Patientdataforeningen
v/ Formand Thomas Birk Kristiansen
Peblinge Dosseringe 20, 3. tv
2200 København N
17. maj 2016
Dataoverførsel via Sentinel, til og fra lægepraksis
Patientdataforeningen har bedt mig undersøge, om der foregår dataoverførsler mellem Sentinel-installationerne
1
i lægepraksis og den centrale server
2
via Sundhedsdatanettet. Jeg har imellem den 10. og 12. maj 2016
undersøgt en Sentinel-installation, hvor den lokale Sentinel-server var installeret på en server i lægepraksis.
Den undersøgte installation har version 3.7.1.0. Sentinel-serveren er konfigureret til automatisk at søge
efter og installere softwareopdateringer. Sentinel-installationen blev automatisk opdateret til den aktuelle
version den 17. februar 2015. Sentinel-klienterne høster ufiltreret data fra journalsystemet og sender disse
via lokalnetværk til den lokale Sentinel-server, der gemmer data i en lokal MS-SQL-database. Sentinel-
installationen er sat op til automatisk at foretage overførsel af udvalgte høstede data til den centrale
server. Dette sker hver anden time. Det er ikke muligt ved hjælp af brugerfladen at ændre på denne
opdateringsfrekvens eller at slå den fra. Det er dog muligt at ændre på visse parametre for synkroniseringen
3
,
således at synkroniseringen mislykkes.
Grundet den automatiske overførsel af data hver anden time til den centrale server, var det svært at
danne sig et retvisende billede af hvilke data der blev overført. Derfor blev kommunikationen med den
centrale server blokeret i to dage. Da blokeringen igen blev ophævet, blev der samtidigt taget en kopi af
netværkstrafikken.
Kommunikationen med den centrale server foregår via
SOAP-beskeder
sendt via
HTTP.
Trafikken er ikke
krypteret og den lokale Sentinel-server har ikke mulighed for at verificere, om den kommunikerer med den
korrekte centrale server. Ganske få oplysninger i
SOAP-beskederne
er krypteret, men krypteringen er baseret
på en statisk nøgle for alle installationer, hvilket gør krypteringen ganske ineffektiv.
Data der udveksles
To forskellige typer af data udvekles. Først overføres data om
alle
projekter/pop-up’er fra central server til
lokal server
4
. Herefter overføres der udvalgte oplysninger fra MS-SQL-databasen via den lokale server til
den centrale server
5
.
I min undersøgelse fandt jeg, at der blev overført oplysninger om 260 patienter fra tabellen
PatientPopulation
fra den lokale SQL-database til den centrale server. Tabellen rummer følgende oplysninger, og for alle de
overførte poster angav feltet
Opdateret,
at oplysningerne var opdateret i den periode hvor blokeringen af
overførsel var etableret:
Sentinel-installationerne består af Sentinel-klienter på lægernes kontorcomputere, Sentinel-serveren samt MS-SQL-
databasen
Sentinel
installeret på den lokale praksis-server eller hos systemhus.
2
Serveren
sentinel.fea.medcom
er formodenligt placereret hos DAK-E i Odense
3
IP-adressen på synkroniseringsserveren kan fx. ændres til den lokale loopback-adresse
127.0.0.1.
Bemærk at IP-adressen
ikke bør ændres til en vilkårlig IP-adresse, i det der potentielt kan blive overført oplysninger om patienter til denne.
4
SOAP-kaldet GetChanges
5
SOAP-kaldet submitData2
1