæsenet og elektroniske helbredsoplysninger, og som uden al for megen megen virak trådte i kraft den 1/10-2007.

Den nye lov er på mange måder mere programmørvenlig end den gamle bla. fordi reglerne for hvornår en sundhedsfaglig må indhente oplysninger om en patient er ændret: Før 1/10 krævede det kort fortalt et såkaldt samtykke fra patienten, dvs. en aktiv godkendelse før en læge måtte se en patientjournal. En patient kunne desuden give negativt samtykke til hele eller dele af en journal, et mareridt programmeringsmæssigt men med stærk beskyttelse af persondata.

Efter 1/10 skal en patient aktivt sige fra for at undgå at en sundhedsfaglig må se data. Den sundhedsfaglige skal dog stadig have patienten i behandling før det er tilladt at tilgå patientoplysningerne f.eks. via værdispringsreglen og loven åbner således ikke for et tagselvbord omend den er noget mere lempelig og lettere at it-understøtte.

Adgang til data i sundhedssektoren er en balancegang mellem to hensyn. På den ene side er der patientens krav på at personlig information kun videregives til sundhedspersonale, der retmæssigt må set det. På den anden side står hensynet til patientens liv og førlighed som i eksemplet fra før.

Sundhedsloven prioriterer liv og førlighed over hensynet til privatlivets fred, hvilket i min optik er det eneste rigtige. Det betyder så at vi som it-professionelle i sundhedssektoren skal lægge os i selen for at styrke sikkerheden så behandlere kan få præcis den information de har brug til tiden samtidig med at risikoen for misbrug minimeres.

Det er bare ikke trivielt.

EPJ-systemer er pålagt at logge al adgang til personhenførbare data (hvem, hvad, hvornår, hvorfor). Det er godt, men man må bare ikke bilde sig ind at det er nok at logge. Hvis loggen skal have nogen effekt skal der følges op på den og i særdeleshed når værdispringsreglen og lignende kraftfulde funktioner tages i anvendelse.

Og selvom myndigheden selvfølgelig skal følge op på loggen, hvem er så bedre til det end patienten selv? Sundhedslovens §42 c, stk. 2 bemærker da også at det skal afklares hvordan dette kan blive muligt og af en oversigt over de juridiske rammer for adgangen til EPJ fra Sundhedsstyrelsen i sommer kan man læse at dette skal være afklaret inden udgangen af 2008.

Det ser jeg frem til!

Glædelig jul.

Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anonym

At fremstille L50B op som en gevinst for patienterne er at stikke dem blår i øjnene.

L50B er en af vor tids størst lovgivningskatastrofer og afspejler desværre den desaprate mangel på it-kompetance i det politiske syste, Men desværre rejser det også alvorlige spørgsmålstegn ved ministeriets troværdighed, fordi ministeriets udmeldinger er fyldt med helt banale fejl på sikkerhedsområdet.

Loven fjerner samtykkeretten stort set 100% (du kan kun melde fra på enkeltpersoner) og repræsenterer en groft utilstrækkelig tilgang til sikkerhed (rollebaseret adgangskontrol og logning er undskyldninger i stedet for sikkerhed).

Kommunikationen omkring L50B afslører at man stadig tror at den ofentlige sektor kan betragtes som et stort netværk med en ekstern firewall - den tankegang er håblæst forældet i en verden hvor perimetersikkerheden står for fald og processer går på kryds og tværs af organisatoriske grænser.

At forsøge at skræmme patienterne med at de dør hvis de ikke opgiver datasikkerheden er blot et dårligt forsøg på at skjule det faktum at Ministeriet har villedt FOlketinget i stedet for at tage sig ansvaret alvorligt.

Det er ikke mindre tåbeligt at påstå at man kan effektivisere det komplekse offentlige system fra centralt hold. Se bare på det tidligere Øst-Europa hvor det fører hen.

Loven vil have 3 effekter - et mere ineffektivt offentligt sundshedsssystem. en kraftig underminerering af it-sikkerheden og en stejl rutschebane for retssikkerheden. Formentlig en tilsvarende deroute for tilliden til den offentlige sektor som sådan.

Udmeldinger som denne må nok snarere antages at afspejle en kommercielt forsøg på at tækkes ministeriet end en faglig kompetent vurdering af loven.

En ting er at det politiske system fejler, men det betyder ikke at man skal lægge sikkerheden på et nivau, hvor systemerne vil fejle. Loven er ikke udtryk for at sikkerhed og retssikkerhed kan ignoreres - kun at det politiske system ikke kan følge med.

  • 0
  • 0
#2 Kåre Kjelstrøm

God aften Stephan.

Jeg var begyndt at spekulere på om der slet ikke kom nogen reaktioner på den ellers (synes jeg selv) stærkt provokerende titel.

Det er godt du reagerer, men det er noget skuffende så lidt nyt indhold du bidrager med. Din kommentar er stort set en gentagelse af det du skrev til Lars Roarks blogindlæg om ITSTs SSO (http://www.version2.dk/artikel/3910) fra september.

Er pladen gået i hak?

Hvis du har nogen konstruktive forslag som resten af verden bør høre vil det være en befrielse om du for en gangs skyld skiftede spor.

Kom dog ind i kampen mand.

Og så er jeg for en god ordens skyld bestemt heller ikke begejstret over den slækning i privacy som de nye tilføjelser til sundhedsloven giver. Tværtimod.

I sundhedssektoren kan man som mit indlæg beskriver imidlertid komme i situationer hvor man skal vælge mellem privacy eller førlighed. Indrømmet, casen ovenfor er ekstrem men det er OGSÅ et scenarium der skal kunne håndteres.

Jeg vil personligt allerhelst have en model hvor mine oplysninger kun bliver videregivet hvis jeg har givet tilladelse til det med mindre jeg er ude af stand til at give tilladelsen i en situation hvor mit liv afhænger af hurtig handling.

Hvordan laver man en kombination af it og lovgrundlag der sikrer det?

  • 0
  • 0
#3 Anonym

Kåre.

Eftersom der ikke er rettet op på L50B er der vel ingen grund til at sige så meget andet om den sag. Det er ikke en lovgivning, man kan bygge noget på.

Omkring at "komme ind i kampen". Trist hvis det var en kamp, fordi det vel i så tilfælde måtte betegnes en slags borgerkrig. Hentydning burde vel snarere være rettet mod dem som ignorerer problemerne i stedet for at løse dem !?

Hvis du fulgte lidt med, så ville du vide, at det problem, du taler om - balancen mellem sikkerhed og safety i krisesituationer - er løst. "Bevidstløs samtykke" kan etableres uden at gå på kompromis med de fundamentale principper.

Det ved de i ministeriet og det vidste de INDEN L50B. Jeg påpegede et som et oplagt sted at få gang i procseen i forbindelse med Odense, men det fremgår Selvfølgelig ikke i EPJ-strategien.

Jeg fremlagde både principper og en konkret løsningsmodel ved SHI2007. Og har for længst fremlagt hovedprincipperne for EPJ i forbindelse med Teknolgirådets RTT 186.

Der er intet reelt trade-off tilbage mellem sikkerhed og patient safety. Din artikel er - som L50B - en dårlig erstatning og surogat-legitimiering fremfor at tage problemstillingerne alvorligt.

Man kan nemt gøre EPJ meget bedre - både patientsikkehredsmæssigt, it-sikkerhedsmæssigt og produktivitetsmæssigt. Specielt er det desideret tåbeligt at man ved at designe uden sikkerhed blokerer for at man kan åbne systemet op for de mange funktioner, hvor sundhedsdata kunne bruges.

Der er ingen mangel på tekniske løsninger.

  • 0
  • 0
#4 Kåre Kjelstrøm

Stephan,

Jeg har gennem længere tid bemærket, at du blander dig i alle debatter der måtte have med den offentlige sektors digitalisering at gøre på en ukonstruktiv måde uden nødvendigvis at have begreb om emnet (f.eks. http://oim.modernisering.dk/StartSide?show_comments=1#comments hvor du blamerede dig med manglende indsigt i hvad Borger.dk er og hvordan den fællesoffentlige sikkerhedsmodel virker. Og NEJ! Borger.dk sender ikke brugeroplysninger videre til en ekstern part som du antyder).

Hvis din facon havde være løsningsorienteret, hvis dine indlæg havde defineret en målarkitektur der løser de privacy issues der er i sundhedssektoren samtidig med at der blev udstukket en realistisk plan forankret i virkelighedens verden havde det været nyttigt.

Nu er det bare støj.

Jeg foreslår vi flytter støjen af denne kanal.

/Kåre

  • 0
  • 0
#5 Anonym

Hvis du ønsker at flytte diskussionen andetsteds, så er det ikke smart at skyde med ikke-dokumenterede spredhagl som du gør her.

Du kan vel næppe være uinteresseret i at jeg påpeger åbenlyse fejl omkring digitaliseringen af den offentlige sektor? Det er jo også dine skattepenge.

Din henvisning til Borger.dk afspejler at DU ikke har styr på de problemer, jeg peger på. Jeg har f.eks. aldrig sagt at borger.dk sender "personoplysninger" videre til en ekstern part.

Problemet er at Borger.dk ligger sig som et man-in-the-middle attack ligger sig som en sårbar flaskehals i borgerens tilgang til egne data

I et veldesignet system havde man ikke brug for Borger.dk eller sundhed.dk - de tjener kun en kustigt skabt funktion, fordi hele det offentlige system designes ud fra en forudsætning som ikke kan holde - at offentlige systemer kan ses som et lukket system. Men perimetersikkerheden ryger og afgangskontrol systemerne kan slet ikke følge med.

Problemet er at man ikke arbejder med en vision, hvor Borger.dk er 100% optionel, men tværtimod bygger på den illusion at det KAN blive en succes.

Når portalerne basalt set er funktionelt overflødige, men alligevel kræver at have credentials til kunne tilgå alle dine data, så er de en unødvendig sikkerhedstrussel som samtidig forhindrer de client-side portal løsninger, der faktisk er behov for.

Du påstår at jeg "blamerer" mig på det link der er. Du er velkommen til at pege på aspekter, hvor jeg tager fejl i det pågældende link. Ellers bør du for god ordens skyld trække dine ikke dokumenterede ord tilbage. Overlad spin til spindoktorerne.

At jeg ikke - igen - fremlægger rammerne af en plan for hvordan man kunne rette op på sundhedssektoren, kan du næppe bebrejde mig. Det betaler man konsulenter millioner og atter millioner for - og se på resultatet.

Jeg har både vist en model for hvordan vi med udgangspunkt i genopretning af MedCom gradvist kunne etablere en fælles EPJ og det samme med udgangspunkt i de såkaldte kvalitetsdatabaser - så beklager, hus forbi.

Vi afrapporterede med RTT 186 efter at jeg havde indset at ligegyldigt hvor meget konstruktivt man kom med i samarbejde med projekter i Sundhedssektoren, så blev det altid blokeret af centraladministratioen, hvis det ikke netop skabte mere dårlig centralisering som vi så med medicinprofilen. Vi kom med en løsning til sikring af kvalitetsdatabaserne - det blev bare klaret ved juridisk at fjerne sikkerhed og rettigheder - selvfølgelig uden at informere Folketinget om at det var tekniske løsninger som både kunne sikre databaserne og opretholder retssikkerehden.

Nu har vi så set det samme med L50B.

Så, beklager hcis det ikke passer dig. Men hcis man ikke kan fremlægge meningsfulde strategier, så fortjener man al den kritik, man får.

  • 0
  • 0
#6 Kåre Kjelstrøm

Stephan,

Jeg er ikke interesseret i at deltage i digital lagekagekast, så jeg stopper mine kommentarer her.

Til evt. interesserede kan jeg nævne at de bør læse op på den offentlige integrationsmodel (OIM) som findes på modernisering.dk (http://oim.modernisering.dk) og DK-SAML 2.0 (http://borger.dk/forside/lovgivning/hoeringsportalen/faktaside?p_hoering...) som sikkerheden bygger på.

Jeg kan for den utålmodige læser afsløre at der netop IKKE er tale om flaskehalsmodeller.

  • 0
  • 0
#7 Poul-Henning Kamp Blogger

Vi har allerede håndteret dette problem mange steder i vores lovgivning.

Politiet skal have en dommerkendelse før de kan storme ind i en privatbolig -- med mindre der ikke er tid til det, så kan de bede om den bagefter.

Det er selvfølgelig det samme der skal ske her.

Systemet skal gøre opmærksom på at der starter en adminstrativ udredning hvis der bliver trykket "accept" på advarslen.

Denne udredning skal hver gang føres til ende, enten ved den taknemmelige patient eller dennes overlevende skriver under på at det var helt OK at lægen gjorde hvad der skulle gøres.

Eller med en korrektion hvis styrke varierer fra en eller anden form for "et klip i kortet" for fejlvurderinger der skete i kampens hede, til fængselsstraf for systematisk misbrug.

Politiet kender allerede rumlen: de ved at hvergang de hiver pistolen vælter papirarbejdet frem og derfor er de utrolig gode til kun at hive den når der er brug for den.

Det er ikke noget nyt problem, bare fordi der er en læge eller en computer involveret.

Poul-Henning

  • 0
  • 0
#8 Anonym

Lad os nu få dette lidt ned på jorden

@ PHK. Nej, selvfølgelig skal det ikke være sådan at politet kan få alt de ønsker bare ved at række ud efter det blto de har en dommerkendelse. Så kunne hvem som helst jo gøre det samme, fordi så skulle alt jo ligge klar til misbrug. Hensynet til efterforskning af kriminalitet skulle jo nødig skabe mere kriminalitet.

Med den stadigt tættere integration af alt i online nettet er vi nødt til at tage helt anderledes fat i sikkerhedsspørgsmålene og isolere ekslicit, så sikkerhedsbrud ikke skalerer, dvs. indbygge fallback i flere lag som vi f.eks. gøre med virtualisering.

Hvis der skal gøres ansvar gældende bør det som en hovedregel være en add-on procedure som kan kontrolleres istedet for en "policy-model" som vi skal stole på uden faktuelt grundlag.

@ Kåre.

En "tynd" model ændrer ikke på at der er tale om en SSO model med adgang, dvs. at risikoknudepunktet ligger på en server uden fallback. Setuppet er strukturelt identisk med et man-in-the-middle attack.

Mine kommentarer om portalerne var afgivet inden Brugerstyring version 2 kom i draft. Her har man - hvilket jeg også har rost - faktisk gjort det prinicipilt muligt at overholde SAMl 2.0 interoperabelt.

MEN portalerne giver ikke logisk mening, hvis man stadig skal muliggøre interoperabilitet og respektere sikkerhedsmodellen for SAML 2.0 som netop bygger på logisk isolering, hvilket ikke kan gøres med en server-side SSO placeret hos Erhvervs- & Selskabsstyrelsen.

Hvis portalerne ikke skal blive sikkerhedsmæssige og funktionel flaskehals, så skal de være transaktionsisolerede gennemstillingsservices, der først risikomæssigt rammer helt ude på borgerens/brugerens client - dvs. HVIS den fejler sker det KUN for den specifikke borger og hvis en anden borgers client fejler, rammer det ikke dig. Serveren kan vi selvfølgelig ikke have tillid til, fordi det ville indebære at ignorere risikokoncentrationen.

Tankegangen om en portal og nem sign-on set fra borgerens/brugerens synspunkt er fint - det skal bare ske client-side, så risikoen kan holde under kontrol og funktionaliteten kan flyttes client-side og tilpasses de specifikke behov.

Og default bør - som Brugerstyringsmodellen også korrekt ligger op til - være at portaler og server-side SSO selvfølgelig ikke må KUNNE have adgang.

Så kan sikkerheden opretholdes hos alle i samfundet som har blot et minimum af kompetance eller nogen at delegere til, mens dem som ikke har nogen mulighed for at styre eller gøre noget må nødtvunget acceptere portalerne server-side.

Den generelle tankegang i Digital Forvaltning trænger også til en væsentlig opstramning i forståelsen af hvad der driver produktivitet - borger/kunde forståelsen og -fokus er nærmest ikke-eksisterende. Systemerne skal først og fremmest åbnes mod borgerne istedet for - som i dag - åbnes mod centraladministrationen som intet har at bruge data på cpr-nummer niveau til, som ikke kan laves bedre på anden vis.

Beklager - jeg er sikker på at der er tænkt meget over det. Men den "tynde" model er slet ikke tynd - den er først og fremmest fejlpositioneret på en server istedet for helt ude på clienten. Portalerne er ikke gennemtænkt som koncept.

Og ja - vi skal have fokus på bedre clienter og et BORGER-kort så brugeren kan styre sine nøgler (i modsætning til et identifikationskort).

  • 0
  • 0
Log ind eller Opret konto for at kommentere