Af professor i forvaltningsret og digitalisering, ph.d. Hanne Marie Motzfeldt og lektor i sundhedsret, ph.d. Katharina Ó Cathaoir og, Center for Velfærd og Marked (Welma), Juridisk Fakultet, Københavns Universitet.
Det digitale sundhedsvæsen bliver stadig mere komplekst i organisatorisk henseende. Data bevæger sig på kryds og tværs af forskellige enheders digitale løsninger, hvor en række processer samtidig er automatiserede. Med denne udvikling følger en risiko for utilsigtet ændring af data, idet risikoen for fejl og medfølgende forringet datakvalitet øges i takt med mængden af processer og led, som data sendes igennem. Dette kan føre til, at sundhedspersonale begår fejl ved at stole på de oplysninger, der fremgår af deres fagsystemer, og at patientsikkerheden dermed bliver forringet.
Databeskyttelsesforordningen stiller krav om, at de dataansvarlige træffer foranstaltninger for at hindre fejl i sundhedsdata, især hvor fejl kan få konsekvenser for patienternes liv og helbred. Forordningen efterlader dog i vidt omfang valgfrihed til de dataansvarlige i forhold til, hvordan de vil etablere en sådan beskyttelse. Kravet er alene, at beskyttelsen er passende i lyset af de konsekvenser, som fejl i data kan have for patienterne.
Det danske datatilsyn har for nylig undersøgt tilfælde, hvor opdateringer af et it-system med automatiserede processer førte til fejl i mange tusinde medicinordinationer, og hvor de fejlagtige data blev udstillet til andre sundhedsaktører via et datadelingssystem.
I de afgørelser, der blev truffet på baggrund af fejlene, har tilsynet beskrevet, hvordan dataansvarlige inden for sundhedsområdet kan arbejde for at beskytte de registrerede patienter mod risikoen for, at fejl eller mangler i deres it-systemer forvrænger eller ændrer data. Meget peger i retning af, at tilsynet også har vurderet, at der til trods for valgfriheden i forordningen (dog) er visse forholdsregler, der som minimum skal tages, når data i systemer, der drives af én instans, tilgængeliggøres for øvrige aktører i sundhedsvæsenet via andre systemer, der drives af en anden instans.
Idet det danske datatilsyn tog udgangspunkt i reglerne om datasikkerhed, genbesøges databeskyttelsesforordningens sikkerhedsbegreb som det første i afsnit 2. Derefter beskrives baggrunden for de danske sager i afsnit 3, og Datatilsynets afgørelser gennemgås i afsnit 4. Endelig opsummeres kort i afsnit 5.
Databeskyttelsesforordningen stiller krav om, at dataansvarlige etablerer en tilstrækkelig sikkerhed, når der behandles personoplysninger. Kravet om datasikkerhed er både indskrevet i forordningen som et grundlæggende behandlingsprincip i artikel 5, stk. 1, litra f, og som en complianceregel i artikel 32.
For mange associeres betegnelsen datasikkerhed utvivlsomt med sikring mod forskellige former for ondsindede angreb fra udefrakommende personer, organisationer eller endda stater. Databeskyttelsesrettens sikkerhedsbegreb er imidlertid langt bredere. Når forordningens artikel 5, stk. 1, litra f, læses i lyset af forordningens artikel 4, nr. 12, om brud på persondatasikkerheden, fremgår det tydeligt, at tilstrækkelig sikkerhed omfatter både, at personoplysninger beskyttes mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse.
Det brede sikkerhedsbegreb er ikke en nyskabelse. I 2014 opdelte Artikel 29-gruppen sikkerhedsbrud i tre hovedgrupper: Brud på fortrolighed, brud på integritet og brud på tilgængelighed. Hindring af uautoriseret eller hændelig videregivelse af eller adgang til personoplysninger beskytter således fortrolighed. Beskyttelse af integritet fokuserer på at hindre uautoriseret eller hændelig ændring af personoplysninger og tilgængelighed drejer sig om at hindre hændeligt eller uautoriseret tab af adgang til eller tilintetgørelse af personoplysninger.1
Datasikkerhed indebærer med andre ord, at bl.a. integriteten af personoplysninger skal bevares. Dataansvarlige sundhedsaktører og deres databehandlere skal derfor efter artikel 32 aktivt beskytte registrerede mod, at oplysninger om dem utilsigtet ændres eller på anden måde skades – og i den forbindelse både forholde sig til sikkerhedstrusler inden for og uden for deres egen organisation.
Selvom sagen vedrørte et helt andet administrationsområde, retshåndhævelsesloven og retshåndhævelsesdirektivet, er den såkaldte danske teledatasag en illustrerende forløber for de sager, der er gennemgået i afsnit 3 og 4. Baggrunden for sagen var, at det danske Rigspolitis it-systemer til brug for konvertering af rådata til læsbare data om fysiske personers geografiske placering på baggrund af masteoplysninger mv. ikke altid havde leveret retvisende resultater. Datatilsynet udtalte i sagen alvorlig kritik af, at Rigspolitiets behandling af personoplysninger ikke var sket i overensstemmelse med retshåndhævelseslovens bestemmelser om datasikkerhed og datakvalitet.2 Med andre ord regnede det danske Datatilsyn det som en sikkerhedsproblematik, at en dataansvarligs egne fejlbehæftede systemer uautoriseret ændrede eller forvanskede personoplysninger.
Derfor skal sundhedsaktører og disses databehandlere naturligvis tage de fornødne foranstaltninger for at sikre sig, at deres egne it-systemer ikke forvansker personoplysninger, dvs. skader oplysningernes integritet. I den sundhedsforvaltning, som er beskrevet indledningsvis i dette blogindlæg, er det imidlertid ikke altid tilstrækkeligt at forholde sig til sine egne systemer for at leve op til kravene i databeskyttelsesforordningens artikel 32 og artikel 5, stk. 1, litra d.
Driften af det danske hospitalsvæsen er placeret hos de danske regioner, mens en række øvrige offentlige og private aktører varetager andre opgaver indenfor det danske sundhedsvæsen.3 For at facilitetere effektiv datadeling mellem de forskellige aktører er der på statsligt niveau udviklet en række it-systemer, der både anvendes af de fem regioner, af andre myndigheder og af private.
Et af disse systemer til datadeling er Fælles Medicinkort, der drives af en statslig styrelse, Sundhedsdatastyrelsen (se nærmere den danske sundhedslovs § 220 a, stk. 1). Via Fælles Medicinkort kan sundhedspersoner som f.eks. praktiserende læger, men også medarbejdere ved sygehuse og den kommunale plejesektor, hente information om medicin og vaccinationer, når de har borgere i behandling. De kan også via forskellige integrationer med deres egne it-systemer registrere og ændre i de oplysninger, der gøres tilgængelige i Fælles Medicinkort.4
Et af de systemer, der er forbundet med – og via applikationer til integration kan ændre data i Fælles Medicinkort – er Sundhedsplatformen. Sundhedsplatformen er et it-system, der blev taget i brug over en periode fra foråret 2016 til efteråret 2017 af to ud af de fem danske regioner (Region Sjælland og Region Hovedstaden). Sundhedsplatformen forbinder en lang række it-systemer og understøtter funktioner såsom medicinering, dokumentation, stuegang, operationsbooking samt bestilling af laboratorieprøver. Systemet bliver løbende vedligeholdt og videreudviklet.5
Sundhedsdatastyrelsen anmeldte den 10. august 2020 og igen den 8. juli 2021 brud på persondatasikkerheden til Datatilsynet.6 Yderligere anmeldte styrelsen den 13. august 2021 et tredje brud på persondatasikkerheden til Datatilsynet. Alle anmeldelserne drejede sig om, at der var opstået urigtige (forkerte) data i Fælles Medicinkort.
Sundhedsplatformen har tidligere været udsat for kritik fra andre aktører. I juni 2018 offentliggjorde Rigsrevisionen en beretning, som var tilføjet bemærkninger fra Statsrevisorerne. Heri konkluderede man blandt andet, at Region Hovedstaden tog systemet i brug uden tilstrækkelig tests, uddannelse og planlægning.7
Sikkerhedsbruddet den 10. august skyldtes, at en kodeændring i Sundhedsplatformen havde medført utilsigtede dobbeltordinationer, der var overført til Fælles Medicinkort. Konkret var der i perioden mellem den 16. juli og den 10. august 2020 sket tab af integritet af 4.223 medicinordinationer vedrørende 2.310 registrerede. Hverken Sundhedsdatastyrelsen eller regionen havde opdaget fejlen ved test (men via en brugerhenvendelse til regionen). Region Hovedstaden oplyste til Datatilsynet under sagen, at regionen ved en fejl ikke informerede Sundhedsdatastyrelsen om hændelsen, da fejlen blev opdaget.
Der var ikke som sådan foretaget ændringer i de dele af Sundhedsplatformen, der vedrørte ordination af lægemidler eller videresendelse af data til Det Fælles Medicinkort. Det var alene foretaget ændringer i et bagvedliggende regelhierarki. Ændringerne påvirkede imidlertid den tekniske opsætning i Sundhedsplatformen, og medførte en fejl i integrationsmekanismen mellem medicinmodulet i Sundhedsplatformen og Fælles Medicinkort.
Også anmeldelsen den 8. juli 2021 drejede sig om tab af integritet af personoplysninger som følge af en kodefejl. Kodefejlen var opstået ved en opgradering af Sundhedsplatformen, hvor der opstod en uoverensstemmelse i produktbeskrivelserne for 164 varenumre (lægemidler). Regionen oplyste senere til Datatilsynet, at it-leverandøren ikke havde testet for netop denne type fejl i forbindelse med opdateringen. Derfor var fejlen ikke blevet opdaget. Konsekvensen af fejlen var, at der i perioden mellem den 17. marts og den 30. juni 2021 blev vist 1.311 urigtige lægemiddelordinationer fordelt på 1.149 patienter fra Region Hovedstaden og Region Sjælland. Regionen Hovedstaden blev opmærksom på kodningsfejlen den 22. juni 2021, men orienterede først Sundhedsdatastyrelsen i starten af juli.
Baggrunden for anmeldelsen den 13. august 2021 var en yderligere kodefejl fra opdateringen af Sundhedsplatformen den 17. marts 2021, der blev opdaget senere end fejlen med produktbeskrivelserne (se umiddelbart ovenfor). Denne senere opdagede kodefejl gjorde, at 267 personers slutdatoer (behandlings- og doseringsslutdato) fra Fælles Medicinkort ikke slog igennem til Sundhedsplatformen, dvs. Region Hovedstaden og Region Sjælland fik ikke længere overført disse data fra Fælles Medicinkort.8
Opsummerende blev mere end 5000 medicinordinationer ved en fejl ændret i forbindelse med opdatering og videreudvikling af Sundhedsplatformen og overført til Fælles Medicinkort via applikationer til integration. Hertil kom, at en fjernelse af slutdatoer (behandlings- og doseringsslutdato) på Fælles Medicinkort ikke slog igennem til Sundhedsplatformen, for så vidt angik slutdatoen for 267 registrerede.
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at dataansvarlige skal gennemføre (1) en risikovurdering af enhver behandling af personoplysninger, som de er ansvarlige for, og dermed kortlægge samt vurdere de sikkerhedsrisici, der er ved den pågældende behandling. På grundlag af risikovurderingen skal den dataansvarlige derefter (2) identificere, hvilke tekniske og organisatoriske foranstaltninger der passer til at beskytte de registrerede mod de kortlagte risici. Videre skal (3) disse foranstaltninger gennemføres effektivt, ligesom risiko og foranstaltninger skal (4) revurderes og eventuelt ændres, når dette er relevant.
Kravene efter artikel 32 varierer ud fra den risiko, der er for de registrerede ved den pågældende behandling. Det vil derfor typisk have betydning, hvilke og hvor mange data der er tale om. Mange følsomme personoplysninger øger kravene. De potentielle konsekvenser for de registrerede ved de specifikke, potentielle sikkerhedsbrud har tilsvarende stor betydning. Er der risiko for de registreredes liv eller for skade på deres helbred, regnes risikoen som meget alvorlig. Derfor er udgangspunktet naturligvis, at der efter forordningens artikel 32 må stilles endda meget høje krav til de danske regioner og den danske sundhedsdatastyrelses behandlinger af oplysninger om medicinordination.
Artikel 32 forholder sig ikke direkte til de dataansvarliges pligter ved tilrettelæggelse og gennemførelse af systematisk datadeling inden for sundhedsvæsenet. Med andre ord er det ikke klart, hvad dataansvarlige i disse tilfælde skal foretage sig som led i de fire trin, der er beskrevet ovenfor (risikovurdering, identifikation af relevante foranstaltninger, gennemførelse af foranstaltninger og relevant revurdering). For Region Hovedstaden og Sundhedsdatastyrelsen blev dette dog i hvert fald delvis afklaret via Datatilsynets afgørelser om de sikkerhedsbrud, der er omtalt i afsnit 3 ovenfor.
I de i afsnit 3 beskrevne sager havde Sundhedsdatastyrelsen og Region Hovedstaden ikke fuldt ud klarlagt ansvarsfordelingerne i forhold til datadelingen via de forbundne systemer. Det danske datatilsyns udgangspunkt var derfor, at Region Hovedstaden var ansvarlig for behandling af data i Sundhedsplatformen og de med Sundhedsplatformen forbundne applikationer, herunder de integrationer der leverede input til Fælles Medicinkort. Sundhedsdatastyrelsen – ikke Region Hovedstaden – var ansvarlig for behandling af data i Fælles Medicinkort. Hermed lå ansvaret for de med Fælles Medicinkort forbundne applikationer og data heri, også under Sundhedsdatastyrelsen, uanset ændringer kunne foretages af andre (konkret Region Hovedstaden).
Derfor, fastslog tilsynet, skulle Region Hovedstadens risikovurdering have kortlagt både databehandlingerne i regionens eget system (Sundhedsplatformen) og integrationerne og afhængighederne til andre it-systemer (Fælles Medicinkort). Sundhedsdatastyrelsen havde været forpligtet til (som led i styrelsens risikovurdering) at kortlægge alle integrationer mellem Fælles Medicinkort og de mange kilde- og aftagersystemer. Det danske datatilsyn fremhævede, at Sundhedsdatastyrelsens kortlægning ikke kun skulle have afdækket de tekniske forhold og pågående dataflows, men også hvilke aktører der har ansvar for hvilke behandlinger.
Med andre ord har sagerne klarlagt, at risikovurderinger efter artikel 32 skal skabe overblik over både en dataansvarligs egen it-arkitektur og it-miljø, og over de applikationer, der integrerer den dataansvarliges systemer med andre aktørers systemer. Det fremgår udtrykkeligt, at dette gælder både, hvor en dataansvarlig leverer og modtager data fra andre, ligesom det står klart efter afgørelserne, at ansvarsforholdene skal kortlægges som led i arbejdet.
For så vidt angår, hvilke foranstaltninger der må regnes som passende, når der deles data til brug for patientbehandling inden for sundhedsvæsenet, fremgår af sagerne en række foranstaltninger, som Datatilsynet vurderede havde været passende. Effektiv gennemførelse af en del af disse må antageligvis regnes som minimumskrav til foranstaltninger, når der systematisk deles data til patientbehandling.
For det første skulle Region Hovedskaden i forbindelse med ændringerne i Sundhedsplatformen have identificeret relevante testscenarier i relation til afhængigheder til Fælles Medicinkort, og have gennemført de nødvendige test, inden ændringerne blev implementeret. Af afgørelsen rettet til Sundhedsdatastyrelsen fremgår direkte, at styrelsen som minimum skulle have sikret, at der blev testet for integritetsfejl i Fælles Medicinkort. Tilsynet henviste her til, at ”alle sandsynlige fejlscenarier bør testes i forbindelse med udviklingen og ændring af software, hvor der behandles personoplysninger”, uanset om ændringerne foretages af tredjeparter eller ej.
For det andet skulle parterne have haft helt klare aftalte styringsmekanismer på plads mellem alle aktører. Det fremgår af Datatilsynets afgørelser, at det generelt gælder, at der i sådanne servicebaserede arkitekturer skal være styringsmekanismer der sikrer, at de dataansvarlige er i kontrol og kan sikre, at misforståelser i dataformater eller servicestruktur ikke medfører, at datas integritet fortabes eller korrumperes.
Tilsynets afgørelser må desuden forstås sådan, at det som led i etablering af styringsmekanismer er et minimumskrav at indføre foranstaltninger i form af meldeordninger.
Den ene meldeordning skal gå ud på, at kodeændringer på forhånd meldes ud til de dataansvarlige for de integrerede eksterne systemer. Sådan proaktiv melding skal ske, inden kodeændringer aktiveres (går i produktion). Formålet med denne foranstaltning synes således at være, at de eksterne dataansvarlige får reel mulighed for at foretage deres egne, hensigtsmæssige test for at sikre sig, at de udvekslede personoplysninger ikke er skadede.
Den anden meldeordning skal sikre, at berørte aktører underrettes, hvis der konstateres fejl i integrationer mellem systemerne. Denne reaktive meldeordning skal antageligvis sikre, at de andre dataansvarlige kan undersøge, om de har modtaget kompromitterede personoplysninger, og rette op herpå.
Herudover nævnte tilsynet en række mulige foranstaltninger, der kan bidrage til et forsvarligt samarbejde, f.eks.: "organisatoriske tiltag som holistisk opdateret systemdokumentation, veldefineret change management og processer herfor, faste servicevinduer for alle aktører i hele datakæden og efterfølgende test, men også tekniske tiltag som signerede og versionerede services, integritetskontrol af data, signering af data [og] indbyggede fejlkontroller”.
Det danske datatilsyn tog ikke direkte stilling til, om Region Hovedstaden og Sundhedsdatastyrelsen ville have været forpligtet til at revurdere risikovurdering og foranstaltninger efter det første sikkerhedsbrud i 2020. Dette skyldes formentlig, at ingen af de to aktører havde foretaget en reel risikovurdering af integrationen mellem Sundhedsplatformen og Fælles Medicinkort. Dermed ville tilsynet have taget stilling til en fiktiv fejl-i-fejl problemstilling ved at bevæge sig ind på spørgsmålet om revurdering. Det fremgår dog af afgørelsen, at Datatilsynet anså det som en skærpende omstændighed, at hændelsen gentog sig ved senere kodeændringer. Dette en indikation af, at revurdering ud fra de konkrete omstændigheder kan være en pligt.
At Region Hovedstaden ikke havde kvalificeret relevante testscenarier med henblik på bedre at kunne identificere afhængigheder til andre it-systemer, at regionen ikke havde gennemført nødvendige test, inden ændringerne blev sat i produktion og at regionen ikke havde informeret Sundhedsdatastyrelsen om sikkerhedsbruddene, allerede da de blev konstateret, affødte i den konkrete afgørelse vedrørende Region Hovedstaden alvorlig kritik af manglende efterlevelse af databeskyttelsesforordningens artikel 32, stk. 1. Tilsynet meddelte samtidig regionen et påbud om at udarbejde og indføre en proces, der sikrede, at der fremadrettet ikke blev foretaget og ibrugtaget ændringer i Sundhedsplatformens funktionalitet eller datagrundlag, uden det forinden blev sikret, at der ikke ved kendte integrationer med andre systemer skabes urigtige informationer i forbundne systemer. Endelig udstedte tilsynet en advarsel til Region Hovedstaden om, at idriftsættelse af systemændringer i Sundhedsplatformen, hvor der forekommer dataintegration med andre systemer, uden at der foretages test af dataintegritet, sandsynligvis vil være i strid med forordningens artikel 5, stk. 1, litra a og d, og artikel 32, stk. 1.
Efter Datatilsynets havde fastslået, at også i tilfælde hvor tredjeparter kan lave ændringer, skal den dataansvarlige for en applikation til databehandling sikre testning af ændringer foretaget af andre, udtalte tilsynet, at: ”Sundhedsdatastyrelsen – ved ikke at have sikret, at der blev foretaget tilstrækkelige tiltag f.eks. som minimum test for integritetsfejl i FMK – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved Sundhedsdatastyrelsens behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.” Herudover indskærpede Datatilsynet overfor Sundhedsdatastyrelsen, at styrelsen skulle ”foretage en detaljeret kortlægning af den interne it-arkitektur og it-miljøet i samarbejde med de involverede parter. Herunder en kortlægning af integrationer mellem FMK og øvrige kilde- og aftagersystemer, således at det fremgår tydeligt, hvilket dataansvar Sundhedsdatastyrelsen har i forhold til behandling af personoplysninger i FMK, og hvilket ansvar øvrige dataansvarlige har for behandling af personoplysninger i kilde- og aftagersystemer.”
Af den ene af de i denne blog gennemgåede afgørelser fremgår, at: ”hvor flere aktører udveksler data i en servicebaseret arkitektur, ser Datatilsynet ofte konsekvenser i andre systemer, end der, hvor ændringen er sket.”. De to afgørelser fra det danske datatilsyn om de tre sikkerhedsbrud synes dermed at være udtryk for en ny udfordring, der formentlig vil få stigende betydning for sundhedsområdet de kommende år.
Af afgørelserne fremgår det overordnet, at aktørerne i det moderne, digitalt forbundne sundhedsvæsen skal være opmærksomme på, at ”[h]ver dataansvarlig […] for sine egne systemer [skal] fastsætte fornødne retningslinjer og procedurer for, hvordan ændringer i kildesystemer, som andre er dataansvarlige for, skal kunne få gennemslagskraft. Særligt skal der være procedurer for servicevinduer, change management, designkrav, test af funktionalitet og dataintegritet.”9
Herudover illustrerer sagerne, hvor vigtigt det er at fastsætte procedurer, der sikrer rettidig kommunikation mellem de forskellige aktører. Gransker man forløbet vedrørende det sikkerhedsbrud, der blev anmeldt den 10. august, ses det, at fejlen opstod den 16. juli og blev udbedret allerede den 23. juli 2020. Den manglende underretning af Sundhedsdatastyrelsen betød imidlertid, at fejlene i Fælles Medicinkort først blev rettet op den 10. august 2020.
Artikel 29-gruppens udtalelse 03/2014 om sikkerhedsbrud, WP 213, s. 5.
Datatilsynets journalnummer 2019-819-0003, Afgørelse vedrørende Rigspolitiets behandling af teledataoplysninger.
Visualisering af de danske regioners geografiske placering er tilgængelig på https://www.regioner.dk/services/om-de-fem-regioner, senest tilgået 7. august 2022.
Generel information er tilgængelig på https://www.sundhed.dk/sundhedsfaglig/min-side/patientdata/faelles-medicinkort/, senest tilgået 7. august 2022.
Generel information er tilgængelig på https://www.regionsjaelland.dk/Sundhedsplatformen/Om-Sundhedsplatformen/Sider/default.aspx, senest tilgået 7. august 2022.
Datatilsynets journalnummer 2020-442-8862. Nummeret samler sikkerhedsbrud anmeldt den 10. august 2020 (2020-442-8862) og sikkerhedsbrud anmeldt den 8. juli 2021 (2021-442-13762)
Rigsrevisionens beretning om Sundhedsplatformen afgivet til Folketinget med Statsrevisorernes bemærkninger, 17/ 2017, 2018
Datatilsynets journalnummer 2021-442-14071.
Datatilsynets journalnummer 2021-442-14071.