Rigsrevisionen: Sundhedsdatastyrelsen svigter it-sikkerhed omkring følsomme patientdata

Følsomme patientdata hos Sundhedsdatastyrelsen er ifølge Rigsrevisionen i fare for at komme i forkerte hænder som følge af mangler i it-sikkerheden. Sundhedsdatastyrelsen afviser, at borgerdata har været i fare.

Sundhedsdatastyrelsen får klø fra Rigsrevisionen for ikke at have styr på it-sikkerheden i it-infrastrukturen, herunder netværk, som i mange tilfælde også håndterer følsomme persondata om patienter.

»Mange af systemerne indeholder desuden følsomme persondata om patienter. På den baggrund finder Rigsrevisionen, at manglerne i itsikkerheden er yderligere kritisable,« skriver Rigsrevisionen i en ny beretning om statens forvaltning.

Konkret medfører manglerne en risiko for, at uvedkommende, der uretmæssigt kommer forbi sikkerhedssystemerne, »kan bryde ind i kritiske systemer og skaffe sig adgang til systemer og data«, lyder det fra Rigsrevisionen.

Det understreges dog, at svaghederne ikke er fundet i sundheds-it-systemer, der betjener offentligheden, f.eks. Fælles Medicinkort, men at det handler om interne fagsystemer, som Sundhedsdatastyrelsen drifter hos især Statens Serum Institut.

Det er bl.a. systemer, der er nødvendige for diagnostik, infektionsberedskab og vaccineforsyning eller systemer, der indgår i forskning og analysearbejdet.

Men det er dog som nævnt systemer, der ikke alene indeholder persondata, men også følsomme persondata, som ifølge Datatilsynets definition f.eks. kan være helbredsoplysninger, genetiske data, biometriske data og oplysninger om seksuelle forhold.

Kritiseret siden 2013

Det er langtfra første gang, at Sundhedsdatastyrelsen - eller de forudgående tilsvarende offentlige organisationer som NSI - får kritik af it-sikkerheden. Rigsrevisionen har nemlig kritiseret mangler i it-sikkerheden siden 2013.

»Nogle af kritikpunkterne er rettet op, men vi har hvert år siden 2013 konstateret en række nye eller tidligere påpegede alvorlige mangler i it-sikkerheden, der fortsat ikke er løst,« lyder det i beretningen.

Vicedirektør Flemming Christiansen, Sundhedsdatastyrelsen, svarer ifølge en meddelelse., at man tager kritikken alvorligt:

»Vi vil være i front med it-sikkerheden, og derfor ser vi frem til at komme i mål med moderniseringen af netværket,« siger Flemming Christiansen.

Sundhedsdatastyrelsen oplyser, at Rigsrevisionens kritik handler om ,at styrelsen er forsinkede med at indføre mere tidssvarende standarder på netværket på en adresse.

Styrelsen afviser til gengæld, at svaghederne har medført en risiko for patientdata.

»Borgernes data har efter vores opfattelse ikke været i fare. Sundhedsdatastyrelsen har moderniseret it-infrastrukturen i Sundheds- og Ældreministeriet på en lang række områder og har styrket sikkerheden væsentligt. I moderniseringen af netværket er vi stødt på fysiske begrænsninger på en af vores matrikler, hvor netværkskablerne ikke understøtter de mere tidssvarende sikkerhedsstandarder«, fortæller Flemming Christiansen.

Banedanmark har ikke styr på admin-rettigheder

Også Rigspolitiet og Banedanmark får kritik for alvorlige mangler i it-sikkerheden.

Rigspolitiet sløser med at sikre it-infrastrukturen fysisk mod f.eks. ekstrem regn og varme.

Det kan i værste fald føre til svigt i politiets kritiske it-infrastruktur, og at det vil tage uacceptabelt lang tid at genetablere driften.

»Et eventuelt svigt vil kunne påvirke politiets evne til at varetage sine opgaver, fx inden for alarmberedskab og opslag i forskellige registre i forbindelse med efterforskning,« skriver Rigsrevisionen.

Endelig får Banedanmark kritik for it-sikkerheden. Eksempelvis er sikkerheden forringet i forhold til logning.

Men der sløses også med admin-rettigheder, der gives til interne medarbejdere og konsulenter.

»Banedanmark har en mangelfuld styring, kontrol og logning af udvidede administratorrettigheder, hvilket indebærer risiko for misbrug af rettighederne og uretmæssig adgang til Banedanmarks systemer og data,« skriver Rigsrevisionen i beretningen.

I værste fald kan hackere få adgang til kritiske data, lyder det.

Banedanmark må se at få reduceret omfanget af bl.a. eksterne konsulenter, der har udvidede administratorrettigheder.

Alle tre kritiserede institutioner er ifølge Rigsrevisionen i gang med at rette op på sårbarheder og mangler.