Overblik: Revision af sundhedsdata
REVISION: Rigsrevisionen offentliggjorde i sidste uge deres beretning om revisionen af statsregnskabet for 2015. I beretningen fremgår en enkelt sag på sundhedsområdet, som omhandler utilstrækkelig styring af IT-sikkerhed i sundhedsdatanettet.
Martin Lyngbæk Olsen
Projektkoordinator
Jeppe Rohde Fransson
UniversitetspraktikantHer får du overblik over sagen på sundhedsdataområdet.
Utilstrækkelig styring af it-sikkerheden i sundhedsdatanettet hos MedCom
MedCom udarbejdede ikke årlige risikovurderinger af sundhedsdatanettet, hvilket betød, at ledelsen ikke havde taget stilling til, om it-sikkerheden var tilstrækkelig. MedCom havde ikke politikker og retningslinjer for, hvordan leverandørstyring, adgangsstyring og ændringsstyring skulle udmøntes i praksis. Endelig havde MedCom ikke udarbejdet en beredskabsplan for sundhedsdatanettet, hvilket kan få alvorlige konsekvenser, for eksempel for patienters liv og helbred.
MedCom godkendte de brugere, som skulle have administratoradgang til sundhedsdatanettet hos de tilsluttede virksomheder. Disse administratorer godkendte herefter egne lokale brugeres adgang til sundhedsdatanettet. MedCom førte ikke kontrol med de tilsluttede virksomheders administratorer og deres kontrol med egne lokale brugeres adgang til sundhedsdatanettet.
MedCom vurderede endvidere ikke, om driftsleverandørens medarbejdere havde et arbejdsbetinget behov for administratoradgang til sundhedsdatanettet og de bagvedliggende støttesystemer, og førte ikke løbende kontrol med driftsleverandørens administratorrettigheder. Da MedCom ikke førte kontrol med disse administratorrettigheder, var der risiko for, at uvedkommende via støttesystemerne kunne få adgang til sundhedsdatanettet.
Sundhedsdatanettet er et sikret netværk til datakommunikation i sundhedssektoren. Sundhedsdatanettet består af et netværk, aftalesystemet og støttesystemer.
Sundhedsdatanettet er alene et transportnet, hvor oplysninger transmitteres.
Aftalesystemet styrer, hvem der via sundhedsdatanettet kan kommunikere og udveksle informationer.
Støttesystemerne sikrer, at der tages backup og opsamles statistik om oppetider med videre.
Driften varetages af en ekstern driftsleverandør.
Kilde: Rigsrevisionens beretning om revisionen af statsregnskabet for 2015
Sundhedsdatanettet transporterer både ukrypterede og krypterede patientoplysninger. Endelig vurderede MedCom ikke sårbarheder i sundhedsdatanettet og foretog ikke sikkerhedstests af alle indgange fra internettet til sundhedsdatanettet.
Rigsrevisionen vurderer, at MedCom’s styring af it-sikkerheden i sundhedsdatanettet er utilstrækkelig.
---
Kilde: Rigsrevisionens beretning om revisionen af statsregnskabet for 2015
