14 nye tiltag skal sikre bedre behandling af sundhedsdata

12 maj 2015

Regionerne lancerer en ny fælles front mod en forbedret informationssikkerhed, som opstiller fællesregionale målsætninger og initiativer, der skal være med til at sikre borgernes sundhedsdata. Formålet med udspillet er at sætte et fælles niveau for, hvordan regionerne værner om borgernes privatliv ved brug af persondata.

Regionerne ønsker med initiativerne at skabe en større tillid mellem sundhedsvæsenet og borgerne. Dette kan også siges at være en nødvendighed efter flere uheldige sager, herunder Datatilsynet kritik af Region Midtjyllands indretning af deres fælles elektroniske patientjournal, hvor alle personalegrupper kunne tilgå patientoplysningerne uden nogen form for begrænsning på tværs af regionens behandlingssteder.

Bird & Bird's nyhed om denne sag kan læses her.

De 14 nye initiativer er delt ind i tre overordnede hovedgrupper. Disse grupper er 1) Mennesker, organisation og processer, 2) IT-systemer og fysisk sikkerhed og 3) Lovkrav og kontraktkrav.

Hovedgruppen Mennesker, organisation og processer sigter mod medarbejdernes adfærd i dagligdagen. Medarbejderne skal således være mere opmærksomme på, at forskellige handlinger, som umiddelbart virker harmløse, kan udgøre en alvorlig sikkerhedsrisiko, f.eks. at downloade programmer eller gemme oplysninger på USB-nøgler.

Det bliver således vigtigt, at ledelsesstrukturer og processer er med til at understøtte, hvordan medarbejdere håndterer teknik og udstyr, samt hvordan personoplysninger skal behandles.

Dette har resulteret i 5 forskellige initiativer i hovedgruppen:

    -        Entydigt ledelsesansvar og struktureret opfølgning.

     -        Udarbejdelse af en fællesregional informationssikkerhedspolitik.

     -        Medarbejdernes viden.

     -        Sikkerhed skal tænkes ind i ny IT-løsninger fra start.

     -        Regionsråd skal drøfte informationssikkerhed årligt.

Den anden hovedgruppe, IT-systemer og fysisk sikkerhed, har fokus på den trussel, som bevidst og ubevidst misbrug af informationer og hackerangreb udgør mod informationssikkerheden. Det skal her sikres, at uvedkommende ikke har adgang til persondata, og der skal ligeledes være planer for håndtering af sikkerhedsbrud.

Dette betyder, at der skal føres et skærpet tilsyn med, hvem der tilgår oplysningerne, hvilket hænger sammen med det ovenfor nævnte, hvor det skal være muligt at følge op på den menneskelige adfærd ved brugen af data. Ligeledes vil det indebære en kryptering af data, så de kan sendes og opbevares sikkert, men også noget så lavpraktisk som sikring af serverrum mod brand, indbrud, oversvømmelse og strømudfald vil være med til at forbedre informationssikkerheden.

Alt dette skal sikres gennem 5 overordnede initiativer:

-        Strukturerede risikovurderinger af IT-systemer og medico-teknisk udstyr.

-        Sikring mod hackerangreb.

-        Bruger-rollestyring.

-        Log og opfølgning.

-        II-beredskabsplaner.

Den sidste hovedgruppe er Lovkrav og kontraktkrav. Her skal der være et øget fokus på at overholde de i bl.a. Sundhedsloven og Persondataloven fastsatte krav om tavshedspligt, fortrolighed og sikker behandling af helbredsinformationer. Det skal sikres, at lovene overholdes på alle områder, både når det kommer til den allerede eksisterende IT-drift, men også når det kommer til udviklingen af nye digitale initiativer.

Dette indebærer, at der fremover skal være et øget fokus på at få indskrevet konkrete kontraktkrav til IT-sikkerhed i de drifts- og udviklingsaftaler, som regionen indgår med leverandører. Denne udvikling skal understøttes af, at det som udgangspunkt for den fællesregionale indsats for informationssikkerhed, er den internationale ISO 27001 standard, som skal følges.

Der er formuleret 4 initiativer:

-        Krav til leverandører.

-        Juridisk compliance.

-        Databehandleraftaler.

-        Modernisering af lovgivningsmæssige rammer.

Der er mange gode ting i udspillet fra regionerne, bl.a. må det ses som et stort skridt fremad, at ikke blot regionerne selv skal leve op til den internationale standard i ISO 27001, men at der også stilles krav om, at regionernes leverandører anvender ISO 27001 standarden. Dog afslører udspillet også, at der er visse områder, hvor regionerne ikke til dato har kunnet leve op til lovens krav.

F.eks. står det i uddybningen til initiativet om databehandleraftaler, at regionerne vil sikre, at der er databehandleraftaler med alle de instanser, der behandler persondata på regionernes vegne. Det fremgår imidlertid direkte af Persondataloven, at brug af en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Det må således antages, at der på nuværende tidspunkt ikke haves databehandleraftaler med alle regionernes databehandlere.  

Man kan således håbe, at dette udspil vil være med til at sætte fokus på de juridiske problemer, der har været og er i forbindelse med behandlingen af personoplysninger i sundhedsvæsnet, og at det kan være med til at sikre en ensartet behandling af sundhedsdata i alle regionerne.

Der kan læses mere om udspillet her.