SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 308: MFU spm. om ministeren vil kommentere artiklen "Region Hovedstaden hyrer Hizb ut-Tahrir topfolk" fra Ekstra Bladet den 18. december 2016 samt indhente en redegørelse fra Region Hovedstaden bl.a. med information om, hvilke oplysninger Region Hovedstaden præcist har givet ekstremisterne adgang til, hvilke oplysninger de uden tilladelse kan have fået adgang til samt om de har haft mulighed for at hacke sig ind i bestemte fortrolige oplysninger, til sundhedsministeren

Sundheds- og Ældreudvalget 2016-17
SUU Alm.del
Offentligt

Holbergsgade 6

DK-1057 København K

T +45 7226 9000

F +45 7226 9001

M [email protected]

W sum.dk

Folketingets Sundheds- og Ældreudvalg

Dato: 16-01-2017

Enhed: Sundhedsøkonomi, Syge-

husbyggeri, Koncernøkonomi og

Analyse

Sagsbeh.: DEPMAHA

Sagsnr.: 1611417

Dok. nr.: 262361

Folketingets Sundheds- og Ældreudvalg har på vegne af Martin Henriksen (DF) den

19. december 2016 stillet følgende spørgsmål nr. 308 (Alm. del) til sundheds- og æl-

dreministeren, som hermed besvares.

Spørgsmål nr. 308:

”Vil ministeren kommentere artiklen "Region Hovedstaden hyrer Hizb ut-Tahrir-

topfolk" fra Ekstra Bladet den 18. december 2016 samt indhente en redegørelse fra

Region Hovedstaden bl.a. med information om, hvilke oplysninger Region Hovedsta-

den præcist har givet ekstremisterne adgang til, hvilke oplysninger de uden tilladelse

kan have fået adgang til samt om de har haft mulighed for at hacke sig ind i bestemte

fortrolige oplysninger. Ministeren bedes endvidere oplyse, hvilke konsekvenser den-

ne sikkerhedsbrist vil få for Region Hovedstaden? Der henvises til:

http://ekstrabladet.dk/nyheder/samfund/region-hovedstaden-hyrer-hizb-ut-tahrir-

topfolk/6456040”

Svar:

It-sikkerhed er en hel central prioritet for regeringen. I december 2016 indledte rege-

ringen arbejdet med en ny strategi for cyber- og informationssikkerhed, som skal gø-

re danske myndigheder og private aktører inden for centrale sektorer, herunder

sundhedssektoren, bedre rustet til at beskytte den danske digitale infrastruktur.

For mig som sundhedsminister er det selvfølgelig afgørende, at der er sikkerhed om

og tillid til, at sundhedsdata og dermed relevante it-systemer, sikkerhedsprocedurer

mv. fungerer betryggende i hele sundhedssektoren. I ØA 2016 aftalte regionerne og

regeringen at styrke informationssikkerheden i regionerne ved at sikre fælles obliga-

toriske retningslinjer og krav til informationssikkerhed, risikostyring og kontroller.

I forhold til den konkrete sag oplyser Region Hovedstaden bl.a., at:

”Sundhedsplatformen er generelt baseret på det princip, at brugerne kun har adgang

til de informationer og funktioner i systemet, som de har brug for i forhold til at vare-

tage deres specifikke arbejdsopgaver. Som et led i denne generelle ramme for de sik-

kerhedsmæssige forhold er det sædvanlig procedure, at personer, der fx arbejder

med at teste systemet, bliver oprettet som testprofiler, hvor de kun har adgang til

testmiljøer. Det betyder bl.a., at de ikke har adgang til egentlige patientdata eller an-

dre personfølsomme data, fordi dette ikke er relevant i forhold til den konkrete op-

gaveløsning.

Adgangen til Sundhedsplatformen sker i henhold til gældende lovgivning, og alle akti-

viteter og handlinger logges for hver enkelt bruger. Logningen indeholder bl.a. infor-

mation om brugeres identitet, tidspunktet for handlingen og arbejdsstation.

SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 308: MFU spm. om ministeren vil kommentere artiklen "Region Hovedstaden hyrer Hizb ut-Tahrir topfolk" fra Ekstra Bladet den 18. december 2016 samt indhente en redegørelse fra Region Hovedstaden bl.a. med information om, hvilke oplysninger Region Hovedstaden præcist har givet ekstremisterne adgang til, hvilke oplysninger de uden tilladelse kan have fået adgang til samt om de har haft mulighed for at hacke sig ind i bestemte fortrolige oplysninger, til sundhedsministeren

I forbindelse med implementering af Sundhedsplatformen i Region Hovedstaden er

der behov for at teste forskellige funktioner, tilkoble hardware i form af bl.a. pc’ere,

printere, scannere m.m. Til at løse den opgave vedr. ’Technical Dress Rehearsal’ (TDR)

er der bl.a. tilknyttet en række vikarer i kortere eller længere perioder.

De to vikarer er efter sædvanlig procedure, jf. ovenstående, oprettet som testprofiler

og har arbejdet med fiktive testdata i et selvstændigt, fiktivt miljø i Sundhedsplatfor-

men.

Som beskrevet ovenfor logges alle aktiviteter og handlinger, herunder også, om der

sker brud på de tekniske spærringer ind til patientdata og personfølsomme oplysnin-

ger, der er indbygget i Sundhedsplatformen. Region Hovedstaden har gennemgået

logfilerne for de to omtalte vikarer og konkluderet, at der ikke er sket brud på spær-

ringen, og at ingen af dem har haft adgang til personfølsomme data.”

Som det fremgår, er der ifølge Region Hovedstaden ikke sket en overtrædelse eller

brud på sikkerheden.

Med venlig hilsen

Ellen Trane Nørby

Maja Holm Andreasen

Side 2