Sundheds- og Ældreudvalget 2017-18
SUU Alm.del Bilag 186
Offentligt
1848241_0001.png
Sundheds- og Ældreministeriet
Enhed: SUNDOK
Sagsbeh.: DEPSSBO
Koordineret med:
Sagsnr.: SJ-STD-DEPSSBO
Dok. nr.: 518516
Dato: 11-01-2018
NOTAT
Orientering om indsats for informationssikkerhed i almen praksis
Problemstilling/resumé
Sundheds- og Ældreministeriet og Praktiserende Lægers Organisationer samarbejder om
en indsats for bedre informations- og cybersikkerhed og har gennemført eller
gennemfører en række aktiviteter i perioden 2016-2018. Der er i efteråret 2017
gennemført en gap-analyse, som giver en pejling af status på it-sikkerheden i almen
praksis. Analysen viser, at systemhusene generelt har en forsvarlig informationssikkerhed,
og at det er de praktiserende læger selv, som udgør den største udfordring for
informationssikkerheden i almen praksis ift. den fysiske sikkerhed omkring adgang til it-
systemerne i lægeklinikkerne.
Der igangsættes med udgangspunkt i analysens resultater en informationskampagne, der
skal skabe øget opmærksomhed og viden om informationssikkerhed og omgang med
personfølsomme oplysninger i lægeklinikken for derved at løfte det generelle
beskyttelsesniveau i almen praksis. Det handler blandt andet om at sikre back-up af
patientjournalerne, fysisk sikkerhed om serverne i klinikken og at adgangskoderne til
systemerne er stærke og bliver udskiftet regelmæssigt.
Baggrund
Alle praktiserende læger arbejder i dag i digitale journalsystemer og har som private
erhvervsdrivende ansvaret for at sikre et tilstrækkeligt niveau af informations- og
cybersikkerhed om patienternes data. Almen praksis indgår imidlertid i et tæt samarbejde
med sygehuset og kommunen, og oplysninger om patienterne deles digitalt som led i den
daglige kommunikation om patientbehandlingen. Det betyder, at sikkerhedsbrud på
systemerne kan få alvorlige konsekvenser for borgernes retssikkerhed og for
patientbehandlingen i hele sundhedsvæsenet. Sundheds- og Ældreministeriet (SUM) og
Praktiserende Lægers Organisationer (PLO) har derfor igangsat et samarbejde om en
indsats for bedre informations- og cybersikkerhed og et ensartet højt niveau i almen
praksissektoren.
Borgerne skal have sikkerhed for, at deres fortrolige oplysninger ikke bliver tilgået
uberettiget. Indsatsen er derfor en grundlæggende forudsætning for øget digitalisering i
almen praksis og for det digitale samspil med det omgivende sundhedsvæsen. Behovet
underbygges desuden af den kommende EU-forordning vedr. persondatabeskyttelse med
virkning fra 25. maj 2018. Det bemærkes, at i modsætning til den offentlige del af
sundhedsvæsenet vil almen praksis blive fuldt omfattet af de nye strafbestemmelser,
 SUU, Alm.del - 2017-18 - Bilag 186: Orientering om indsats for informations- og cybersikkerhed i almen praksis, fra sundhedsministeren
hvorfor lægerne også er økonomisk motiverede til at sikre sig holdbare løsninger, hvad
angår persondatabeskyttelse.
Der er udmøntet 1 mio. kr. til indsatsen finansieret af midler afsat på Finansloven fra 2016
og frem til prioriterede it-initiativer i almen praksis, som har til formål at styrke
sammenhængen og kvaliteten i behandlingen i almen praksis og styrke det digitale
samarbejde mellem sektorerne i sundhedsvæsenet. Indsatsen indgår desuden i den
fællesoffentlige Strategi for digital sundhed 2018-2022 ”Et sikkert og sammenhængende
sundhedsnetværk for alle”.
Indsatsens indhold
Indsatsen består af tre delinitiativer, som er gennemført eller skal gennemføres i perioden
2016-2018:
1. Pixi-udgave af Sundhedsdatastyrelsen informationsvejledning
2. Gap-analyse med bl.a. compliancetest af systemleverandørerne og lægehus
3. Informationskampagne for praktiserende læger
Ad 1) Pixi-udgave af Sundhedsdatastyrelsen informationsvejledning
Der er i 2016 i samarbejde med PLO, MedCom og Sundhedsdatastyrelsen udarbejdet en
pixi-udgave af Sundhedsdatastyrelsens vejledning om informationssikkerhed særligt
målrettet praktiserende læger. Pixien blev udsendt i en trykt version til alle praktiserende
læger i foråret 2017.
Ad 2) Gap-analyse af datasikkerhed hos systemleverandørerne og praktiserende læger
Der er i efteråret 2017 gennemført en gap-analyse, som giver en pejling af status på it-
sikkerheden i almen praksis, herunder status for, at de alment praktiserende læger
kommer i overensstemmelse med databeskyttelsesforordningen samt eventuelle mangler
ift. gældende krav. Analysen er gennemført af it-sikkerheds-konsulenter, som har besøgt
alle de otte it-leverandører (systemhusene) i almen praksis samt foretaget enkelte
strikprøvebesøg hos praktiserende læger. De er blevet "tryktestet" af konsulenter for at
kunne identificere de områder, der kræver størst opmærksomhed ift.
informationssikkerhed og compliance med databeskyttelsesforordningen. Tre af de otte
systemhuse genbesøges i foråret 2018 for at genteste systemhusene ift. de områder, hvor
konsulenterne vurderede, at der var behov for opfølgning.
Analysen viser, at systemhusene generelt har en forsvarlig informationssikkerhed, og at
det derfor er de praktiserende læger selv, som udgør den største udfordring for
informationssikkerheden i almen praksis ift. den fysiske informationssikkerhed i klinikken
blandt andet vedrørende fysisk sikring af it-servere eller adgangskontrol på it-systemer fx
at adgangskoderne ikke skiftes ofte nok. Analysen peger desuden på, at de praktiserende
læger har en forkert forventning om, at ansvaret for it-sikkerheden ligger hos deres it-
leverandør, og samtidig fravælger lægerne i stort omfang de ”sikkerhedspakker”, som
systemhusene tilbyder. De eksterne konsulenter, som har gennemført analysen,
konkluderer i deres afrapportering, at det er tvivlsomt om de praktiserende læger på
nuværende tidspunkt opfylder de kommende krav i EU’s databeskyttelsesforordning, som
derfor skal imødekommes inden 25. maj 2018.
Ad 3) Informationskampagne hos praktiserende læger
Side 2
 SUU, Alm.del - 2017-18 - Bilag 186: Orientering om indsats for informations- og cybersikkerhed i almen praksis, fra sundhedsministeren
Med udgangspunkt i gap-analysens resultater er der igangsat et arbejde for en samlet
informationskampagne om bedre it- og datasikkerhed målrettet praksisklinikkerne, dvs. de
dataansvarlige praktiserende læger og deres personale. Kampagnen skal skabe øget
opmærksomhed og viden om informationssikkerhed og omgang med personfølsomme
oplysninger i klinikken for derved at løfte det generelle beskyttelsesniveau i almen praksis.
Kampagnen forberedes i et samarbejde mellem eksterne konsulenter. Den lanceres i
februar 2018 og forventes at strække sig over det meste af 2018 på forskellige
kommunikationskanaler (mailkampagne, videoer, artikler og sociale medier).
PLO afholder desuden i 2018 en række stormøder, som led i informationskampagnen, der
har til formål at skabe øget bevidsthed blandt lægerne om deres ansvar og krav i den
kommende databeskyttelsesforordning. Endvidere lancerer PLO en hjemmeside med
information og vejledninger på www.laeger.dk (under PLO) med en række informationer
til læger og systemhusene med gode råd til håndtering af it-og informationssikkerhed, en
dataflowsbeskrivelse, en køreplan for tilsyn af it-sikkerhed samt en fælles skabelon for
indgåelse af databehandleraftaler mellem lægerne og systemhusene.
Sundheds- og Ældreministeriet vil inden udgangen af 2018 gøre status på indsatsen,
herunder en vurdering af, om der er behov for en yderligere tiltag målrettet
informationssikkerhed almen praksis som led i indsatsen under Strategi for digital sundhed
2018-2022. Det bemærkes desuden, at Sundheds- og Ældreministeriet med en
risikobaseret tilgang løbende igangsætter tiltag for at styrke cyber- og
informationssikkerhed i hele sundhedsvæsenet blandt andet i en kommende
sektorstrategi for sundhedssektoren i forlængelse af regeringens arbejde med national
strategi for cyber- og informationssikkerhed.
Side 3