10 spørgsmål til Region H efter kritik: Hvordan vil I sikre jeres patienters oplysninger?

DR Nyheder har stillet Region Hovedstadens vicedirektør ti spørgsmål om de patientjournaler, der er tilgængelige for it-medarbejdere i USA.

Flere eksperter mener, at sundhedsmyndighederne har taget alt for let på patientdatasikkerheden. (Foto: Linda Kastrup © Scanpix)

I en digital verden er adgangen til data en guldgrube, og for en række medarbejdere i den amerikanske virksomhed Epic er der åbent udsyn til al patientdata i Sundhedsplatformen, der potentielt omfatter helbredsoplysninger om 2,5 millioner danskere.

Ifølge Politiken har Epic-ansatte i flere år kunnet tilgå danske patienters oplysninger i Region Hovedstaden og Region Sjællands fælles it-system, hvis de er blevet bedt om det.

Flere eksperter kalder det dybt problematisk.

Med adgangen mener de, at danske myndigheder har afgivet kontrol med de følsomme patientoplysninger på trods af, at sundhedsdata i Danmark er beskyttet af EU-databeskyttelsesforordningen.

- Skal danskernes sundhedsdata cirkulere rundt omkring i verden, så skal man som minimum spørges om lov. Når informationerne først er indtastet i patienternes journaler, så vil de tekniske medarbejdere have adgang til alle disse dybt personlige data, selv om patienterne ikke har samtykket til det. Patienterne er ikke engang blevet informeret om, at det har fundet sted, siger læge og formand for Patientdataforeningen, Thomas Birk Kristiansen til Politiken.

DR Nyheder har i kølvandet på Politikens afsløring stillet Region Hovedstadens vicedirektør fra Center for It, Medico og Telefoni, Pia Kopke, ti spørgsmål.

1.

I har bedt advokatfirmaet Bech-Bruun om at lave en undersøgelse af informationssikkerheden i Region Hovedstaden. Hvorfor det?

- Vi skulle vide, om vi gjorde det godt nok, og derfor bad vi dem om at kvalitetssikre, at vi arbejdede professionelt med informationssikkerhed.

2.

Rapporten fra Bech-Bruun blev afleveret til jer i efteråret 2018. Den udpegede 22 risici forhold til beskyttelsen af private oplysninger, hvoraf fire blev placeret i en særligt alvorlig kategori. Hvad gik disse risici ud på?

- Med de fire kritikpunkter blev der lagt op til, at vi, efter vi har fået GDPR-forordningen i Europa, strammer op i forhold til den aftale vi har med Epic. Derfor har vi lavet handlingsplaner, så det kan blive bragt i orden.

3.

Hvad vil I gøre for at løse de problemer, Bech-Bruun peger på i rapporten?

- Vi har gennemgået vores aftaler og sammenholdt det med de krav, der stilles i forbindelse med GDPR, og da EU's standarder er blevet skærpet, opdaterer vi aftalen med Epic. Desuden har vi indført øget kontrol med adgangen til Sundhedsplatformen.

4.

En ny aftale forhindrer ikke, at personoplysninger overlades til USA, og Bech Bruun har påpeget, at kontrollen med Sundhedsplatformens data er mangelfuld. Har I gjort andet end at opdatere aftalegrundlaget?

- Medarbejdere i Epic kan kun få adgang, hvis vi beder dem om hjælp til at rette fejl i systemet. Hvis de ikke selv forlader systemet, bliver de med nye initiativer lukket ude af platformen efter tre måneder. Vi har også iværksat automatisk logkontrol, som implementeres i løbet af efteråret.

5.

Hvad ligger der i en 'automatisk logkontrol'?

- Der bliver ført historik med alt, der ligger i Sundhedsplatformen, og her foretages der også i dag manuelle stikprøvekontroller. Man kan diskutere, om omfanget af dem har været tilstrækkeligt, men den automatiske kontrol kan maskinelt gennemgå flere opslag, som folk har lavet i Sundhedsplatformen. Og dermed finde ud af, om der er lovhjemmel til det, der er kigget på i journalerne.

6.

I siger til Politiken, at I ikke har overblik over, hvor mange patientjournaler, der er åbnet af medarbejdere i USA, som i dataspørgsmål ses som et usikkert tredjeland. Hvorfor ved I ikke det, hvis alt logges?

- Dataen er i Danmark, og Epic-medarbejdere får kun adgang for at hjælpe os med at rette fejl og mangler i systemet. Der bliver taget stilling i det enkelte tilfælde, men vi tæller ikke efterfølgende, hvilke journaler, der er tilgået.

7.

Kan I så med sikkerhed sige, at patienters data er i sikre hænder?

- Vi er ret overbeviste om, at Epic-medarbejdere kun kigger på det, de skal for at hjælpe. Epic er en international leverandør, der leverer til flere lande i Europa.

8.

Flere eksperter mener, at I har afgivet kontrol med følsomme oplysninger. Hvorfor har I i Region Hovedstaden ikke haft en bedre kontrol?

- Det er et juridisk spørgsmål, og det her handler om at leve op til EU-standarderne, vi har i dag. Der er mange i Danmark, der arbejder med at bringe aftalegrundlag i overensstemmelse med GDPR-regler, og det har vi også gjort. Leverandørens adgang er den samme, for de er nødt til at have adgang for at kunne hjælpe os med systemerne, men vi har skærpet den efterfølgende kontrol for at sikre, at adgangene bliver lukket.

9.

Vurderer I i Region Hovedstaden, at I lever op til den gældende lovgivning med de nye initiativer?

- Ja. Vi er ved at lave de justeringer, der skal til.

10.

Er du bekymret for misbrug af den adgang, Epic-medarbejdere har til systemet?

- Vi logger alle handlinger og laver stikprøvekontrol, og nu udvider vi omfanget af stikprøvekontrollen, så det der foregår sker inden for lovgivningens rammer. Men når man har med it-systemer og data at gøre, så er der risici. Derfor prøver vi i videst muligt omfang at undgå de risici, siger Pia Kopke fra Region Hovedstaden.

Datatilsynet er ifølge Politiken gået ind i sagen og har iværksat en undersøgelse, som ventes færdig inden sommerferien.

Facebook
Twitter