Journalnummer: 2020-442-8862
Resumé
Datatilsynet har udtalt alvorlig kritik og udstedt et påbud samt en advarsel til Region Hovedstaden. Afgørelsen kommer på baggrund af to sikkerhedsbrud, som var anmeldt af Sundhedsdatastyrelsen i august 2020 og juli 2021. I begge brud var en dataudvekslingsservice fra sundhedsplatformen – som Region Hovedstaden var dataansvarlig for – involveret .
I august 2020 påvirkede sikkerhedsbruddet 4.223 medicinordinationer for 2.310 patienter, og i juli 2021 påvirkede sikkerhedsbruddet 1.311 lægemiddelordinationer fordelt på 1.149 patienter fra Region Hovedstaden og Region Sjælland.
Kodeændringer i ét system medførte utilsigtede ændringer i et andet
Begge sikkerhedsbrud opstod, da kodeændringer i Sundhedsplatformen (SP), hvor Region Hovedstaden er dataansvarlig, medførte utilsigtede ændringer i det Fælles Medicin Kort (FMK), hvor Sundhedsdatastyrelsen er dataansvarlig. Sikkerhedsbruddene opstod på baggrund af, at integrationerne mellem FMK og SP muliggør, at en opdatering i SP kan påvirke integriteten af visningen af oplysninger i FMK.
Datatilsynet har efter gennemgang af begge anmeldte brud udtalt alvorlig kritik af Region Hovedstaden for:
- ikke at have kvalificeret relevante testscenarier med henblik på bedre at kunne identificere afhængigheder til andre it-systemer,
- ikke at have gennemført nødvendige test inden ændringerne blev sat i produktion,
- ikke at have informeret Sundhedsdatastyrelsen om sikkerhedsbruddene da hændelserne blev konstateret,
Det har endvidere været en skærpende omstændighed i Datatilsynets afgørelse, at Region Hovedstaden ikke rettede tilstrækkeligt op på sikkerheden efter det første sikkerhedsbrud i august 2020, og at et lignende brud derfor gentog sig i juli 2021.
Datatilsynet har meddelt Region Hovedstaden påbud om, at udarbejde og indføre en proces, der sikrer, at ingen ændringer i SP’s funktionalitet eller datagrundlag gennemføres og sættes i drift, før det er sikret, at der ikke ved kendte integrationer med andre systemer skabes urigtige informationer i disse. Påbuddet omfatter således ikke alene integrationer med FMK, men alle it-systemer der er integreret med SP. Herunder også it-systemer som har andre dataansvarlige.
Datatilsynet har endvidere udstedt en advarsel til Region Hovedstaden om, det sandsynligvis vil være i strid med databeskyttelsesforordningen at idriftsætte systemændringer i SP, hvor der forekommer dataintegration med andre systemer, uden at foretage tests af dataintegritet.
Detaljeret kortlægning og bedre overblik over dataansvar
I forhold til Sundhedsdatastyrelsen har Datatilsynet indskærpet, at de skal foretage en detaljeret kortlægning af den interne it-arkitektur og it-miljøet i samarbejde med de involverede parter. Herunder en kortlægning af integrationer mellem FMK og øvrige kilde- og aftagersystemer, således at det fremgår tydeligt, hvilket dataansvar Sundhedsdatastyrelsen har i forhold til behandling af personoplysninger i FMK, og hvilket ansvar øvrige dataansvarlige har for behandling af personoplysninger i kilde- og aftagersystemer. Dette sætter også involverede parter bedre i stand til at identificere og udbedre integrationsfejl i samarbejde med hinanden.
Datatilsynet har ligeledes præciseret, at det er den dataansvarliges ansvar at anmelde et brud på persondatasikkerheden til tilsynsmyndigheden, når den dataansvarlige har konstateret tab af integritet af personoplysninger i eget it-system - også i situationer, hvor bruddet er forårsaget af fejl i kilde- og aftagersystemer tilhørende en anden dataansvarlig.
Læs også Datatilsynets afsluttende brev til Sundhedsdatastyrelsen her.
Underretning af de registrerede
Region Hovedstaden og Sundhedsdatastyrelsen har i forlængelse af begge sikkerhedsbrud foretaget en sundhedsfaglig underretning af de berørte registrerede. Datatilsynet har i den forbindelse gjort opmærksomhed på, at en sundhedsfaglig underretning ikke uden videre kan sidestilles med en databeskyttelsesretlig underretning i situationer, hvor der er en høj risiko for de berørte registrerede. Underretning i sådanne situationer skal leve op til kravene fastsat i databeskyttelsesforordningen.
1. Afgørelse
Efter en gennemgang af begge sager finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Region Hovedstadens behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.
Samtidig finder Datatilsynet, at der er grundlag for at meddele Region Hovedstaden påbud om, at udarbejde og indføre en proces, der sikrer, at ingen ændringer i sundhedsplatformens funktionalitet eller datagrundlag gennemføres og sættes i drift, før det er sikret, at der ikke ved kendte integrationer med andre systemer skabes urigtige informationer i disse. Påbuddet med deles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Fristen for efterlevelse af påbuddet er den 10. marts 2022. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet. Ifølge databeskyttelseslovens[2] § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d og e.
Datatilsynet skal endvidere udstede en advarsel til Region Hovedstaden om, at idriftsættelse af systemændringer i sundhedsplatformen, hvor der forekommer dataintegration med andre systemer, uden at der foretages test af dataintegritet, sandsynligvis vil være i strid med data- beskyttelsesforordningens artikler 5, stk. 1, litra a og d, 32, stk. 1. Advarslen meddeles efter databeskyttelsesforordningens artikel 58, stk. 2, litra a.
Nedenfor følger en nærmere gennemgang af sager og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling vedr. 2020-442-8862
Sundhedsdatastyrelsen har den 10. august 2020 anmeldt et brud på persondatasikkerheden til Datatilsynet.
Det fremgår af anmeldelsen, at en kodeændring i Sundhedsplatformen, som Region Hoved- staden er dataansvarlig for, har medført en utilsigtet dobbeltordination i Fælles Medicinkort (FMK), som Sundhedsdatastyrelsen er dataansvarlig for, således, at der i perioden mellem den 16. juli og den 10. august 2020 skete tab af integritet af personoplysninger i 4.223 medicinordinationer vedrørende 2.310 registrerede.
Det fremgår af sagen, at ændringer i et bagvedliggende regelhierarki, som ikke direkte havde tilknytning til ordination af lægemidler og kommunikationen heraf til FMK, har påvirket den tekniske opsætning i Sundhedsplatformen således, at der i perioden mellem den 16. og de 23. juli 2020 opstod en fejl i integrationsmekanismen mellem medicinmodulet i Sundhedsplatformen og FMK.
Det fremgår endvidere af sagen, at Region Hovedstaden blev opmærksom på kodningsfejlen den 17. juli 2020 på baggrund af en brugerhenvendelse og derefter gennemførte udbedringer den 23. juli 2020. Regionen har i forlængelse af hændelsen været i dialog med Styrelsen for Patientsikkerhed og hospitalsdirektionerne og regionsrådene i Region Hovedstaden og Region Sjælland. Region Hovedstaden har i den forbindelse oplyst, at regionen ved en fejl ikke informerede Sundhedsdatastyrelsen om hændelsen.
2.1. Bemærkninger fra Sundhedsdatastyrelsen
Sundhedsdatastyrelsen har oplyst til sagen, at integritetsfejlen i oplysningerne i FMK blev konstateret den 8. august på baggrund af omtale af hændelsen i pressen. Dette resulterede i, at 2.310 registrerede fik dobbeltordination af medicin i perioden mellem den 16. juli og den 10. august 2020.
2.2. Bemærkninger fra Region Hovedstaden
Region Hovedstaden har oplyst til sagen, at regionen havde mulighed for at teste kommunikationen og opdage fejlen. Der blev imidlertid ikke udført test af kommunikationen mellem Sundhedsplatformen og FMK, idet kodningsfejlen skete i forbindelse med en rettelse af en uhensigtsmæssighed i en arbejdsgang i Sundhedsplatformen, som ikke direkte var forbundet til ordination af lægemidler og kommunikation heraf til FMK.
Det fremgår af høringsbesvarelsen, at Region Hovedstaden i forlængelse af hændelsen har igangsat et arbejde med kvalificering af relevante testscenarier og opfølgning på procedurer med henblik på bedre at kunne identificere afhængigheder til FMK og herefter gennemføre de nødvendige test inden ændringer lægges i produktion.
Region Hovedstaden har desuden oplyst, at regionen har igangsat en gennemgang af procedurer for at sikre, at FMK-teamet hos Sundhedsdatastyrelsen altid kontaktes hurtigst muligt efter konstatering af eventuelle lignende hændelser.
Region Hovedstaden har afslutningsvis oplyst, at regionen har påtaget sig ansvaret for under- retning af de registrerede i perioden mellem 30. juli og den 27. august, hvor der efter en konkret sundhedsfaglig vurdering kunne siges at være en patientsikkerhedsmæssig konsekvens og dermed en sundhedsrisiko for de registrerede. Den konkrete sundhedsfaglige vurdering blev forestået af personale på de patientansvarlige afdelinger, som herefter forestod kontakt og sundhedsfaglig underretning af de patienter, hvor det blev fundet nødvendigt.
3. Sagsfremstilling vedr. 2021-442-13762
Sundhedsdatastyrelsen har den 8. juli 2021 anmeldt et brud på persondatasikkerheden til Datatilsynet.
Det fremgår af anmeldelsen, at en kodefejl ved opgradering i Sundhedsplatformen har medført en uoverensstemmelse i produktbeskrivelserne for 164 varenumre (lægemidler). Disse fejlbehæftede oplysninger blev vist i FMK således, at der i perioden mellem den 17. marts og den 30. juni 2021 skete tab af integritet af personoplysninger i 1.311 lægemiddelordinationer fordelt på 1.149 patienter fra Region Hovedstaden og Region Sjælland.
Det fremgår af sagen, at kodeændringer, som er foretaget af leverandøren af Sundhedsplatformen, har resulteret i visning af en forkert ordinationsstyrke i fanen ”Effektueringer”, da den pågældende lægemiddelfil refererer til en gammel version af den relevante varenummerfil, hvilket har påvirket visning af ordinationsstyrke af lægemidler i FMK.
Det fremgår endvidere af sagen, at Region Hovedstaden blev opmærksom på kodningsfejlen den 22. juni 2021 på baggrund af en brugerhenvendelse og derefter rettede fejlen den 30. juni 2021. Region Hovedstaden har i den forbindelse oplyst, at regionen først blev opmærksom på, at fejlen påvirkede FMK den 2. juli 2021 og har ved en mail af den 7. juli 2021 orienteret Sundhedsdatastyrelsen om hændelsen.
Regionen har oplyst til sagen, at leverandøren ikke har testet for denne fejl i forbindelse med release af opdateringen og har derfor ikke opdaget koden var fejlbehæftet.
4. Begrundelse for Datatilsynets afgørelse
Datatilsynet lægger på baggrund af det af Sundhedsdatastyrelsen og Region Hovedstaden oplyste til grund, at integrationsfejl mellem FMK og Sundhedsplatformen resulterede i dobbeltordination af medicin.
Datatilsynet lægger på den baggrund til grund, at der er sket utilsigtet ændring af personoplysninger, hvorfor tilsynet finder, at der er sket et brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12.
4.1. Databeskyttelsesforordningens artikel 32
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at der i samfundskritiske systemer med et stort antal særlige kategorier af oplysninger om et stort antal brugere, stilles højere krav til, at den dataansvarlige sikrer, at der ikke sker utilsigtet ændring af personoplysninger, som kan medføre alvorlige konsekvenser for de registrerede.
For så vidt angår it-systemer, som den dataansvarlige ikke selv er ansvarlig for, men hvor den dataansvarlige er ansvarlig for væsentlige input i form af personoplysninger, er det Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at den dataansvarlige skal skabe det fornødne overblik over egen it-arkitektur og it-miljø, herunder de systemer, som er integreret med andre systemer ved at levere eller modtage data, og hvor tab af integritet af personoplysninger, vil medføre en betydelig risiko for de registreredes rettigheder, og sikre en kortlægning af integrationerne og dertilhørende afhængigheder.
Som følge af ovenstående, påhviler der den dataansvarlige en pligt til at melde kodeændringer i integrerede systemer ud til relevante dataansvarlige for de integrerede eksterne systemer, inden de går i produktion. Disse krav skal sikre, at eksterne dataansvarlige er rettidigt informeret om de planlagte ændringer og kan foretage hensigtsmæssige test af integritet af personoplysninger, som udveksles mellem de integrerede systemer.
Datatilsynet finder, at en risikoprofil som i disse sager tilsiger, at der burde være blevet udført test og kvalitetskontrol for så vidt angår kodeændringernes indvirkning på de integrerede systemer, herunder afprøvning af relevante testscenarier med henblik på at kunne identificere afhængigheder med andre systemer og herefter gennemføre de nødvendige test inden ændringerne blev lagt i produktion.
Datatilsynet finder endvidere, at den dataansvarlige skal sikre en rettidig underretning af alle relevante dataansvarlige i situationer, hvor der er konstateret fejl i integrationer mellem systemerne.
Datatilsynet finder på ovenstående baggrund, at Region Hovedstaden – ved ikke at have kvalificeret relevante testscenarier med henblik på bedre at kunne identificere afhængigheder til FMK, ikke at have gennemført nødvendige test inden ændringerne lagdes i produktion, ikke at have informeret Sundhedsdatastyrelsen om hændelserne umiddelbart efter hændelsernes konstatering – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der opstår i forbindelse med behandlingsaktiviteter via integrerede it-systemer med flere selvstændige dataansvarlige, jf. databeskyttelses- forordningens artikel 32, stk. 1.
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Region Hovedstadens behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har ved denne vurdering særligt lagt vægt på, at selv mindre kodeændringer og kodefejl i de integrerede systemer, kan medføre betydelige risici for de registreredes rettigheder, og at det fremgår af sagerne, at den dataansvarlige ikke har informeret alle relevante parter, for at reducere risici for de registrerede
Datatilsynet har ved valg af reaktion lagt vægt på, at Region Hovedstaden er ansvarlig for en platform, der udstiller stam/kildedata og services til et andet anvendersystem i sundhedsvæsenet (FMK), som har afgørende betydning for at borgere kan få den korrekte behandling og service baseret på retvisende data. Datatilsynet har yderligere lagt vægt på personoplysningernes karakter og perioden, hvor personoplysningernes integritet var kompromitteret.
Datatilsynet har endvidere i skærpende retning lagt vægt på bruddenes gentagende karakter.
Herudover finder Datatilsynet grundlag for at meddele Region Hovedstaden påbud om, at udarbejde og indføre en proces, der sikrer, at ingen ændringer i sundhedsplatformens funktionalitet eller datagrundlag gennemføres og sættes i drift, før det er sikret, at der ikke ved kendte integrationer med andre systemer skabes urigtige informationer i disse. Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Datatilsynet skal endvidere udstede en advarsel til Region Hovedstaden om, at idriftsættelse af systemændringer i sundhedsplatformen, hvor der forekommer dataintegration med andre systemer, uden at der foretages test af dataintegritet, sandsynligvis vil være i strid med databeskyttelsesforordningens artikler 5, stk. 1, litra a og d og artikel 32, stk. 1. Advarslen meddeles efter databeskyttelsesforordningens artikel 58, stk. 2, litra a.
4.2. Databeskyttelsesforordningens artikel 34
Det følger af forordningens artikel 34, stk. 1, at når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.
Det er Datatilsynets opfattelse, at brud på persondatasikkerheden, der indebærer tab af integritet vedrørende særdeles beskyttelsesværdige oplysninger, herunder oplysninger om helbred og medicinordination, som udgangspunkt indebærer en høj risiko for de berørte borgeres rettigheder, da tab af integritet af sådanne oplysninger kan indebære alvorlige helbredsmæssige konsekvenser for borgerne.
Datatilsynet har noteret sig, at Region Hovedstaden har foretaget en sundhedsfaglig underretning af de berørte registrerede.
Datatilsynet skal i den forbindelse henlede regionens opmærksomhed på, at hvis et brud på persondatasikkerheden indebærer en høj risiko for de registrerede og således medfører en forpligtelse til underretning af de berørte registrerede, skal denne underretning leve op til kravene fastsat i databeskyttelsesforordningens artikel 34, , stk.2, jf. artikel 33, stk. 3, litra b), c), d), hvorfor en sundhedsfaglig underretning ikke uden videre kan sidestilles med en databeskyttelsesretlig underretning af de registrerede.
Datatilsynet skal derfor indskærpe, at underretning i sager om brud på persondatasikkerheden overholder de databeskyttelsesretlige beskrivelseskrav.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (ge- nerel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).