Vår ref: Deres ref: Saksbehandler: Dato: 2012/ / / /HVE Sverre Uhlving

Transkript

1 Stavanger Universitetssjukehus Helse Stavanger HF Fag- og foretaksutvikling Datatilsynet v/ Helge Veum Postboks 8177 Dep 0034 OSLO Vår ref: Deres ref: Saksbehandler: Dato: 2012/ / / /HVE Sverre Uhlving Håndtering av avvik - Uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang Det vises til deres brev, «Varsel om vedtak», av , ref. 12/ /HVE, der Datatilsynet ber om redegjørelse i 4 punkt for avvik rapportert av GE Healthcare Systems (GEHCS) Som tidligere rapportert gjelder avviket to mammografiscreening-apparater og et hjerte Angiografi/PCI-apparat i Helse Stavanger. Helse Stavanger HF tar dette avviket svært alvorlig og har følgende redegjørelse. 1. En nærmere beskrivelse av de faktiske forhold som muliggjorde den uautoriserte uthentingen av person- og helseopplysninger. Det bes i denne forbindelse spesielt om en tilbakemelding på om virksomheten har oversikt over hvilke pasienter og hvilke opplysninger om disse som har blitt uthentet uautorisert fra virksomhetens systemer. Helse Stavanger HF har medisinsk teknisk utstyr (MTU) der bistand fra ekstern leverandør er nødvendig for å sikre høy oppetid og korrekt funksjon. Dette er utstyr av så høy kompleksitet at helseforetaket alene ikke har kompetanse og kapasitet for all service og vedlikehold. I Helse Vest RHF er Helse Vest IKT AS ansvarlig for drift og vedlikehold av IKT systemer og datanettverk. For å sørge for en sikker og effektiv håndtering av det tekniske samarbeidet med leverandører, har Helse Vest IKT etablert løsninger for å gi tilgang for avtalte leverandører til avgrensede sett av systemer og utstyr i Helse Vests nettverk. Helse Vest IKT har etablert to ulike tekniske løsninger for slik fjerntilgang. (1) Løsning for tilgang til gitte systemer basert på eksplisitt brukerautentisering ved fjerntilgang og deretter brukerautentisering ved pålogging til våre systemer (Leverandør-VPN). (2) Løsning for tilgang til definerte MTU basert på en sikret kanal mellom leverandør og Helse Vest IKT (Site-to-site VPN). I denne saken med GE Healthcare Systems er det Site-to-site VPN som er benyttet (se punkt 4 for de tekniske detaljene). GEHCS benytter løsningen «Insite» for å sørge for service- og vedlikehold på noen varianter av medisinsk-teknisk utstyr (MTU) i Helse Stavanger HF. I denne saken gjelder dette 2 mammografi Helse Stavanger HF, Besøksadresse: Gerd-Ragna Block Thorsens gate 8 Postadresse: Postboks 8100, 4068 Stavanger E-postadresse: post@helse-stavanger.no, Telefon , organisasjonsnummer

2 screening apparater og et hjerte-angiografi apparat. "Insite" benyttes for å redusere nedetid for dette utstyret ved at GEHCS mottar teknisk informasjon fra utstyret. GEHCS kan koble seg til utstyret for å igangsette teknisk feilsøking eller service. Det var en forutsetning for løsningen at Insite bare skulle gjøre bruk av teknisk informasjon fra utstyret. Det var ikke kjent for Helse Stavanger HF at leverandøren også ville få tilgang til, og kunne hente ut, personnummer og undersøkelsestype. I ettertid er det lett å se at de inngåtte service- og vedlikeholdsavtalene har fokusert på hva løsningen skulle benyttes til, uten eksplisitt å omtale hva løsningen ikke skulle benyttes til. Det er implementert en rekke teknologiske barrierer rundt denne løsningen for å sikre at informasjonen som utveksles ikke kommer til andre parter enn de to samarbeidende parter. De viktigste teknologiske barrierene er brannmurer og bruk av kryptert VPN med 128-bit kryptering (for detaljer se punkt 4). All granskning i denne saken som er utført av ekstern part for GEHCS har vist at disse sikkerhetstiltakene har fungert etter hensikten, dvs. det er ingen ting som tyder på at informasjon er kjent utenfor GEHCS. Trafikken er initiert av GEHCS eller GEHCS systemer, uten brukermedvirkning. Helse Stavanger HF har ansvaret for å sikre våre pasienters sensitive opplysninger. Det var ukjent at GEHCS i tillegg til å hente ut teknisk informasjon over den sikre kanalen, også fikk tilgang til og hentet ut person- og helseopplysninger. Uthentingen er ikke sporbar i vårt system. Vi kan ikke se at vi kunne avdekket dette uten å gjennomføre tilsvarende internkontroll hos GEHCS som GEHCS selv tok initiativet til og som avdekket avviket. Helse Stavanger HF har fått tilbakemelding fra GEHCS om hvilke personer som er berørt. GEHCS har lastet ned person- og helseopplysninger i følgende tidsrom: Av listen over personnummer framkommer følgende opplysninger: Det er lastet ned opplysninger på personnummer fordelt som følger: Mammografi: personnummer. Hjerte angiografi/pci: personnummer. Det framkommer ikke person-navn i rapporten. I rapporten framkommer det følgende oversikt over hvilke person- og helseopplysninger som er lastet ned. Side 2 av 6

3 Som vedlegg til brevet følger brev fra Helse Vest RHF datert 30. mars 2012 (vedlegg 1) samt svarbrev fra GE Healthcare Technologies Norway AS mottatt 13. april 2012 (vedlegg 2). Vi gjør oppmerksom på at GEHCS har bedt om at deres svarbrev blir unntatt offentlighet og ber om at brevet blir håndtert i tråd med dette. I nevnte brev bekrefter GEHCS at ingen bilder er overført og at klinisk informasjon er begrenset til type undersøkelse samt registrering av evt. implantat ved mammografi screeningundersøkelser. Forøvrig vises det til tidligere innsendte rapporter fra Helse Stavanger HF til Datatilsynet av henholdsvis og (vedlegg 3 og 4). 2. En nærmere vurdering fra virksomheten av hvorvidt leverandøren har hatt tilgang til helseopplysninger i samsvar med helseregisterloven 13. Det vises her også til at tilgang bare kan gis i den grad dette er nødvendig for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt, jf helseregisterloven 13 første ledd annet punktum. Leverandøren skulle ikke hatt tilgang til helseopplysninger jf. Helseregisterloven 13. Helseopplysninger var ikke nødvendig for det avtalte arbeidet. For å oppnå nødvendig driftsstabilitet/tilgjengelighet er det for denne type komplekst utstyr nødvendig med aktiv støtte/overvåking fra leverandør. Den legitime tilgang leverandøren har hatt, har vært nødvendig basert på behov for å kunne understøtte vedlikehold, oppgradering og drift. Dette er en teknisk overvåking og skulle ikke medført at leverandøren også fikk tilgang til helseopplysninger. 3. En nærmere vurdering av virksomhetens ivaretakelse av krav om systematiske tiltak for informasjonssikkerhet etter helseregisterlovens 16 og personopplysningsforskriftens kapittel 2. Herunder ivaretakelse av sikkerhet hos andre virksomheter etter personopplysningsforskriftens Side 3 av 6

4 Helse Stavanger HF er kjent med sitt ansvar i helseregisterlovens 16 som databehandlingsansvarlig. GEHCS har i strid med nødvendig informasjonsbehov hentet ut helseopplysninger. Informasjonssikkerhet samt risiko- og sårbarhetsvurderinger har stort fokus i Helse Stavanger HF. Dette har resultert i at vi er i sluttfasen av å oppdatere "Styringssystem for Informasjonssikkerhet". Styringssystemet angir blant annet virksomhetens sikkerhetsmål og sikkerhetsstrategi og gir anvisninger for ledelse, organisering, tiltak, forholdet til andre virksomheter, oppfølging og dokumentasjon. Et sentralt element i sikkerhetsarbeidet er at dette skal gjøres med utgangspunkt i risikovurderinger. Det er derfor utarbeidet en egen rutine for dette. Denne saken avdekker behov for ytterligere tiltak for å sikre tilfredsstillende informasjonssikkerhet. Vi vil kartlegge relevant medisinsk teknisk utstyr og sjekke at nødvendige risikovurderinger er gjort og implementere risikoreduserende tiltak. 4. Overordnet teknisk beskrivelse av løsning og virksomhetens risikovurdering av denne på tidspunktet for hendelsen, jf. helseregisterloven 16 og personopplysningsforskriften 2-4 og 2-7. Med referanse til svar i punkt 1 over, er det her gitt en teknisk beskrivelse av Site-to-site VPN slik dette konkret er satt opp overfor GEHCS. Figuren på neste side viser detaljene i denne konfigurasjonen. Figuren over viser den tekniske innretningen av site-to-site VPN benyttet overfor GEHCS. Figuren viser brannmur og VPN konsentrator hos Helse Vest IKT og default innstillingene for trafikk gjennom disse. Trafikk fra Helse Vest til GEHCS er satt åpen fra Helse Vest til GEHCS for å kunne understøtte den kontinuerlige trafikken av teknisk informasjon fra MTU til GE. Krypteringen er 128 bits. Side 4 av 6

5 Det er her viktig å understreke at trafikk ut gjennom denne kanalen og med de sikkerhetsløsningene som er benyttet, er avgrenset til GEHCS sitt overvåkningssystem. Utgående trafikk kan ikke sendes til andre parter, og informasjonen kan heller ikke dekrypteres av andre parter. Internt i Helse Vest sitt nettverk er kanalen avgrenset til det MTU som kanalen er satt opp for å understøtte. Dette er således ikke en åpen kanal inn i Helse Vest sitt nettverk, men en avgrenset kanal til definert utstyr. I lys av at dette er en kanal for direkte samhandling mellom systemer, MTU og GEHCS sitt tekniske overvåkningssystem, er det ikke brukerautentisering i denne VPN løsningen. Som nevnt under punkt 1, er det eksplisitt brukerautentisering ved fjernpålogging til leverandør-vpn. På tidspunktet for denne hendelsen var det ikke gjort en egen risiko- og sårbarhetsvurdering av denne tekniske løsningen. Helse Stavanger HF har nå tatt initiativ overfor Helse Vest IKT for risikovurdering av den tekniske løsningen. Informasjon til pasienter. I forhold til «Varsel om vedtak» fra Datatilsynet har Helse Stavanger HF noen spørsmål/vurderinger rundt pkt 3 om informasjonsplikt. Helse Stavanger HF har informert om avviket i to artikler på våre nettsider, I tillegg har vi orientert Brukerutvalget i Helse Stavanger HF. Utover dette er vi i tvil om det er riktig med for ytterligere informasjonstiltak fordi: Skadeomfanget både for den enkelte og samlet er relativt begrenset. Helse Stavanger HF har ikke mottatt tilstrekkelig detaljert informasjon fra GEHCS til å tilskrive hver enkelt. Å framskaffe tilstrekkelig detaljert informasjon vil bety at dataene som nå er «låst ned» hos GEHCS, må gjøres tilgjengelig og analyseres. Dette innebærer i seg selv risiko for ytterligere spredning av informasjonen. Vi er i tvil om denne risikoen står i rimelig forhold til den begrensede skade den enkelte kan være påført og mottakernes behov for informasjon for å kunne ivareta egne interesser. Informasjon i form av et brev til mange tusen personer vil medføre at det må organiseres et stort og ressurskrevende apparat for å motta henvendelser i etterkant, da man må påregne at et slikt brev vil medføre at en viss andel av mottakerne vil føle usikkerhet og behov for ytterligere informasjon. Ressursinnsatsen ved utvidede tiltak for informasjon vil følgelig etter Helse Stavanger HFs oppfatning ikke stå i samsvar med avviket som er oppdaget. Vi avventer eventuelle ytterligere aksjoner i forbindelse med informasjon til vi mottar Datatilsynets vurderinger og endelige vedtak. Med vennlig hilsen Bård Lilleeng Administrerende direktør. Side 5 av 6

6 Vedlegg 1: Brev fra Helse Vest RHF til GE Healthcare Technologies Norway AS datert Vedlegg 2: Brev fra GE Healthcare Technologies Norway AS til Helse Vest RHF. Vedlegg 3: Brev fra Helse Stavanger HF til Datatilsynet datert Vedlegg 4: Brev fra Helse Stavanger HF til Datatilsynet datert Side 6 av 6