Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012



Like dokumenter
Haraldsplass. Svar på varsel om vedtak - Uautorisert uthenting av helseopplysninger gjennom leverandørenes fjerntilgang.

Internkontroll og informasjonssikkerhet lover og standarder

Kontroll av reseptformidleren endelig kontrollrapport

Endelig kontrollrapport

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Databehandleravtaler

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Styresak Orienteringssak - Informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

HVEM ER JEG OG HVOR «BOR» JEG?

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Endelig kontrollrapport

Deres referanse Vår referanse Dato / /EOL

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Vår referanse (bes oppgitt ved svar)

Høring av endringer i pasientskadeloven og enkelte andre lover og foprskrifter - omorganisering i sentral helseforvaltning

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Endelig kontrollrapport

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Høring EPJ Standard del 2: Tilgangsstyring, redigering, retting og sletting

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Styresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Varsel om vedtak fra Datatilsynet - Overtredelsesgebyr

Vår referanse (bes oppgitt ved svar)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Revisjonsplan Konsernrevisjonen Helse Sør-Øst

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Styresak Orienteringssak - Informasjonssikkerhet

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

Styret Helsetjenestens driftsorganisasjon for nødnett HF 23.oktober 2017

Klage på vedtak om pålegg - informasjonsplikt i medhold av helseforskningsloven

Anbefalinger om åpenhet rundt IKT-hendelser

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Høringssvar: Forslag til forskrift om Norsk helsearkiv og Helsearkivregisteret

Vår ref.: 17/ Postadresse: 1478 LØRENSKOG Telefon:

Hvilken rolle spiller sikkerhetspolicy for UUS? Heidi Thorstensen IKT-sikkerhetssjef/Personvernombud

Utfordringer med medisinsk-teknisk utstyr og informasjonssikkerhet. Barbro Salte, Medisinsk teknologi og e-helse, Akershus Universitetssykehus HF

OVERSIKT SIKKERHETSARBEIDET I UDI

Databehandleravtale etter personopplysningsloven

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Tjenesteavtale nr 9. mellom. Bardu kommune. Universitetssykehuset Nord-Norge HF. Samarbeid om IKT-Iøsninger lokalt

Høringsbrev. Vennlig hilsen. Olav Isak Sjøflot e.f. avdelingsdirektør

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Endelig kontrollrapport

Personopplysninger og opplæring i kriminalomsorgen

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Samarbeidsavtale om IKT-løsninger lokalt

Styret Helseforetakenes senter for pasientreiser ANS 15/06/11

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

overlege Jan Størmer, UNN Tromsø ad. oppfølging av sak sist sak /1 og sak /8

Høring - Utkast til forskrift om innsamling og behandling av helseopplysninger i nasjonalt register over hjerte- og karlidelser

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Normens krav og anbefalinger fra kravspek til innføringsprosjekt. 31. oktober 2018

Returadresse: Helsedirektoratet, Pb St. Olavs plass, 0130 Oslo, Norge HDIR Innland

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Kvalitetsregistrene i det nasjonale registeret for hjerte- og karlidelser. Lov og forskrift

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

Oppdragsbrev 2017: HOD og Helse Nord RHF

IKT-infrastrukturmodernisering i Helse Sør-Øst Styresak september 2016 Cathrine M. Lofthus

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Delavtale om samarbeid om IKT - løsninger lokalt.

Ansvar og organisering

Bilag 14 Databehandleravtale

UNIVERSITETET I BERGEN Regional komité for medisinsk og helsefaglig forskningsetikk, Vest-Norge (REK Vest)

Deres ref Vår ref (bes oppgitt ved svar) Dato

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

TILLEGGSDOKUMENT TIL OPPDRAG OG BESTILLING August 2015

Vår referanse (bes oppgitt ved svar)

Styret Sykehuspartner HF 2. mai 2018 FULLMAKT TIL ANVENDELSE AV BUDSJETTMIDLER FOR TILTAK INNEN INFORMASJONSSIKKERHET OG PERSONVERN

Orientering om tiltaksplan for arbeid med anbefalinger etter Internrevisjonsrapport 04/ Henvisninger og ventelister i Helse Finnmark HF

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø,

Tilsynssak - Helse Vest RHF - Curato Røntgen AS om kjøp av radiologitjenester med henvisning fra helseforetak

PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om

Styret Helseforetakenes senter for pasientreiser ANS 27/10/11

Deres ref Vår ref Dato

3B - SSA-D Bilag 1 Kundens kravspesifikasjon. Driftsavtalen (SSA-D) Bilag 1: Kundens kravspesifikasjon

Retningslinjer for pasientrelatert elektronisk meldingsutveksling mellom Oslo kommune og sektorsykehusene Ahus, Diakonhjemmet, Lovisenberg og OUS

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO.

Omgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge

Personvern og informasjonssikkerhet

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

Brev av 9. og 11. august 2017 fra Helse- og omsorgsdepartementet ad. Oppdragsdokument presisering av oppdrag til Helse Nord RHF

Lovfortolkning - Helsepersonelloven 29c - Opplysninger til bruk i læringsarbeid og kvalitetssikring

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Medisinsk avstandsoppfølging

Tillegg til tildelingsbrev nr 4 - Informasjonssikkerhet ved bruk av private leverandører

Lagring av forskningsdata i Tjeneste for Sensitive Data

Transkript:

Stavanger Universitetssjukehus Helse Stavanger HF Fag- og foretaksutvikling Datatilsynet v/ Helge Veum Postboks 8177 Dep 0034 OSLO Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012 Håndtering av avvik - Uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang Det vises til deres brev, «Varsel om vedtak», av 26.3.2012, ref. 12/00305-1/HVE, der Datatilsynet ber om redegjørelse i 4 punkt for avvik rapportert av GE Healthcare Systems (GEHCS) Som tidligere rapportert gjelder avviket to mammografiscreening-apparater og et hjerte Angiografi/PCI-apparat i Helse Stavanger. Helse Stavanger HF tar dette avviket svært alvorlig og har følgende redegjørelse. 1. En nærmere beskrivelse av de faktiske forhold som muliggjorde den uautoriserte uthentingen av person- og helseopplysninger. Det bes i denne forbindelse spesielt om en tilbakemelding på om virksomheten har oversikt over hvilke pasienter og hvilke opplysninger om disse som har blitt uthentet uautorisert fra virksomhetens systemer. Helse Stavanger HF har medisinsk teknisk utstyr (MTU) der bistand fra ekstern leverandør er nødvendig for å sikre høy oppetid og korrekt funksjon. Dette er utstyr av så høy kompleksitet at helseforetaket alene ikke har kompetanse og kapasitet for all service og vedlikehold. I Helse Vest RHF er Helse Vest IKT AS ansvarlig for drift og vedlikehold av IKT systemer og datanettverk. For å sørge for en sikker og effektiv håndtering av det tekniske samarbeidet med leverandører, har Helse Vest IKT etablert løsninger for å gi tilgang for avtalte leverandører til avgrensede sett av systemer og utstyr i Helse Vests nettverk. Helse Vest IKT har etablert to ulike tekniske løsninger for slik fjerntilgang. (1) Løsning for tilgang til gitte systemer basert på eksplisitt brukerautentisering ved fjerntilgang og deretter brukerautentisering ved pålogging til våre systemer (Leverandør-VPN). (2) Løsning for tilgang til definerte MTU basert på en sikret kanal mellom leverandør og Helse Vest IKT (Site-to-site VPN). I denne saken med GE Healthcare Systems er det Site-to-site VPN som er benyttet (se punkt 4 for de tekniske detaljene). GEHCS benytter løsningen «Insite» for å sørge for service- og vedlikehold på noen varianter av medisinsk-teknisk utstyr (MTU) i Helse Stavanger HF. I denne saken gjelder dette 2 mammografi Helse Stavanger HF, Besøksadresse: Gerd-Ragna Block Thorsens gate 8 Postadresse: Postboks 8100, 4068 Stavanger E-postadresse: post@helse-stavanger.no, Telefon 0 51 51, www.helse-stavanger.no, organisasjonsnummer 983 974 678

screening apparater og et hjerte-angiografi apparat. "Insite" benyttes for å redusere nedetid for dette utstyret ved at GEHCS mottar teknisk informasjon fra utstyret. GEHCS kan koble seg til utstyret for å igangsette teknisk feilsøking eller service. Det var en forutsetning for løsningen at Insite bare skulle gjøre bruk av teknisk informasjon fra utstyret. Det var ikke kjent for Helse Stavanger HF at leverandøren også ville få tilgang til, og kunne hente ut, personnummer og undersøkelsestype. I ettertid er det lett å se at de inngåtte service- og vedlikeholdsavtalene har fokusert på hva løsningen skulle benyttes til, uten eksplisitt å omtale hva løsningen ikke skulle benyttes til. Det er implementert en rekke teknologiske barrierer rundt denne løsningen for å sikre at informasjonen som utveksles ikke kommer til andre parter enn de to samarbeidende parter. De viktigste teknologiske barrierene er brannmurer og bruk av kryptert VPN med 128-bit kryptering (for detaljer se punkt 4). All granskning i denne saken som er utført av ekstern part for GEHCS har vist at disse sikkerhetstiltakene har fungert etter hensikten, dvs. det er ingen ting som tyder på at informasjon er kjent utenfor GEHCS. Trafikken er initiert av GEHCS eller GEHCS systemer, uten brukermedvirkning. Helse Stavanger HF har ansvaret for å sikre våre pasienters sensitive opplysninger. Det var ukjent at GEHCS i tillegg til å hente ut teknisk informasjon over den sikre kanalen, også fikk tilgang til og hentet ut person- og helseopplysninger. Uthentingen er ikke sporbar i vårt system. Vi kan ikke se at vi kunne avdekket dette uten å gjennomføre tilsvarende internkontroll hos GEHCS som GEHCS selv tok initiativet til og som avdekket avviket. Helse Stavanger HF har fått tilbakemelding fra GEHCS om hvilke personer som er berørt. GEHCS har lastet ned person- og helseopplysninger i følgende tidsrom: Av listen over personnummer framkommer følgende opplysninger: Det er lastet ned opplysninger på 30.681 personnummer fordelt som følger: Mammografi: 28.523 personnummer. Hjerte angiografi/pci: 2.158 personnummer. Det framkommer ikke person-navn i rapporten. I rapporten framkommer det følgende oversikt over hvilke person- og helseopplysninger som er lastet ned. Side 2 av 6

Som vedlegg til brevet følger brev fra Helse Vest RHF datert 30. mars 2012 (vedlegg 1) samt svarbrev fra GE Healthcare Technologies Norway AS mottatt 13. april 2012 (vedlegg 2). Vi gjør oppmerksom på at GEHCS har bedt om at deres svarbrev blir unntatt offentlighet og ber om at brevet blir håndtert i tråd med dette. I nevnte brev bekrefter GEHCS at ingen bilder er overført og at klinisk informasjon er begrenset til type undersøkelse samt registrering av evt. implantat ved mammografi screeningundersøkelser. Forøvrig vises det til tidligere innsendte rapporter fra Helse Stavanger HF til Datatilsynet av henholdsvis 23.3.2012 og 28.3.2012 (vedlegg 3 og 4). 2. En nærmere vurdering fra virksomheten av hvorvidt leverandøren har hatt tilgang til helseopplysninger i samsvar med helseregisterloven 13. Det vises her også til at tilgang bare kan gis i den grad dette er nødvendig for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt, jf helseregisterloven 13 første ledd annet punktum. Leverandøren skulle ikke hatt tilgang til helseopplysninger jf. Helseregisterloven 13. Helseopplysninger var ikke nødvendig for det avtalte arbeidet. For å oppnå nødvendig driftsstabilitet/tilgjengelighet er det for denne type komplekst utstyr nødvendig med aktiv støtte/overvåking fra leverandør. Den legitime tilgang leverandøren har hatt, har vært nødvendig basert på behov for å kunne understøtte vedlikehold, oppgradering og drift. Dette er en teknisk overvåking og skulle ikke medført at leverandøren også fikk tilgang til helseopplysninger. 3. En nærmere vurdering av virksomhetens ivaretakelse av krav om systematiske tiltak for informasjonssikkerhet etter helseregisterlovens 16 og personopplysningsforskriftens kapittel 2. Herunder ivaretakelse av sikkerhet hos andre virksomheter etter personopplysningsforskriftens 2-15. Side 3 av 6

Helse Stavanger HF er kjent med sitt ansvar i helseregisterlovens 16 som databehandlingsansvarlig. GEHCS har i strid med nødvendig informasjonsbehov hentet ut helseopplysninger. Informasjonssikkerhet samt risiko- og sårbarhetsvurderinger har stort fokus i Helse Stavanger HF. Dette har resultert i at vi er i sluttfasen av å oppdatere "Styringssystem for Informasjonssikkerhet". Styringssystemet angir blant annet virksomhetens sikkerhetsmål og sikkerhetsstrategi og gir anvisninger for ledelse, organisering, tiltak, forholdet til andre virksomheter, oppfølging og dokumentasjon. Et sentralt element i sikkerhetsarbeidet er at dette skal gjøres med utgangspunkt i risikovurderinger. Det er derfor utarbeidet en egen rutine for dette. Denne saken avdekker behov for ytterligere tiltak for å sikre tilfredsstillende informasjonssikkerhet. Vi vil kartlegge relevant medisinsk teknisk utstyr og sjekke at nødvendige risikovurderinger er gjort og implementere risikoreduserende tiltak. 4. Overordnet teknisk beskrivelse av løsning og virksomhetens risikovurdering av denne på tidspunktet for hendelsen, jf. helseregisterloven 16 og personopplysningsforskriften 2-4 og 2-7. Med referanse til svar i punkt 1 over, er det her gitt en teknisk beskrivelse av Site-to-site VPN slik dette konkret er satt opp overfor GEHCS. Figuren på neste side viser detaljene i denne konfigurasjonen. Figuren over viser den tekniske innretningen av site-to-site VPN benyttet overfor GEHCS. Figuren viser brannmur og VPN konsentrator hos Helse Vest IKT og default innstillingene for trafikk gjennom disse. Trafikk fra Helse Vest til GEHCS er satt åpen fra Helse Vest til GEHCS for å kunne understøtte den kontinuerlige trafikken av teknisk informasjon fra MTU til GE. Krypteringen er 128 bits. Side 4 av 6

Det er her viktig å understreke at trafikk ut gjennom denne kanalen og med de sikkerhetsløsningene som er benyttet, er avgrenset til GEHCS sitt overvåkningssystem. Utgående trafikk kan ikke sendes til andre parter, og informasjonen kan heller ikke dekrypteres av andre parter. Internt i Helse Vest sitt nettverk er kanalen avgrenset til det MTU som kanalen er satt opp for å understøtte. Dette er således ikke en åpen kanal inn i Helse Vest sitt nettverk, men en avgrenset kanal til definert utstyr. I lys av at dette er en kanal for direkte samhandling mellom systemer, MTU og GEHCS sitt tekniske overvåkningssystem, er det ikke brukerautentisering i denne VPN løsningen. Som nevnt under punkt 1, er det eksplisitt brukerautentisering ved fjernpålogging til leverandør-vpn. På tidspunktet for denne hendelsen var det ikke gjort en egen risiko- og sårbarhetsvurdering av denne tekniske løsningen. Helse Stavanger HF har nå tatt initiativ overfor Helse Vest IKT for risikovurdering av den tekniske løsningen. Informasjon til pasienter. I forhold til «Varsel om vedtak» fra Datatilsynet har Helse Stavanger HF noen spørsmål/vurderinger rundt pkt 3 om informasjonsplikt. Helse Stavanger HF har informert om avviket i to artikler på våre nettsider, www.sus.no. I tillegg har vi orientert Brukerutvalget i Helse Stavanger HF. Utover dette er vi i tvil om det er riktig med for ytterligere informasjonstiltak fordi: Skadeomfanget både for den enkelte og samlet er relativt begrenset. Helse Stavanger HF har ikke mottatt tilstrekkelig detaljert informasjon fra GEHCS til å tilskrive hver enkelt. Å framskaffe tilstrekkelig detaljert informasjon vil bety at dataene som nå er «låst ned» hos GEHCS, må gjøres tilgjengelig og analyseres. Dette innebærer i seg selv risiko for ytterligere spredning av informasjonen. Vi er i tvil om denne risikoen står i rimelig forhold til den begrensede skade den enkelte kan være påført og mottakernes behov for informasjon for å kunne ivareta egne interesser. Informasjon i form av et brev til mange tusen personer vil medføre at det må organiseres et stort og ressurskrevende apparat for å motta henvendelser i etterkant, da man må påregne at et slikt brev vil medføre at en viss andel av mottakerne vil føle usikkerhet og behov for ytterligere informasjon. Ressursinnsatsen ved utvidede tiltak for informasjon vil følgelig etter Helse Stavanger HFs oppfatning ikke stå i samsvar med avviket som er oppdaget. Vi avventer eventuelle ytterligere aksjoner i forbindelse med informasjon til vi mottar Datatilsynets vurderinger og endelige vedtak. Med vennlig hilsen Bård Lilleeng Administrerende direktør. Side 5 av 6

Vedlegg 1: Brev fra Helse Vest RHF til GE Healthcare Technologies Norway AS datert 30.03.2012. Vedlegg 2: Brev fra GE Healthcare Technologies Norway AS til Helse Vest RHF. Vedlegg 3: Brev fra Helse Stavanger HF til Datatilsynet datert 23.03.2012. Vedlegg 4: Brev fra Helse Stavanger HF til Datatilsynet datert 28.03.2012. Side 6 av 6

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding