Haraldsplass DIAKONALE SYKEHUS Bergen Diakon isse k j em Datatilsynet Postboks 8177 Dep 0034 Oslo Deres ref: 12/00302-1 /HVE Vår ref: Bergen, 13.04.2012 Svar på varsel om vedtak - Uautorisert uthenting av helseopplysninger gjennom leverandørenes fjerntilgang. Viser til Deres varsel om vedtak datert 26.03.2012. Bakgrunn for saken: HDS har en MR maskin av fabrikat GE Healthcare Systems (GEHCS). Sykehuset har ikke egen kompetanse til å vedlikeholde denne type teknologi og har av den grunn inngått en vedlikeholdsavtale med GEHCS. For å kunne opprettholde avtalt oppetid har det vært etablert en Site - to - Site VPN-forbindelse mellom GEHCS globale supportorgansiasjon og vår MR. Denne oppkoblingen er designet og administrert av Helse Vest IKT og ble opprettet 27.06.2005. Avtalen med GEHCS om fjemdiagnostikk er basert på at kun tekniske data skal overføres til deres servere for analyseformål. Imidlertid viser det seg at GEHCS ved en feil har lastet ned 368 personnummer med tilhørende informasjon om pasientvekt. Beskrivelse av hendelsesforløp: HDS mottok den 12.03.2012 skriftlig melding fra GE Healthcare om at pasientrelatert informasjon ved en feiltakelse var lagret ned på selskapets servere. HDS meldte hendelsen til Datatilsynet den 16.03.2012. HDS ba den 16.03.2012 Helse Vest IKT om å stenge ned den aktuelle forbindelsen. Dette ble utført samme dag. HDS tok kontakt med GE den 19.03.2012 og ba om å få kopi av filene, for å kunne vurdere skadeomfang og hvilken type informasjon som var lastet ned. HDS mottok kryptert datafil den 23.03.2012. Denne filen ble åpnet den 30.03.2012. Denne viser en liste over 368 personnummer, samt at pasientenes vekt er registret for disse personene. Disse personopplysningene har vært overført fra vår MR til GEHCS i tidsrommet 2. januar 2010 til november 2011. Noen annen pasientrelatert informasjon skal ikke være eksportert fra vår MR.
Saksgangen har vært håndtert i linjen på HDS i tett samarbeid med Helse Vest IKT og Helse Vest RHF. Som vedlegg følger svarbrev fra GE Healtheare Technologies Norway AS ril Helse Vest RHF mottatt 13. april 2012. Vi gjør oppmerksom på at GE har bedt om at deres svarbrev blir unntatt offentlighet og ber om at brevet blir handtert i tråd med dette. Det siste svaret fra GEHCS bekrefter den informasjonen vi har fremskaffet underveis i saksbehandlingen. (Vedlegg 2) Beskrivelse av løsningen: Vi har mottatt følgende beskrivelse av forbindelsen mellom vårt utstyr og GEHCS av vår tjenesteleverandør Helse Vest IKT: Dette er løsninger av så høy kompleksitet at helseforetakene og Helse Vest IKT alene ikke har kompetanse og kapasitet for alt service og vedlikehold. For å sørge for en sikker og effektiv håndtering av slikt teknisk samarbeid, har Helse Vest IKT etablert løsninger for å gi tilgang for avtalte leverandører til avgrensede sett av systemer og utstyr i Helse Vest IKTs nettverk. Helse Vest IKT har etablert to ulike tekniske løsninger for slik fjerntilgang. (1) Løsning for tilgang til gitte systemer basert på eksplisitt brukerautentisering ved fjerntilgang og deretter brukerautentisering ved pålogging til våre systemer (Leverandør-VPN). (2) Løsning for tilgang til definerte MTU basert på en sikret kanal mellom leverandør og Helse Vest IKT (Site-to-site VPN). l denne saken med GE Health Services (GEHCS) er det Site-to-site VPN som er benyttet (se punkt 4 for de tekniske deta jene). GEHCS benytter løsningen «Insight» for å sørge for service- og vedlikehold på noen varianter av medisinsk-teknisk utstyr (MTU) i helseforetakene i Helse Vest. I denne sammenheng er dette MTU for CT, mammografi, MR, digital radiografi og «vascular». Hensikten med Insight er å oppnå redusert nede tid for dette kostbare utstyret ved at GE mottar diagnostisk informasjon fra utstyret og ved at GE kan koble seg til utstyret for å igangsette diagnostikk eller service. Det var en forutsetning for løsningen at Insight bare skulle gjør bruk av teknisk informasjon fra utstyret, Insight skulle ikke ha behov for tilgang til pasientinformasjon eller sensitive data. I ettertid er det lett å se at de inngåtte service- og vedlikeholdsavtalene har fokusert på hva løsningen skulle benyttes til, uten eksplisitt å omtale hva løsningen ikke skulle benyttes for. Det faktum at løsningen bare skulle benyttes for teknisk informasjon er også bekreftet av GEHCS gjennom deres notater og brev i saken. Det er implementert en rekke teknologiske hindringer rundt denne løsningen for å sikre at informasjonen som utveksles ikke kommer til andre parter enn de to samarbeidende parter. De viktigste teknologiske hindringene er brannmurer og bruk av kryptert VPN med 128-bit kryptering (for detaljer se punkt 4). All granskning i denne saken som er utført av ekstern part for GEHCS har vist at disse sikkerhetstiltakene har fungert etter hensikten, dvs. det er ingen ting som tyder på at informasjon er kjent utenfor GE. Det er MTU som er konfigurert slik at det har sendt ut data som ikke skulle sendes. DOKNR 2
Trafikken har altså startet på innsiden, uten at det er involvert noen bruker. Helse Vest vil, basert på denne hendelsen, utrede hvordan innholdet i slike kommunikasjonskanaler bedre kan overvåkes teknologisk. Vurdering av årsak til hendelsen: Vårt standpunkt er at avtalen mellom HDS og GEHCS fra begge parters side har hatt som intensjon at pasientrelatert informasjon ikke skulle eksporteres fra våre system. Den aktuelle hendelsen anser vi som et brudd fra GE sin side på denne avtalen. Oppfølging overfor pasienter: Vår oppfatning er at den informasjon som er lagret hos GEHCS i seg selv ikke representerer noen betydelig risiko. Rekommandert skriftlig informasjon vil i seg selv gi mottakere et inntrykk av at de som enkeltperson er påført betydelig skade. Selv om kun en liten andel av de som mottar informasjon skulle reagere med betydelig engstelse, er det tvilsomt om denne påførte belastning står i et rimelig forhold til den begrensede skade den enkelte er påført og mottakernes behov for denne informasjon for å kunne ivareta egne interesser. For å sikre at kun relevante mottagere som fortsatt lever blir mottagere må det gjennomføres uttak og omfattende behandling av de data som er lagret hos GE, noe som i seg selv er personvernmessig betenkelig. Det er tvilsomt om denne risiko står i et rimelig forhold til den begrensede skade den enkelte er påført mottakernes behov for denne informasjon for å kunne ivareta egne interesser. HDS avventer aksjoner i forbindelse med informasjon til pasienter inntil vi mottar Datatilsynets vedtak. Teknisk beskrivelse av løsningen: Vi har mottatt følgende beskrivelse av den tekniske oppkoblingen fra Helse Vest IKT: Figuren i vedlegg 1 viser den tekniske innretningen av site-to-site VPN benyttet overfor GEHCS. Figuren viser brannmur og VNP konsentrator hos Helse Vest IKT og default innstillingene for trafikk gjennom disse. Trafikk fra Helse Vest til GEHCS er satt åpen fra Helse Vest til GEHCS for å kunne understøtte den kontinuerlige diagnostiske trafikken av teknisk informasjon fra MTU til GE. Krypteringen er 128, bits.
For det utstyr som er i bruk i denne situasjonen, har utstyret behov for å snakke med utstyr i den andre enden, derfor blir en slik Site-to-site VPN tunell definert som at den er åpen. Det er her viktig å understreke at trafikk ut gjennom denne kanalen og med de sikkerhetsløsningene som er benyttet, er avgrenset til GEHCS sitt overvåkningssystem. Utgå ende trafikk kan ikke sendes til andre parter, og informasjonen kan heller ikke dekrypteres av andre parter. Internt i Helse Vest sitt nettverk er kanalen rettet og dermed avgrenset til det MTU som kanalen er satt opp for å understøtte. Dette er således ikke en åpen kanal inn i Helse Vest sitt nettverk, men en avgrenset kanal til definert utstyr. I lys av at dette er en kanal for direkte samhandling mellom systemer, MTU og GEHS sitt overvåkningssystem, er det ikke brukerautentisering i denne VPN løsningen. Som nevnt under punkt 1, er det eksplisitt brukerautentisering ved fjernpålogging til leverandør-vpn. På tidspunktet for denne hendelsen var det ikke gjort en egen risiko- og sårbarhetsvurdering av denne tekniske løsningen. Det er like fult vårt syn at det ikke er mangler eller svakheter i den tekniske løsningen for fjerntilgang som har ledet til at GEHCS urettmessig hentet ut personsensitiv informasjon og valgte å lagre denne informasjonen hos seg. Tiltak for å bedre sikkerheten i fremtiden: HDS har som nevnt over allerede koblet ned forbindelsen til GEHCS for å forhindre videre ureglementert nedlasting av personrelatert informasjon fra vårt utstyr. Dette er å betrakte som et strakstiltak, og vi har til intensjon å igjen etablere en forbindelse. Denne tjenesten er av avgjørende betydning for å sikre tilgjengelighet på kritisk medisinsk utstyr. En permanent frakobling vil få kvalitative konsekvenser for HDS. Alternativt vil vi få en redusert pålitelighet på vårt medisinske utstyr, noe vi ikke kan leve med over tid. Vi ser i ettertid at det er nødvendig å etablere klarere avtaler mellom brukermiljøet og utstyrsleverandør når det gjelder anvendelse av teknologien knyttet til fjerndiagnostikk på MTU. Dette innebærer klare prosedyrer for rapportering av aktivitet, og rapportering av hvilket innhold som er hentet fra vårt utstyrt. I tillegg vil det være nødvendig å utdype avtaleverket i forbindelse med anskaffelse av nytt medisinsk teknisk utstyr, slik at kravene til informasjonssikkerhet blir mer i samsvar med praksis for øvrige IKT-løsninger. DOKNR 4
Dette arbeidet vil bli koordinert på regionalt nivå. Med vennlig hilsen Radina Trengereid Adm. direktør Haraldsplass Diakonale Sykehus AS Vedlegg 1: Systemskisse VPN MTU Helse Vest IKT Vedlegg 2: Brev til Helse Vest fra GE, datert 12.04.12 Vedlegg 3: Oversikt over utstyr ved HDS som er koblet opp mot GEHCS DOKNR 5