Journalnummer: 2013-622-0007
Datatilsynet foretog i 2013 inspektioner på Roskilde og Køge Sygehuse i Region Sjælland vedrørende brug af elektroniske overblikstavler (storskærme) med patientoplysninger.
De generelle spørgsmål vedrørende elektroniske overblikstavler på hospitaler har herefter været drøftet i Datarådet.
Datatilsynets udtalelse
Persondatalovens1 regler indebærer, at regionerne som dataansvarlige myndigheder skal sørge for, at alle personoplysninger, der behandles på deres ansvar, er beskyttet med de fornødne sikkerhedsforanstaltninger.
For offentlige myndigheder – herunder regionerne – er persondatalovens sikkerhedskrav nærmere udmøntet i sikkerhedsbekendtgørelsen2 og sikkerhedsvejledningen3.
Datatilsynet finder, at anvendelsen af kliniske overblikstavler på sygehuse giver anledning til særlige overvejelser i relation til:
1. Kravet om fysisk sikkerhed, jf. sikkerhedsbekendtgørelsens § 8.
2. Kravene om autorisation og adgangskontrol, jf. sikkerhedsbekendtgørelsens §§ 11, 12 og 16.
3. Kravet om logning af anvendelser af personoplysninger omfattet af anmeldelsespligten til Datatilsynet, jf. sikkerhedsbekendtgørelsens § 19, stk. 1.
1. Fysisk sikkerhed
Under inspektionen på Køge Sygehus besigtigede Datatilsynet to tavler placeret på operationsgangen på Anæstesiologisk Afdeling. Adgang til lokalerne er ifølge regionen forbeholdt personale, dog køres patienter via gangen undervejs til og fra operationsstuerne.
Datatilsynet skal understrege, at regionen ved placering af tavler og indretning af lokaler mv. skal sikre sig, at bl.a. patienter, pårørende og uvedkommende personale ikke kan få adgang til at se fortrolige og følsomme personoplysninger, der vises på skærmene.
Region Sjælland må således sikre sig, at skærmene, når der er uvedkommende tilstede, har en indstilling, der ikke viser fortrolige eller følsomme personoplysninger.
2. Autorisation og adgangskontrol
2.1. Opstart af tavlerne ved brug af fælleskode
Det er oplyst, at det program (Imatis), som anvendes i Region Sjælland, aktiveres ved, at der logges ind via en overordnet fælles brugerprofil, hvorefter der vises visse patientoplysninger på skærmene. Herefter kan løsningen i princippet køre uafbrudt og i døgndrift.
Ved adgang til it-systemer med fortrolige og følsomme personoplysninger omfattet af anmeldelsespligten til Datatilsynet lever brug af fælleskoder, dvs. én brugeridentifikation med tilhørende password, som anvendes af flere brugere, ikke op til sikkerhedskravene i sikkerhedsbekendtgørelsen.
Hvis der er tale om adgang til et system, som ikke indeholder sådanne fortrolige eller følsomme personoplysninger, der udløser anmeldelsespligt, har tilsynet anbefalet at undgå fælleskoder.
Da Datatilsynet fik præsenteret den anvendte løsning, fremgik der allerede efter opstart med fælles login bl.a. visse oplysninger, som formentlig må karakteriseres som følsomme.
Hvis dette fortsat er praksis i regionen, må regionen efter Datatilsynets opfattelse ændre på opsætningen, så der ikke vises fortrolige og følsomme oplysninger, førend der er foretaget et individuelt login.
Datatilsynet skal i den forbindelse fremhæve bestemmelserne i sikkerhedsbekendtgørelsens §§ 11, 12 og 164 om adgangskontrol og autorisation. Datatilsynet forudsætter, at disse regler vil blive iagttaget i regionen, når der tildeles autorisationer og brugeradgang til løsningen.
Hvis der fortsat bruges fælleskode til login, må løsningen ved opstart alene vise identitetsoplysninger og ikke-fortrolige oplysninger. Herudover må Datatilsynet forudsætte, at den anvendte fælleskode er fortrolig og udskiftes regelmæssigt, således at brugere, som ikke er autoriserede, ikke har adgang til at logge på.
2.2. Individuelt login med RFID-brik
Af vejledningen til sikkerhedsbekendtgørelsens § 12 fremgår bl.a., at den mest almindelige form for adgangskontrol er brugeridentifikation med tilhørende password, men at andre former for adgangskontrol er ikke udelukket.
Når der er tale om it-systemer med fortrolige og følsomme personoplysninger omfattet af anmeldelsespligten til Datatilsynet, skal § 16 i sikkerhedsbekendtgørelsen tillige være opfyldt. Om bestemmelsen fremgår det af vejledningen, at når den tekniske adgangskontrol til systemets oplysninger og anvendelser heraf er baseret på brugeridentifikation med tilhørende password, skal den enkelte bruger tildeles et personligt og fortroligt password.
Selv ved adgang til følsomme personoplysninger er det således ikke udelukket, at andre metoder end brugernavn og password kan anvendes.
Datatilsynet skal understrege, at ansvaret for, at den anvendte login-løsning baseret på RFID-brikker er tilstrækkelig sikker, påhviler regionen. Tilsynet har ud fra de foreliggende oplysninger ikke grundlag for at antage, at der ikke er den fornødne sikkerhed ved den løsning, der anvendes i Region Sjælland. Datatilsynet forudsætter herved, at der i den anvendte løsning er indbygget brugeridentifikation som forudsat i vejledningen til sikkerhedsbekendtgørelsens § 16.
Datatilsynet skal i den forbindelse endvidere understrege behovet for, at Region Sjælland fastsætter retningslinjer og giver instrukser til medarbejderne om, hvordan RFID-brikkerne skal håndteres.
2.3. Rengøringspersonale m.fl.
Rengøringspersonales og andre uvedkommendes adgang til tavlerne udgør en særskilt problemstilling, som Datatilsynet skal opfordre Region Sjælland til at være særlig opmærksom på.
Rengøringspersonalet – som Region Sjælland selv har vurderet som værende uvedkommende – og eksempelvis håndværkere, som skal færdes i lokaler med tavler, vil som udgangspunkt ikke kunne autoriseres til at anvende de fortrolige og følsomme oplysninger, som kan fremgå af skærmene, og bør derfor som udgangspunkt ikke have adgang til at se sådanne oplysninger.
Datatilsynet forudsætter i den forbindelse, at regionen som ansvarlig tager alle mulige forholdsregler i forhold til at beskytte oplysningerne, i de tilfælde hvor det er nødvendigt, at uvedkommende er til stede i lokalerne.
2.4. Fjernadgang for medarbejdere i akuttelefonen
I forbindelse med Datatilsynets inspektioner blev det oplyst, at det personale, der bemander akuttelefoner, havde fjernadgang til samtlige storskærme på regionens akutafdelinger med henblik på at sikre, at meldte patienter sendes til en akutafdeling, der har kapacitet til at tage imod dem.
Der er ikke i forbindelse med Datatilsynets behandling af sagen tilvejebragt et fuldstændigt overblik over, hvordan fjernadgangen for medarbejdere i akuttelefonen nærmere er eller har været indrettet. Tilsynet går umiddelbart ud fra, at der alene er tale om adgang til de oplysninger, der er tilgængelige uden individuelt login.
Datatilsynet skal herved understrege, at regionen ved løsningernes indretning skal leve op til såvel de grundlæggende betingelser i persondatalovens § 5 som de generelle krav om datasikkerhed i lovens § 41, stk. 3, som er nærmere udmøntet i sikkerhedsbekendtgørelsen.
I den forbindelse skal Datatilsynet fremhæve, at det er et grundlæggende krav, at myndigheder, virksomheder mv. ikke må behandle eller have adgang til oplysninger, som de ikke har behov for i forbindelse med deres konkrete opgavevaretagelse.
Dette indebærer, at fjernadgangen for eksempelvis medarbejderne i akuttelefonen ikke må omfatte flere oplysninger, end hvad der er nødvendigt for varetagelsen af deres opgaver.
Regionen må således nøje overveje, om de grundlæggende oplysninger, der vises på skærmene – selv med det begrænsede indhold der findes uden login – overhovedet lovligt kan gøres tilgængelige for denne medarbejdergruppe.
3. Logning
Når der er tale om it-systemer med fortrolige og følsomme personoplysninger omfattet af anmeldelsespligten til Datatilsynet, skal de skærpede krav i sikkerhedsbekendtgørelsens kapitel iagttages. Det gælder blandt andet bestemmelserne i § 19 om logning5.
I de løsninger, der bruges til visning af patientoplysninger på hospitalernes overblikstavler, kan der (som Datatilsynet har forstået sagen) indgå oplysninger, der hentes fra forskellige kilder. Nogle af disse vil være omfattet af anmeldelsespligten, andre ikke.
3.1. Stamoplysninger
I forbindelse med anvendelsen af kliniske overblikstavler på Roskilde og Køge Sygehuse vises der bl.a. visse stamoplysninger på skærmen – f.eks. fornavn eller personnummer. Disse oplysninger trækkes, som Datatilsynet forstår sagen, f.eks. fra det patientadministrative system. Endvidere kan det forekomme, at der indtastes stamoplysninger manuelt.
Fritagelserne fra anmeldelsespligten til Datatilsynet omfatter efter persondatalovens § 44, stk. 1, bl.a. identifikationsoplysninger, herunder personnummer.
Det er derfor Datatilsynets umiddelbare vurdering, at visning af stamoplysninger, der har karakter af identifikationsoplysninger, herunder personnumre, ikke i sig selv udløser krav om logning. Tilsynet forudsætter herved, at der ikke er tale behandling af følsomme oplysninger.
Datatilsynet bemærker endvidere, at der – i det omfang oplysningerne indhentes automatisk fra et patientadministrativt system – formentlig ikke er tale om, at det er en autoriseret bruger (medarbejder), der foretager opslaget.
3.2. Laboratoriesvar og lignende
Som Datatilsynet har fået den anvendte løsning i Region Sjælland præsenteret, sker der forud for individuelt login markering, hvis der er indkommet prøvesvar vedrørende en bestemt patient, der viser abnorme værdier. Efter individuelt login er der adgang til at se selve prøvesvaret. Disse oplysninger sendes ifølge regionen automatisk fra hospitalslaboratoriet til skærmene.
Idet det efter et individuelt login vil være muligt at fremsøge og se detaljerede fortrolige og følsomme oplysninger om laboratoriesvar, vil der i hvert fald i denne henseende være tale om en anvendelse af personoplysninger, der som udgangspunkt skal logges.
Såfremt der er tale om en e-mail fra det pågældende laboratorium, vil undtagelsen i § 19, stk. 2, eventuelt finde anvendelse. I det omfang dette er tilfældet, vil behandlingen efter omstændighederne ikke være logningspligtig, hvis oplysningerne slettes efter en vis kortere periode, der generelt bør være af en størrelsesorden på højst en måned.
3.3. Henvendelsesårsag og foreløbige arbejdsdiagnoser, som indtastes manuelt, samt uddybende oplysninger, som fremsøges
Brugeres ændring eller tilføjelse af oplysninger samt fremsøgning af efternavne, personnumre, laboratoriesvar og uddybende oplysninger om diagnoser eller symptomer sker i Region Sjælland efter det oplyste på baggrund af den enkelte medarbejders individuelle login. Region Sjælland har endvidere oplyst, at der sker logning i disse tilfælde.
Datatilsynet skal understrege, at logningen af den indloggede brugers anvendelser af oplysninger om diagnoser eller symptomer o.l. skal leve op til sikkerhedsbekendtgørelsens § 19, stk. 1.
I det omfang der måtte være kollegaer tilstede, som kan se, hvad der bliver fremsøgt og skrevet på skærmen, henvises til det anførte i afsnit 3.4. om læsning.
3.4. Læsning af fortrolige eller følsomme oplysninger på overblikstavler
Datatilsynet må lægge til grund, at det forekommer, at fortrolige og følsomme oplysninger om diagnoser mv. vises til de autoriserede brugere, der er til stede i lokalet – f.eks. kollegaer til den indloggede bruger.
Datatilsynet lægger i den forbindelse også til grund, at de medarbejdere, der ser og evt. læser oplysningerne, ikke har gjort andet end at kaste blikket på skærmen.
Datatilsynet lægger endvidere til grund, at øvrige tilstedeværende personer, som kan se og læse de data, der vises på skærmen, er en del af den personkreds, som i forvejen har adgang til oplysningerne i deres arbejde på hospitalet.
Endelig lægger tilsynet til grund, at der sker logning i forhold til den af de tilstedeværende personer, der ved anvendelse af sit individuelle login har gjort visning af oplysninger af fortrolig eller følsom karakter mulig.
Under disse forudsætninger er det Datatilsynets vurdering, at læsningen af oplysninger på tavlerne ikke i sig selv udgør en anvendelse af personoplysninger, der skal logges efter sikkerhedsbekendtgørelsens § 19, stk. 1.
Datatilsynet har desuden noteret sig, at der sker automatisk udlogning efter en periode med inaktivitet, f.eks. 60 sekunder, ligesom der er adgang til manuel udlogning ved tryk på et skærm-ikon, hvorefter skærmbilledet skifter til den visning, der er adgang til uden individuelt login. Tilsynet forudsætter, at disse funktioner anvendes, så skærmen kommer tilbage til den oprindelige visning (uden login), så snart den indloggede brugers anvendelse af systemet ophører.
4. Historiske oplysninger
Region Sjælland anvendte på tidspunktet for Datatilsynets besøg en ordning, hvor oplysningerne bevares og overføres til en form for intern arkivfunktion.
Såfremt denne ordning fortsat anvendes – og ønskes opretholdt – er det en forudsætning, at der sker logning af eventuel adgang til oplysningerne under opbevaringen i arkivet, jf. sikkerhedsbekendtgørelsens § 19, stk. 1.
Endvidere er det en forudsætning, at der fastsættes en frist for sletning af de historiske oplysninger, jf. persondatalovens § 5, stk. 5, hvorefter indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.
5. Afsluttende bemærkninger
Datatilsynet skal understrege, at udtalelsen i denne sag alene omhandler brug af overblikstavler på sygehuse, hvor der såvel i regionens som patienternes interesse er et særligt behov for at skabe det fornødne overblik.
Kopi af denne udtalelse sendes til orientering til alle regioner og Danske Regioner.
Endvidere vil Datatilsynet omtale sagen og eventuelt offentliggøre udtalelsen på tilsynets hjemmeside.
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
2 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
3 Datatilsynets vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
4 Sikkerhedsbekendtgørelsens §§ 11 og 12 er sålydende:
”§ 11. Kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles.
Stk. 2. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for, jf. stk. 2.
[…]”
”§ 12. Der skal træffes foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriserede til.”
Det fremgår af vejledningen til § 12, at der udover den formelle autorisation af brugere i medfør af § 11 skal etableres en teknisk adgangskontrol i systemerne, således at autoriserede personer skal identificere sig over for systemet for at få adgang til at foretage behandlinger i overensstemmelse med autorisationen. Den mest almindelige form for adgangskontrol er brugeridentifikation med tilhørende password, men andre former for adgangskontrol er ikke udelukket. Såfremt password benyttes, skal den dataansvarlige fastsætte nærmere retningslinjer for behandling og opbygning heraf.
Sikkerhedsbekendtgørelsens § 16 er sålydende:
”§ 16. Autorisationer, jf. § 11, skal angive i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger.”
Af vejledningen til § 16 fremgår, at når den tekniske adgangskontrol til systemets oplysninger og anvendelser heraf er baseret på brugeridentifikation med tilhørende password, skal den enkelte bruger tildeles et personligt og fortroligt password. Det personlige og fortrolige password er knyttet til den tilhørende brugeridentifikation og må kun være kendt af den pågældende bruger. Der kan således ikke anvendes en fælleskode, dvs. én brugeridentifikation med tilhørende password, som anvendes af flere brugere.
5 Formålet med logningskravet er at sikre et spor efter en autoriseret brugers behandling af fortrolige eller følsomme personoplysninger. Dette spor vil i en konkret sag eller ved en stikprøvekontrol skulle holdes op mod brugerens forklaring om den givne behandling.
Logning har – udover efterforskning – et præventivt formål, idet logningen må antages at kunne bevirke, at en bruger undlader at foretage behandling af personoplysninger, som han eller hun er autoriseret til, hvis det ikke sker i en arbejdsmæssig sammenhæng.
Sikkerhedsbekendtgørelsens § 19, stk. 1 og 2, er sålydende:
”Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år.
Stk. 2. Bestemmelsen i stk. 1 finder ikke anvendelse for personoplysninger, som indgår i tekstbehandlingsdokumenter og lignende, der ikke foreligger i endelig form. Det samme gælder sådanne dokumenter, som foreligger i endelig form, hvis der sker sletning inden for en af den dataansvarlige myndighed nærmere fastsat kortere frist.”
Af Datatilsynets sikkerhedsvejledning fremgår vedrørende § 19, stk. 1, bl.a.:
”Ved ”alle anvendelser af personoplysninger” skal her forstås de anvendelser, som foretages af brugere af systemet i forbindelse med deres arbejde. Der er en række aktiviteter i forbindelse med driftsafvikling, som indebærer overvågning af og indgriben i systemerne af drifts- og systemmedarbejdere. Anvendelser af personoplysninger i forbindelse med sådanne aktiviteter er ikke omfattet af logningskravet.
Logningen skal bl.a. omfatte en angivelse af den person, som de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Foretages der en søgning på en person ved angivelse af personnummer, skal således det anvendte personnummer eller anden entydig identifikation af den pågældende person registreres i loggen. Hvis der søges på fødselsdato, skal den angivne dato (søgekriteriet) registreres i loggen, men der er ikke krav om registrering af identifikation af de enkelte personer, som indgår i søgeresultatet, dvs. alle fundne personer med den angivne fødselsdato. Angivelsen i loggen af det anvendte søgekriterium giver mulighed for efterfølgende at rekonstruere behandlingen, herunder hvilke personer som indgik i behandlingen, hvilket bl.a. er formålet med logningen.”