Alvorlig kritik, påbud og advarsel til Region Hovedstaden efter to sikkerhedsbrud

Lørdag
3:54 AM
Februar
19 2022

Alvorlig kritik, påbud og advarsel til Region Hovedstaden efter to sikkerhedsbrud

View 972

word 588 read time 2 minutes, 56 Seconds

Datatilsynets afgørelse kommer på baggrund af to sikkerhedsbrud, som var anmeldt af Sundhedsdatastyrelsen i august 2020 og juli 2021. I begge brud var en dataudvekslingsservice fra sundhedsplatformen – som Region Hovedstaden var dataansvarlig for – involveret.Datatilsynet har udtalt alvorlig kritik og udstedt et påbud samt en advarsel til Region Hovedstaden. Afgørelsen kommer på baggrund af to sikkerhedsbrud, som var anmeldt af Sundhedsdatastyrelsen i august 2020 og juli 2021. I begge brud var en dataudvekslingsservice fra sundhedsplatformen – som Region Hovedstaden var dataansvarlig for – involveret.

I august 2020 påvirkede sikkerhedsbruddet 4.223 medicinordinationer for 2.310 patienter, og i juli 2021 påvirkede sikkerhedsbruddet 1.311 lægemiddelordinationer fordelt på 1.149 patienter fra Region Hovedstaden og Region Sjælland.

Kodeændringer i ét system medførte utilsigtede ændringer i et andet

Begge sikkerhedsbrud opstod, da kodeændringer i Sundhedsplatformen (SP), hvor Region Hovedstaden er dataansvarlig, medførte utilsigtede ændringer i det Fælles Medicin Kort (FMK), hvor Sundhedsdatastyrelsen er dataansvarlig. Sikkerhedsbruddene opstod på baggrund af, at integrationerne mellem FMK og SP muliggør, at en opdatering i SP kan påvirke integriteten af visningen af oplysninger i FMK.

Datatilsynet har efter gennemgang af begge anmeldte brud udtalt alvorlig kritik af Region Hovedstaden for:

  • ikke at have kvalificeret relevante testscenarier med henblik på bedre at kunne identificere afhængigheder til andre it-systemer,
  • ikke at have gennemført nødvendige test inden ændringerne blev sat i produktion,
  • ikke at have informeret Sundhedsdatastyrelsen om sikkerhedsbruddene da hændelserne blev konstateret.
Datatilsynet har meddelt Region Hovedstaden påbud om, at udarbejde og indføre en proces, der sikrer, at ingen ændringer i SP’s funktionalitet eller datagrundlag gennemføres og sættes i drift, før det er sikret, at der ikke ved kendte integrationer med andre systemer skabes urigtige informationer i disse. Påbuddet omfatter således ikke alene integrationer med FMK, men alle it-systemer der er integreret med SP. Herunder også it-systemer som har andre dataansvarlige.

Datatilsynet har endvidere udstedt en advarsel til Region Hovedstaden om, det sandsynligvis vil være i strid med databeskyttelsesforordningen at idriftsætte systemændringer i SP, hvor der forekommer dataintegration med andre systemer, uden at foretage tests af dataintegritet.

Detaljeret kortlægning og bedre overblik over dataansvar

I forhold til Sundhedsdatastyrelsen har Datatilsynet indskærpet, at de skal foretage en detaljeret kortlægning af den interne it-arkitektur og it-miljøet i samarbejde med de involverede parter. Herunder en kortlægning af integrationer mellem FMK og øvrige kilde- og aftagersystemer, således at det fremgår tydeligt, hvilket dataansvar Sundhedsdatastyrelsen har i forhold til behandling af personoplysninger i FMK, og hvilket ansvar øvrige dataansvarlige har for behandling af personoplysninger i kilde- og aftagersystemer. Dette sætter også involverede parter bedre i stand til at identificere og udbedre integrationsfejl i samarbejde med hinanden.

Datatilsynet har ligeledes præciseret, at det er den dataansvarliges ansvar at anmelde et brud på persondatasikkerheden til tilsynsmyndigheden, når den dataansvarlige har konstateret tab af integritet af personoplysninger i eget it-system - også i situationer, hvor bruddet er forårsaget af fejl i kilde- og aftagersystemer tilhørende en anden dataansvarlig.

Underretning af de registrerede

Region Hovedstaden og Sundhedsdatastyrelsen har i forlængelse af begge sikkerhedsbrud foretaget en sundhedsfaglige underretning af de berørte registrerede. Datatilsynet har i den forbindelse gjort opmærksomhed på, at en sundhedsfaglig underretning ikke uden videre kan sidestilles med en databeskyttelsesretlig underretning i situationer, hvor der er en høj risiko for de berørte registrerede. Underretning i sådanne situationer skal leve op til kravene fastsat i databeskyttelsesforordningen.

Source by Redazione


LSNN is an independent editor which relies on reader support. We disclose the reality of the facts, after careful observations of the contents rigorously taken from direct sources, we work in the direction of freedom of expression and for human rights , in an oppressed society that struggles more and more in differentiating. Collecting contributions allows us to continue giving reliable information that takes many hours of work. LSNN is in continuous development and offers its own platform, to give space to authors, who fully exploit its potential. Your help is also needed now more than ever!

In a world, where disinformation is the main strategy, adopted to be able to act sometimes to the detriment of human rights by increasingly reducing freedom of expression , You can make a difference by helping us to keep disclosure alive. This project was born in June 1999 and has become a real mission, which we carry out with dedication and always independently "this is a fact: we have never made use of funds or contributions of any kind, we have always self-financed every single operation and dissemination project ". Give your hard-earned cash to sites or channels that change flags every time the wind blows , LSNN is proof that you don't change flags you were born for! We have seen the birth of realities that die after a few months at most after two years. Those who continue in the nurturing reality of which there is no history, in some way contribute in taking more and more freedom of expression from people who, like You , have decided and want to live in a more ethical world, in which existing is not a right to be conquered, L or it is because you already exist and were born with these rights! The ability to distinguish and decide intelligently is a fact, which allows us to continue . An important fact is the time that «LSNN takes» and it is remarkable! Countless hours in source research and control, development, security, public relations, is the foundation of our basic and day-to-day tasks. We do not schedule releases and publications, everything happens spontaneously and at all hours of the day or night, in the instant in which the single author or whoever writes or curates the contents makes them public. LSNN has made this popular project pure love, in the direction of the right of expression and always on the side of human rights. Thanks, contribute now click here this is the wallet to contribute


Similar Articles / Alvorlig...rhedsbrud