Login til helbredsoplysninger på sundhedsområdet

Publiceret 11-05-2015
Historisk afgørelse Private virksomheder

Journalnummer: 2015-631-0108

1. Sagens baggrund

I januar måned 2015 blev Datatilsynet via medieomtale bekendt med, at en person havde været udsat for, at oplysninger vedrørende den pågældendes sundhedsprofil på Cure4you var blevet offentliggjort.

Datatilsynet konstaterede i den forbindelse, at det på hjemmesiden www.cure4you.eu er muligt at oprette en personlig helbredsboks, hvor personer med en profil hos Cure4You har adgang til en række funktioner, herunder bl.a. helbredsoplysninger fra læger. Af internetsiden fremgik desuden, at adgang til tjenesten kræver brug af enten et login med personnummer samt et password eller anvendelse af NemID.

Datatilsynet tog på den baggrund en sag op af egen drift med henblik på at afklare, om løsningen – herunder navnlig ved anvendelsen af login med personnummer og password – lever op til persondatalovens krav om datasikkerhed.

Ved brev af 23. januar 2015 er Cure4you ApS efter anmodning fra Datatilsynet kommet med en redegørelse.

2. Om Cure4you

På hjemmesiden www.cure4you.eu kan enhver person oprette en brugerprofil. Det nævnes på hjemmesiden, at man kan samle alle sine helbredsdata et sted. Det nævnes endvidere, at man har mulighed for at dele data med sin læge og familie. Ifølge hjemmesiden er der på nuværende tidspunkt mere end 1,5 millioner danskere, som er tilmeldt.

Cure4you ApS har som svar på Datatilsynets spørgsmål oplyst, at der forud for etableringen af løsningen er foretaget en grundig risikovurdering, hvilket har betydet, at hele hjemmesiden er 256 bit krypteret, at password og personnummer gemmes krypteret og separat, at der er firewall samt en webserver foran databaseserveren, at løsningen er hostet hos TDC’s datacenter i Aarhus, og at der er etableret en række sikkerhedsprocedurer i Cure4you’s supportcenter, som har til formål at sikre, at for eksempel password eller andre data kun udleveres til rette person.

Cure4you ApS har også oplyst, at der foretages logning i Cure4you ApS’ bagvedliggende system, som kan afsløre misbrug. Der udføres på nuværende tidspunkt ikke løbende overvågning af eller stikprøver i loggen.

I forhold til oprettelsen af en ny profil har Cure4you ApS oplyst, at brugeren danner en personlig adgangskode samt et personligt sikkerhedsspørgsmål og svar. Adgangskoden skal være på mindst 6 tegn, og af sikkerhedsmæssige årsager skjules koden i skrivefeltet af prikker, så kodens sammensætning aldrig fremstår læsbar i adgangskodefeltet. Den nyoprettede kode skal indtastes to gange som bekræftelse.

Cure4you ApS har desuden oplyst, at tastes en adgangskode eller personnummer forkert tre gange i træk, spærres systemet for yderligere forsøg i de følgende 10 minutter, hvilket beskytter imod maskinhackere eller lignende misbrug. Det samme gør sig gældende ved forkert indtastning af svaret på sikkerhedsspørgsmålet.

Ved glemt adgangskode har Cure4you ApS oplyst, at man kan anmode systemet om at sende en ny midlertidig engangskode til den mailadresse, som brugeren har på sin Cure4you profil. Det foregår ved, at brugeren skal indtaste sit personnummer, hvorefter brugeren skal svare på det personlige sikkerhedsspørgsmål. Svaret skal skrives præcis, som det er oprettet på profilen, da systemet er følsomt overfor store/små bogstaver. Først når sikkerhedssvaret er korrekt indtastet, sender systemet en ny midlertidig kode.

Cure4you ApS har desuden oplyst, at brugeren også ved kontakt til Cure4you’s supportafdeling på enten mail eller telefon kan få tilsendt en ny midlertidig engangskode. I den situation følger Cure4you’s medarbejdere en række sikkerhedsprocedurer, som bl.a. inkluderer en række kontrolspørgsmål, som stilles for at verificere identiteten af brugeren. Medarbejderen kan herefter sende en ny midlertidig kode til den e-mail, som brugeren har på sin profil.

Den midlertidige kode er en systemgenereret kode, som består af 6 vilkårlige bogstaver. Når brugeren logger på, bliver vedkommende bedt om at oprette en ny adgangskode. Medarbejderne hos Cure4you har ikke adgang til at se brugernes adgangskoder.

Cure4you ApS har herudover oplyst, at brugeren til enhver tid kan ændre sin personlige adgangskode samt det personlige sikkerhedsspørgsmål og svar, når vedkommende er logget ind på sin profil. Desuden kan en bruger spærre adgangen til login med personnummer og adgangskode ved at nulstille sin adgangskode. Dette sker ved at bede systemet fremsende en ny midlertidig engangskode. Spærring ved selvbetjening kan ske hele døgnet ved adgang til internettet enten via computer, tablet eller smartphone. Spærring ved kontakt til Cure4you ApS’ supportafdeling kan ske mandag-torsdag i tidsrummet mellem klokken 9-16 og mellem klokken 9-15 på fredage.

Endelig er det oplyst, at Cure4you ApS er ved at implementere en løsning, hvor brugeren kan slå muligheden for at logge ind med personnummer og password fra og udelukkende benytte NemID.

3. Datatilsynets udtalelse

Datatilsynet skal – efter sagen har været behandlet i Datarådet – udtale følgende:

Datatilsynet lægger til grund, at Cure4you ApS er dataansvarlig for administrationen af løsningen på hjemmesiden www.cure4you.eu, herunder sikkerheden i forhold til login.

Af persondatalovens § 41, stk. 3, fremgår, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Ved vurderingen af sikkerheden må det efter Datatilsynets opfattelse tages i betragtning, at der i denne type løsning – hvor der er tale om kommunikation mellem patienter og læger eller en egentlig helbredsboks – er adgang til meget følsomme personoplysninger. Det må også tages i betragtning, at der for visse brugere kan være tale om en betydelig mængde følsomme personoplysninger.

Herudover må det tages i betragtning, at der er tale om oplysninger, som behandles på sundhedsområdet, hvor der efter Datatilsynets opfattelse må stilles krav om en god databeskyttelse. De praktiserende læger leverer ydelser efter overenskomst med og betalt af det offentlige. Det vil ikke i alle tilfælde være muligt for borgerne at se bort fra løsningen, hvis man ikke er tilfreds med forholdene, herunder datasikkerheden, hos den praktiserende læge.

På baggrund af ovenstående er det Datatilsynets opfattelse, at den anvendte løsning med login baseret på brugernavn og adgangskode ikke i tilstrækkelig grad lever op til den sikkerhed, som må kræves, når en hjemmeside som denne giver adgang til følsomme personoplysninger på sundhedsområdet.

Datatilsynet lægger herved også vægt på, at der i tilsynets praksis i forhold til sammenlignelige løsninger er stillet krav om, at adgang via internettet baseres på NemID eller en anden løsning med flere faktorer.

Datatilsynet finder således, at sikkerheden for at leve op til persondatalovens § 41, stk. 3, skal forbedres, så der ikke er mulighed for at logge ind kun med brugernavn og adgangskode.

Datatilsynet anmoder herefter Cure4you ApS om at oplyse, hvordan og hvornår virksomheden vil forbedre sikkerheden i løsningen. Tilsynet skal anmode om at modtage svar fra Cure4you ApS senest 4 uger fra dags dato.

4. Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på tilsynets hjemmeside. Udtalelsen vil endvidere blive anvendt, når tilsynet tager sager op overfor andre virksomheder, der udbyder lignende løsninger.

----------------------------------------------------
Cure4you ApS har efterfølgende orienteret Datatilsynet om en ny løsning med flere faktorer, som virksomheden har taget i drift, ligesom virksomheden også tilbyder, at brugerne kan benytte NemID til log ind. I den nye løsning anvendes – udover brugernavn og adgangskode – en engangskode, der fremsendes via den
e-mail eller det mobiltelefonnummer, der er oprettet på brugerens profil.