Datatilsynet udtaler kritik og giver to påbud til EG Digital Welfare ApS

Dato: 07-07-2022
Afgørelse Private virksomheder Kritik Påbud Tilsyn / egendriftssag Adgangskontrol Behandlingssikkerhed Password Følsomme oplysninger Logning CPR-nummer

Datatilsynet udtaler kritik af databehandleren EG Digital Welfare ApS (EG) for ikke at leve op til kravet om passende sikkerhed. Tilsynet udsteder endvidere et påbud om at foretage irreversibel kryptering af passwords og et påbud om at sikre login til særlige oplysninger.

Journalnummer: 2021-431-0144

Resume

Datatilsynet har truffet afgørelse i en egendriftssag vedrørende IT-systemet Mediconnect, som udbydes af EG Digital Welfare ApS (EG). Mediconnect bliver bl.a. brugt af kommuner, regioner og forsikringsselskaber til at håndtere følsomme og fortrolige oplysninger om borgere. EG agerer i den sammenhæng databehandler for IT-systemet Mediconnect. 

Af sagen fremgår det, at der i IT-systemet Mediconnect bliver opbevaret passwords i klartekst, og at der er adgang til oplysninger af særlige kategorier udelukkende ved login med brugernavn og password.

På den baggrund har Datatilsynet udtalt kritik af EG og udstedt et påbud om at foretage en irreversibel kryptering af passwords, sådan at disse ikke findes i IT-systemet Mediconnect i klartekst. Herudover har tilsynet givet EG et påbud om at sikre, at login-løsningen, der giver adgang til personoplysninger af særlige kategorier, ikke sker udelukkende ved brug af brugernavn og password.

Sikring af login til særlige kategorier af oplysninger

Afgørelsen fastslår, at det normalt ikke vil være passende sikkerhed at give adgang til oplysninger af særlige kategorier alene ved indtastning af brugernavn og password, når dette sker over et netværk, som man ikke har kontrol over.

Det er i forlængelse heraf Datatilsynets opfattelse, at en-faktor-login medfører en forhøjet risiko for misbrug af adgange samt risiko for, at adgange deles af flere brugere, sådan at en eventuel logning af adgange til systemet ikke længere er effektiv, idet man ikke kan være sikker på, hvem der reelt har anvendt hvilke adgange.

Datatilsynet foreslår, at adgangen udbygges ud over brugernavn og password. Dette kunne være multifaktor-login, brug af certifikater, tokens eller en PKI-løsning.

Afgørelse

Datatilsynet modtog i juni 2021 en henvendelse om, at IT-systemet Mediconnect anvendes til at håndtere tusindvis af sager og titusindvis af dokumenter med helbredsoplysninger hvert år, og at oplysningerne sendes frem og tilbage mellem kommuner, regioner, forsikringsselskaber og speciallæger gennem en usikker hjemmeside. Det fremgik videre af henvendelsen, at nogle konti bliver brugt som fælleskonti af flere læger og klinikker. Herudover fremgik det, at der ikke er indført to-faktor login, og at der ikke foretages maskinel registrering (logning) af, hvem der tilgår hvilke oplysninger. Det fremgik desuden af henvendelsen, at adgangskoder er tilgængelige i klartekst i databaserne.

Datatilsynet besluttede at undersøge sagen nærmere af egen drift[1]. Datatilsynet anmodede i den forbindelse den 15. marts 2022 EG Danmark A/S (herefter EG) om en udtalelse i sagen, herunder at svare på en række spørgsmål. EG fremsendte den 4. april 2022 en udtalelse i sagen.

Det fremgår blandt andet af udtalelsen, at IT-systemet Mediconnect er udviklet og ejet af EG Digital Welfare ApS, som er et selskab ejet af EG, og at EG besvarede Datatilsynets brev på vegne af EG Digital Welfare ApS. Det fremgår videre, at EG Digital Welfare ApS er databehandler for Mediconnect.

Nærværende afgørelse vedrører således EG Digital Welfare ApS som databehandler for løsningen Mediconnect.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at EG Digital Welfare ApS’ (databehandler for Mediconnect) behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[2] artikel 32, stk. 1.

Samtidig finder Datatilsynet grundlag for at meddele EG Digital Welfare ApS påbud om at anvende en anerkendt algoritme til irreversibel kryptering (f.eks. hashing) af alle passwords, så disse ikke opbevares eller kan gøres tilgængelige i klartekst. Tilsynet finder endvidere grundlag for at meddele EG Digital Welfare ApS påbud om at indføre en loginløsning for alle brugere af Mediconnect med adgang til oplysninger af særlige kategorier, sådan at det ikke er muligt at få adgang til disse oplysninger alene ved brug af brugernavn og password.

Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Fristen for efterlevelse af påbuddet er den 2. september 2022. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet. Ifølge databeskyttelseslovens[3] § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

EG skal inden samme dato orientere Datatilsynet om, hvilke foranstaltninger EG Digital Welfare ApS foretager i anledning af påbuddet.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

EG har den 4. april 2022 på vegne af EG Digital Welfare ApS fremsendt en udtalelse i sagen.

Det fremgår af udtalelsen, at Mediconnect anvendes af kommuner, regioner og forsikringsselskaber, og at Mediconnect overordnet set understøtter to forskellige processer værende udbud af speciallæge- og psykologerklæringer samt proces for understøttelse af udformning af rehabiliteringsplaner mellem kommuner og regioner.

Det fremgår videre, at Mediconnect understøtter kommunikation mellem rekvirent og en sundhedsfaglig behandler. Rekvirenten kan oprette en sag og sende denne i udbud til et af rekvirenten selvvalgt antal sundhedsfaglige behandlere, som herefter modtager en mail om, at de er kommet med i en budrunde på en sag, hvorefter de får mulighed for at afgive et tilbud. Behandlerne, som er med i udbudssagen kan kun se selve sagsbeskrivelsen, som er formuleret af rekvirenten. Rekvirenten vælger hvilket tilbud, vedkommende vil anvende og sender herefter sagsakterne inklusiv oplysninger om den konkrete borger eller patient til den sundhedsfaglige behandler, som får tildelt sagen.

EG har til sagen oplyst, at Mediconnect derudover understøtter en løsning, som kommunerne og regionerne bruger i deres fælles arbejde om førtidspension, fleksjob samt sygedagpenge-sager. I disse sager kan kommunerne sende sagsakter til regionerne, som logger ind i Mediconnect og læser sagen igennem og har mulighed for at skrive notat på sagen. Parterne har ifølge EG hver deres dagsorden i Mediconnect, hvor de booker sager ind på deres fællesmøde i forbindelse med udredninger. Det fremgår af udtalelsen, at kommunen udfylder og færdiggør deres rehabiliteringsplan for borgere i Mediconnect, og at det er kommunerne, der instruerer EG Digital Welfare ApS i, hvornår sager skal slettes.

EG har i udtalelsen oplyst, at Mediconnect udgør et værktøj til understøttelse af kundernes behov for indhentelse af erklæringer og samarbejde mellem kommuner, regioner og forsikringsselskaber, i hvilken forbindelse EG Digital Welfare ApS agerer som databehandler.

Det fremgår videre af sagen, at de enkelte sundhedsfaglige behandlere kan tilmelde sig til specialistdatabasen i Mediconnect, hvis de ønsker at kunne byde ind på sager. For at blive oprettet i specialistdatabasen, skal behandleren udfylde et skema med kontaktoplysninger samt deres autorisations-ID. EG har oplyst, at alle speciallæger tjekkes af EG’s support via opslag i autorisationsregisteret inden oprettelse, og at alle psykologer bedes svare på, hvorvidt de er autoriserede eller praktiserende psykologer, samt at alle behandlere til enhver tid kan bede om blive slettet i databasen.

Det fremgår videre, at der i Mediconnect bliver behandlet almindelige personoplysninger i form af oplysninger om navn, adresse, e-mailadresse, telefonnumre, statsborgerskab, fødselsdag, køn, civilstatus, stillingsbetegnelse, medarbejder-ID, billeder mv., samt fortrolige oplysninger om personnumre og følsomme oplysninger om helbredsforhold mv. EG har oplyst, at oplysningerne, der behandles, vedrører ansatte, borgere/patienter samt i nogle tilfælde børn og unge under 18 år.

EG har oplyst, at EG Digital Welfare ApS tilbyder alle dataansvarlige mulighed for at benytte ADFS-integration til brug for håndtering af login, men at ikke alle eksisterende kunder har valgt at tage integrationen i brug endnu. EG har oplyst, at EG Digital Welfare ApS har igangsat en kampagne for at få alle dataansvarlige rekvirenter over på ADFS-løsningen, og at der vil blive lukket helt ned for muligheden for at benytte login via almindeligt brugernavn/adgangskode senest ved udgangen af 2022, ligesom ADFS-integrationen er et krav til alle nye kunder på Mediconnect.

Det fremgår videre af sagen, at de sundhedsfaglige behandlere ofte er mindre selvstændige virksomheder uden mulighed for at benytte ADFS-integration, som logger ind via brugernavn og password. Passwordet skal ifølge EG bestå af mindst otte karakterer og være en vilkårlig sammensætning af store og små bogstaver samt tal. EG har oplyst, at hvis behandleren skriver forkert kode tre gange, bliver deres konto låst, og at de for at komme på igen skal benytte en funktion, hvor de modtager en kode via deres tilmeldte e-mail, som de skal bruge for at kunne logge ind igen første gang, hvorefter de bliver bedt om at lave en ny adgangskode.

EG har oplyst, at EG Digital Welfare ApS har planlagt udrulning af to-faktor-login ved brug af SMS-autentificering til alle sundhedsfaglige behandlere fra 1. oktober 2022 og det forventes, at alle behandlere er skiftet til den nye loginmetode senest ved udgangen af 2022.

EG har til sagen oplyst, at EG Digital Welfare ApS logger alle, som tilgår personoplysninger i Mediconnect, herunder hvem, hvornår og hvad vedkommende har foretaget, og at det også logges, hvem der har tilgået selve auditloggen, der ligger på databaseserveren.

Det fremgår af sagens oplysninger, at EG Digital Welfare ApS udelukkende tillader unikke brugere og ikke accepterer fælles-brugere, ligesom EG har oplyst, at EG Digital Welfare ApS instruerer alle brugere i ikke at anvende fællesbrugerlogin i forbindelse med undervisning i brug af systemet.

EG har til sagen yderligere oplyst, at for så vidt angår brugere, som stadig anvender brugernavn/password gemmes password i klartekst i databasen. Det fremgår videre af sagen, at alle passwords vil blive fjernet fra databasen for alle brugere i takt med, at de bliver flyttet over på flerfaktorlogin-metode. EG har oplyst, at der kun er adgang til databasen for meget få udvalgte EG-medarbejdere med arbejdsbetinget behov, og at alle adgange kontrolleres minimum hver sjette måned.

3. Begrundelse for Datatilsynets afgørelse

Datatilsynet lægger på baggrund af det af EG oplyste til grund, at der ikke i Mediconnect er krav om flerfaktor-login for brugerne af databasen. Datatilsynet lægger endvidere til grund, at passwords gemmes i klartekst i databasen.

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige og databehandleren skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved behandlingen af personoplysninger.

Der påhviler således databehandleren en pligt til at identificere de risici, som behandlingen udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at man som databehandler og udbyder af en løsning, der over et netværk, som man ikke har kontrol over, giver adgang til oplysninger af særlige kategorier, sætter loginsystemet op sådan, at det kun er muligt at logge ind ved brug af sikkerhed ud over brugernavn og password. Dette kunne være multifaktor-login, brug af certifikater, tokens eller en PKI-løsning. Det er i forlængelse heraf Datatilsynets opfattelse, at en-faktor-login medfører risiko for misbrug af adgange samt risiko for, at adgange deles af flere brugere, sådan at en eventuel logning af adgange til systemet ikke længere er effektiv, idet man ikke kan være sikker på, hvem der reelt har anvendt hvilke adgange.

Det er endvidere Datatilsynets opfattelse, at det normalt vil være en passende sikkerhedsforanstaltning at anvende en anerkendt algoritme til irreversibel kryptering (f.eks. hashing) af alle passwords, så disse ikke opbevares eller kan gendannes i klartekst. Dette gælder uanset hvilke og hvor mange personoplysninger, som behandlingen omfatter. Baggrunden herfor er, at mange registrerede genbruger passwords på tværs af tjenester m.v., hvorfor der er nærliggende risiko for at passwordet kombineret med f.eks. en mailadresse vil kunne give adgang til yderligere oplysninger på andre hjemmesider m.v.

Datatilsynet finder på ovenstående baggrund, at EG Digital Welfare ApS ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved virksomhedens behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at EG Digital Welfare ApS’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet har ved valg af reaktion lagt vægt på, at der er tale om et system, som er udviklet til brug for behandling af fortrolige og følsomme oplysninger om borgere, og at der også behandles oplysninger om særligt beskyttelsesværdige eller svage personer, herunder mindreårige.

Datatilsynet har noteret sig, at EG Digital Welfare ApS har planlagt at lukke ned for muligheden for at benytte login via almindelig brugernavn/adgangskode senest ved udgangen af 2022, at ADFS-integration er et krav til alle nye kunder på Mediconnect, og at alle passwords vil blive fjernet fra databasen for alle brugere i takt med, at de bliver flyttet over på flerfaktor-login-metode.

4. Påbud

Efter en gennemgang af sagen finder Datatilsynet grundlag for at meddele EG Digital Welfare ApS påbud om at anvende en anerkendt algoritme til irreversibel kryptering (f.eks. hashing) af alle passwords, så disse ikke opbevares eller kan gøres tilgængelige i klartekst. Tilsynet finder endvidere grundlag for at meddele EG Digital Welfare ApS påbud om at indføre en loginløsning for alle brugere af Mediconnect med adgang til oplysninger af særlige kategorier, sådan at det ikke er muligt at få adgang til disse oplysninger alene ved brug af brugernavn og password.

Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Fristen for efterlevelse af påbuddet er den 2. september 2022. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet. Ifølge databeskyttelseslovens § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

 

[1]   Datatilsynet fører tilsyn med enhver behandling, der omfattes af databeskyttelsesloven, databeskyttelsesforordningen og anden lovgivning, som ligger inden for databeskyttelsesforordningens rammer for særregler om behandling af personoplysninger. De nærmere regler findes i databeskyttelseslovens § 27.

[2] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[3] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).