Úrskurður - Umsögn um HSA

Umsögn stjórnar Persónuverndar byggð á athugun stofnunarinnar á öryggi vinnslu persónuupplýsinga í sameiginlegu sjúkraskrárkerfi Heilbrigðisstofnunar Austurlands, þ.e. svonefndu Sögukerfi

2.9.2003

I.
Almennt um verkefnið

Með bréfi, dags. 7. október 1999, óskaði Heilbrigðisstofnun Austurlands eftir áliti Tölvunefndar, forvera Persónuverndar, á þeirri ráðagerð að setja upp sameiginlegt sjúkraskrárkerfi, svonefnt Sögukerfi, þróað af eMR hf., fyrir allar starfsstöðvar stofnunarinnar, en henni hafði þá nýlega verið komið á fót með sameiningu þeirra heilbrigðisstofnana sem fyrir voru á Austurlandi. Í kjölfar þessa urðu nokkur bréfaskipti milli Tölvunefndar, heilbrigðisstofnunarinnar og heilbrigðis- og tryggingamálaráðuneytisins, og með bréfi, dags. 3. maí 2000, lýsti Tölvunefnd þeirri afstöðu sinni að nauðsynlegt væri að fram færi athugun á öryggi fyrirhugaðs sjúkraskrárkerfis. Var heilbrigðisstofnuninni tilkynnt um það með bréfi, dags. 23. júní s.á. Kom þar og fram að Daða Erni Jónssyni, verkfræðingi hjá Verk- og kerfisfræðistofunni hf., hefði verið falið að gera öryggisathugun og skila skýrslu um niðurstöðu hennar. Þessu næst óskaði Heilbrigðisstofnun Austurlands, með bréfi, dags. 15. júlí 2000 (les: 15. nóvember), eftir áliti Tölvunefndar á því hvort sameiginlegt sjúkraskrárkerfi samrýmdist lögum og hvort mismunandi reglur giltu um sjúkraskrár færðar fyrir og eftir stofnun heilbrigðisstofnunarinnar. Nauðsynleg gögn til að hefja athugunina, þ.e. reglur um aðgang að sameiginlegu sjúkraskrárkerfi, bárust Persónuvernd með bréfi, dags. 26. október s.á. Hóf þá Daði athugun sína ásamt öðrum starfsmanni Verk- og kerfisfræðistofunnar hf., Marinó G. Njálssyni. Þeir luku vinnu sinni með afhendingu á skýrslu, dags. 28. júní 2002. Með bréfi, dags. 18. júlí 2003, var Heilbrigðisstofnun Austurlands boðið að tjá sig um hana. Heilbrigðisstofnunin svaraði með bréfi, dags. 12. ágúst s.á.

II.
Skýrsla Daða Arnar Jónssonar
og Marinó G. Njálssonar

Í skýrslu Daða Arnar Jónssonar og Marinós G. Njálssonar kemur fram að athugun þeirra byggðist einkum á stjórnunarstaðlinum ÍST ISO/IEC 17799:2000 og tilmælum landlæknis frá 1999 varðandi öryggi sjúkragagna í tölvum. Þá kemur fram að auk þess að kanna öryggi persónuupplýsinga hjá Heilbrigðisstofnun Austurlands var kannað öryggi við hugbúnaðarþróun hjá framleiðanda Sögukerfisins, þ.e. eMR hf. Beindist sú athugun að tveimur útgáfum af þessu kerfi, þ.e. útgáfu 2.6 og útgáfu 3.1, en með þeirri síðarnefndu voru gerðar ýmsar úrbætur. Samkvæmt skýrslunni eru margir þættir í Sögukerfinu fullnægjandi, t.d. aðstaða og öryggi á Egilsstöðum, þar sem hýsa á miðlægan tölvubúnað, en nú eru sjúkraskrár varðveittar á mörgum stöðum. Honum tilheyrir m.a. Oracle-gagnagrunnur sem hýsa á allt kerfið, sem og fjartengingar sem séu beinar og lokaðar. Segir og í bréfi frá Heilbrigðisstofnun Austurlands, dags. 20. júní 2003, að öll samskipti heilbrigðisstarfsmanna við gagnagrunninn muni verða á lokuðum símalínum, en bréfið fylgdi tilkynningu (nr. S1412) um að senn ætti að taka Sögukerfið í notkun. Í skýrslu Daða og Marinós er hins vegar vikið að ýmsu sem talið er að bæta þurfi, bæði hjá Heilbrigðisstofnun Austurlands og eMR hf., og eru athugasemdir við Sögukerfið settar fram í þremur áföngum: Fyrst eru raktar þær úrbætur sem talið er að gera þurfi (í 3. kafla). Næst eru dregnar fram meginniðurstöður um styrkleika og veikleika kerfisins (í kafla 4.1). Að lokum eru settar fram þær úrbætur sem taldar eru mikilvægastar (í kafla 4.2).

  1.
Nauðsynlegar úrbætur
samkvæmt skýrslunni

1.1.

Þær úrbætur, sem Daði Örn Jónsson og Marinó G. Njálsson telja Heilbrigðisstofnun Austurlands þurfa að gera, eru að:

Móta öryggisstefnu. Ekki var búið að því þegar skýrslan kom út, en hún var í mótun.

Koma á "innri endurskoðun". Hún var takmörkuð þar sem yfirlæknir gat ekki fylgst með uppflettingum í sjúkraskrám eins og átti þó eigi að vera kleift samkvæmt tilmælum landlæknis (6. liður í tilmælunum).

Skjalfesta ábyrgðarskiptingu vegna öryggis upplýsinga, en búið var að ákveða hana þó að hún hefði ekki verið skjalfest.

Skjalfesta svæðisbundna ábyrgð, en búið var að ákveða hana þó að hún hefði ekki verið skjalfest (sjá 6. lið í tilmælum landlæknis þar sem fjallað er um að skipta skuli notendum í hópa eftir starfssviði).

Skjalfesta aðgang einstakra starfsmanna að sjúkragögnum í samræmi við tilmæli landlæknis (6. liður í tilmælunum).

Ljúka við að skilgreina staðbundna ábyrgð á upplýsingum og öryggisferli (sbr. gr. 4.1.3 í staðlinum ÍST ISO/IEC 17799, en þar segir að ef þörf krefji skuli veita ítarlegri leiðbeiningar um úthlutun á verkefnum og ábyrgð).

Gera áhættumat vegna aðgangs utanaðkomandi aðila til að meta þörf fyrir öryggi og eftirlit.

Skjalfesta kerfi fyrir öryggisflokkun upplýsinga innan Sögukerfisins þannig að ekki sé vafi um hvaða reglur meðhöndlun tiltekinna upplýsinga eigi undir.

Setja fyrirmæli um trúnað um notenda- og aðgangsorð.

Veita öllum starfsmönnum fræðslu um öryggismál.

Setja upp innbrotaviðvörunarkerfi í rými netþjóna og aðliggjandi rými.

Skjalfesta verklagsreglur um hvernig staðið skuli að því að eyða sjúkragögnum, hvort sem þau séu á rafrænu formi eða á pappír.

Dulkóða samskipti notenda og miðlægs tölvukerfis og láta þau fara um VPN-kerfi, þ.e. svonefnt sýndareinkanet.

Skjalfesta verklagsreglu sem kveði á um að þeir einir skuli hafa aðgang að sjúkragögnum einstaklings sem þess þurfi starfs síns vegna, en þetta sé sérstaklega mikilvægt þar sem sameinuð sjúkraskrá verði aðgengileg á öllum heilsugæslustöðvum á starfssvæði Heilbrigðisstofnunar Austurlands. Reglur um hver hafi aðgang að hvaða gögnum og hvenær verði því að vera alveg skýrar, m.a. í tengslum við neyðaraðgang og staðgengilsmál í slíkum tilvikum.

Sjá til þess að yfirlæknir geti takmarkað aðgang að sjúkragögnum einstaklinga, bæði gögnunum í heild og einstökum hlutum þeirra, en þetta var ekki hægt í Sögukerfinu (sjá 6. lið í tilmælum landlæknis).

Sjá til þess að yfirlæknir geti haft eftirlit með umgangi um sjúkragögn, en það var ekki hægt í útgáfu 2.6 af Sögukerfinu og var alvarlegur annmarki á framkvæmd tilmæla landlæknis (6. lið). Í útgáfu 3.1 hafi verið bætt úr þessu, en án þess þó að skilgreint hefði verið hvað skyldu teljast brot, t.d. hnýsni.

Skjalfesta verklagsreglur um ábyrgð og skyldur notenda til að tryggja leynd viðkvæmra upplýsinga.

Móta stefnu um aðgang notenda að Internetinu. Við mótun hennar verði að taka tillit til kröfu landlæknis um að ekki skuli samtímis leyfa aðgang að sjúkragögnum í tölvukerfi og tengjast Internetinu nema að fullnægðum ströngum skilyrðum (7. gr. tilmælanna og viðauki B við þau).

Tryggja að allir notendur hafi einkvæm notendanöfn þannig að hægt verði að rekja aðgerðir til þeirra sem framkvæma þær.

Ljúka við að útbúa og skjalfesta verklagsreglur um fjarþjónustu.

  1.2.

Auk ofangreindra úrbóta, sem talið er að gera þurfi hjá Heilbrigðisstofnun Austurlands, er talið að gera þurfi úrbætur hjá framleiðanda Sögukerfisins, þ.e. eMR hf. Þær eru þessar:

Hindra að starfsmenn Tölvumiðlunar hf., samstarfsfyrirtækis eMR hf., hafi opinn aðgang að hugbúnaðarþróun síðarnefnda félagsins og án eftirlits, enda deili félögin húsnæði að Engjateigi 3, Reykjavík (þetta á ekki lengur við þar sem eMR hf. er flutt á Hlíðasmára 15 í Kópavogi).

Skjalfesta verklagsreglur um tilkynningar um öryggisfrávik.

Skilgreina í Sögukerfinu hvað teljist vera frávik frá leyfilegri notkun svo að það geti sjálfvirkt skráð og varað umsjónar- og ábyrgðaraðila við sé notkun ekki í samræmi við reglur.

Breyta uppflettingum í færsluskrá (log-skrá) þannig að eingöngu ábyrgðaraðilar vinnslu á hverjum stað og þeir sem vinna á þeirra ábyrgð hafi aðgang að skránni, en nú, í útgáfu 2.6 af Sögukerfinu, hafa eingöngu starfsmenn eMR hf. þennan aðgang.

Aðskilja aðgangsstjórnun og réttindastjórnun í Sögukerfinu þannig að sami notandi geti ekki hvort tveggja útbúið notendur og skilgreint aðgang þeirra.

Sjá til þess að sá sem úthluti aðgangsréttindum geti ávallt haft eftirlit með umgengni um sjúkragögn í tölvukerfi.

Koma á aðgangsorðakerfi sem tryggi góð aðgangsorð (þ.e. ekki of einföld).

Takmarka leyfilegan fjölda misheppnaðra innskráningartilrauna við þrjár tilraunir.

Takmarka leyfilegan hámarks- og lágmarkstíma fyrir innskráningarferlið í Sögukerfið – hámarkstíma til að koma í veg fyrir óleyfilegan aðgang ef notandi, sem hafið hefur innskráningu, víkur frá útstöð sinni, og lágmarkstíma til að koma í veg fyrir notkun sérstaks búnaðar við óleyfilegar aðgangstilraunir.

Skilgreina fastan biðtíma í Sögukerfinu áður en hægt verði að skrá sig á ný eftir misheppnaða innskráningu, t.d. fimm sekúndur.

Sjá til þess að birtar verði, að innskráningu lokinni, upplýsingar um dagsetningu og tíma síðustu innskráningar og upplýsingar um innskráningar sem ekki hafa heppnast frá síðustu innskráningu.

Halda utan um misheppnaðar innskráningar.

Skilgreina reglur um góð aðgangsorð.

Sjá til þess að aðgangsorðakerfið haldi utan um eldri aðgangsorð í tólf mánuði til að koma í veg fyrir of öra endurnotkun.

Takmarka tengitíma einstakra notenda og notendahópa (þetta er a.m.k. talið æskilegt).

Takmarka tengitíma einstakra útstöðva (þetta er a.m.k. talið æskilegt).

Taka upp skipuleg vinnubrögð við mótun krafna um upplýsingaöryggi í Sögukerfinu. Við þá mótun verði að hafa í huga að upplýsingarnar séu ítarlegar og fjölbreytilegar og því ekki auðvelt að fela þær í kóðum, auk þess sem þær séu oft í formi samfellds texta sem gefi nákvæma lýsingu á ástandi sjúklings.

Gera, í samráði við heilbrigðis- og tryggingamálaráðuneytið, landlækni og ráðgjafa í öryggismálum upplýsingakerfa, öryggiskröfugreiningu vegna Sögukerfisins.

Ákveða öryggiskröfur og samþykkja þær áður en þær eru innleiddar í Sögukerfið.

Gera ítarlegt áhættumat og áhættugreiningu til að ákveða öryggisráðstafanir og eftirlitsaðgerðir til að fullnægja þeim.

Fela óháðum aðila að rýna kóða og bera saman við öryggiskröfur og koma með því í veg fyrir að í kóðum geti leynst laumuárásir og trójukóðar.

Móta stefnu um notkun dulkóðunar til að vernda upplýsingar. Þeirri ákvörðun að nota ekki dulkóðun að svo stöddu verði að breyta og geyma a.m.k. viðkvæmar persónuupplýsingar dulkóðaðar í Sögukerfinu.

  2.
Styrkleikar og veikleikar
sjúkraskrárkerfisins
samkvæmt skýrslunni

Nú skal vikið að lýsingu Daða Arnar Jónssonar og Marinós G. Njálssonar á styrkleikum og veikleikum Sögukerfisins, hvort tveggja í tengslum við Heilbrigðisstofnun Austurlands og eMR hf.

  2.1.

Helstu styrkleikarnir hjá Heilbrigðisstofnun Austurlands eru taldir vera þessir:

Stofnunin fullnægi flestum atriðum í tilmælum landlæknis frá 1999 varðandi öryggi sjúkragagna í tölvum.

Yfirmenn og tölvumenn stofnunarinnar séu vel meðvitaðir um öryggiskröfur sem þurfi að fullnægja svo að hægt sé að sameina sjúkraskrár.

Aðstaða og öryggi, þar sem ætlunin sé að miðlægur tölvubúnaður verði hýstur, sé að mestu til fyrirmyndar.

Stofnunin sé tilbúin til að leggja út í nauðsynlega vinnu og kostnað við frekari innleiðingu öryggisreglna er kunni að koma út úr athugunarskýrslunni.

2.2.

Helstu veikleikarnir hjá Heilbrigðisstofnun Austurlands eru taldir vera þessir:

Ekki hafi verið gert mat á þeirri áhættu sem fylgi því að sameina allar sjúkraskrár á vegum Heilbrigðisstofnunar Austurlands og varðveita miðlægt á Egilsstöðum (sjá 7. lið undir 1.1).

Ekki hafi verið hugað nægilega að ráðstöfunum í neyðartilfellum (sjá 14. lið undir 1.1).

Öryggisferli séu ekki nógu vel/oft skjalfest.

2.3.

Helstu styrkleikarnir hjá eMR hf. eru taldir vera þessir:

Í Sögukerfinu sé notaður Oracle-gagnagrunnur til að verja gögn fyrir óheimilum aðgangi.

Kerfið bjóði upp á aðskilnað mikilvægra hlutverka, s.s. við kerfisstjórnun og notendaeftirlit.

Viðamiklar færsludagbækur séu haldnar sjálfvirkt í kerfinu og í þær sé skráður allur aðgangur notenda, notkun þeirra og gagnavinnsla.

2.4.

Helstu veikleikarnir hjá eMR hf. eru taldir vera þessir:

Ekki sé til heildaröryggiskröfugreining fyrir Sögukerfið og ekki hafi verið framkvæmt formlegt áhættumat (sjá 19. og 20. lið undir 1.2).

Ekki hafi verið haft eftirlit með þróun kerfisins og því hafi kóði ekki verið rýndur til að ganga úr skugga um að hann fullnægi öryggiskröfum (sjá 21. lið undir 1.2).

Í útgáfu 2.6 af Sögukerfinu hafi yfirstjórnandi ekki nauðsynlegan aðgang að færsludagbókum vegna eftirlits- og stjórnunar (sjá 4. lið undir 1.2).

Ekki hafi verið skilgreint hvaða atriði teljist öryggisfrávik í vinnslu sjúkragagna (sjá 3. lið undir 1.2).

  3.
Mikilvægustu úrbætur sem gera þarf
samkvæmt skýrslunni

Að lokum skulu hér taldar upp þær úrbætur sem Daði Örn Jónsson og Marinó G. Njálsson telja mikilvægastar.

  3.1.

Hvað varðar Heilbrigðisstofnun Austurlands er talið mikilvægast að:

Móta öryggisstefnu sem fullnægi kröfum stjórnunarstaðalsins ÍST ISO/IEC 17799:2000 og þar sem sérstaklega verði tekið á atriðum er lúti að sameinaðri sjúkraskrá.

Gera áhættumat í samræmi við reglur nr. 299/2001 um öryggi persónuupplýsinga og samkvæmt formlegum verklagsreglum sem nái til rekstrarlegrar áhættu sem sé samfara því að sameina allar sjúkraskrár á vegum heilbrigðisstofnunarinnar, enda geti það varðað öryggi sjúklinga að nauðsynlegar skrár séu aðgengilegar þegar þörf sé á (sjá 7. lið undir 1.1).

Velja öryggisráðstafanir í samræmi við ákvæði reglna nr. 299/2001 um öryggi persónuupplýsinga.

Dulkóða samskipti notenda og miðlægs tölvukerfis og láta þau fara um svonefnt sýndareinkanet (VPN) (sjá 13. lið undir 1.1).

Taka í notkun nýjustu útgáfu Sögukerfisins, útgáfu 3.1, þar sem hún bjóði upp á fleiri öryggisráðstafanir en eldri útgáfan, útgáfa 2.6.

Samþykkja og skjalfesta verklagsreglur til að tryggja samræmd vinnubrögð. Þetta þurfi að gera í tengslum við fjölmarga öryggisþætti, sérstaklega hvað varðar aðgang að upplýsingum, þ.e. neyðaraðgang og staðgengilsmál (annars staðar í skýrslunni er vikið nánar að þessu og segir þar að m.a. hafi ekki verið útbúnar verklagsreglur um ræsingu og niðurkeyrslu, afritunartöku, viðhald tækja, umsjón með tölvuherbergjum, hollustuhætti og öryggi, en þessar reglur séu í vinnslu og drög að þeim sé að finna í ófullburða útgáfu af kerfishandbók heilbrigðisstofnunarinnar).

  3.2.

Hvað varðar eMR hf. er talið mikilvægast að:

Stofna starfshóp sem falið verði að vinna öryggiskröfugreiningu fyrir Sögukerfið, þ. á m. með ítarlegu áhættumati og áhættugreiningu, og viðhalda henni samhliða þróun kerfisins. Starfshópinn ætti að stofna af heilbrigðis- og tryggingamálaráðuneytinu í samráði við eMR hf. (sjá 19. og 20. lið undir 1.2).

Fá sérfræðing í öryggismálum til að fylgjast með þróun Sögukerfisins og hafa eftirlit með því að öryggiskröfur verði innleiddar á réttan hátt og virki eins og til sé ætlast (sjá 21. lið undir 1.2).

Afmarka öryggiskröfur og samþykkja þær áður en þær verði innleiddar (sjá 19. lið undir 1.2).

Setja upp formlegt ferli við samþykkt og útgáfu verklagsreglna er lúti að hönnun, þróun og prófun nýrra útgáfa af Sögukerfinu til að tryggja samræmd, örugg og árangursrík vinnubrögð (sjá 17. lið undir 1.2).

Koma á skýrari aðskilnaði milli starfssvæða eMR hf. og Tölvumiðlunar hf. á Engjateigi 3 í Reykjavík (þetta á ekki lengur við þar sem eMR hf. er flutt á Hlíðasmára 15 í Kópavogi) og láta starfsmenn skrifa undir trúnaðaryfirlýsingar.

Geyma viðkvæmar persónuupplýsingar dulkóðaðar í Sögukerfinu (sjá 22. lið undir 1.2).

Auka möguleika ábyrgðaraðila til að fylgjast með notkun kerfisins og skilgreina hvað séu frávik frá eðlilegri notkun (sjá 4. lið undir 1.2).

Bæta innskráningarferli í Sögukerfið svo að tryggja megi gæði aðgangsorða, takmarka leyfilegan fjölda innskráninga, takmarka hámarks- og lágmarkstíma fyrir innskráningarferlið og fleira í tengslum við það.

  4.
Athugasemdir Heilbrigðisstofnunar
Austurlands við skýrsluna
og önnur gögn frá henni

Í bréfi Heilbrigðisstofnunar Austurlands til Persónuverndar, dags. 12. ágúst 2003, eru gerðar eftirfarandi athugasemdir við skýrslu Daða Arnar Jónassonar og Marinós G. Njálssonar:

Í skýrslunni segi að samskipti milli notenda og miðlægs tölvukerfis ættu að vera dulkóðuð og fara fram í gegnum VPN-kerfi (sjá 13. lið undir 1.1 og 4. lið undir 3.1 hér að ofan). Hins vegar verði að líta til þess að allar tengingar innan starfsstöðvar heilbrigðisstofnunarinnar séu á einkaneti. Leigulínur séu á milli staða. Ekki sé farið um IP-net Landsímans eða önnur samnýtt net. Öll samskipti netþjóns og notenda séu að auki dulkóðuð (með "Microsoft Terminal Server – High Encryption").

Í skýrslunni segi að taka verði upp nýjustu útgáfu af Sögukerfinu, útgáfu 3.1, enda bjóði hún upp á fleiri öryggisráðstafanir en eldri útgáfa, útgáfa 2.6 (sjá 16. lið undir 1.1, 4. lið undir 1.2, 3. lið undir 2.4 og 5. lið undir 3.1 hér að ofan). Nú standi heilbrigðisstofnunin frammi fyrir því verkefni að taka upp útgáfu 3.1. Áður en af því geti orðið þurfi að sameina gagnagrunnanna sem nú geymi sjúkraskrár stofnunarinnar. Að því loknu verði útgáfa 3.1 tekin upp. Það væri mun einfaldara að og ódýrara að ljúka samkeyrslu í "Oracle 7.3" (því kerfi sem gagnagrunnarnir eru nú hýstir í og notað er í útgáfu 2.6) en að uppfæra fyrst alla gagnagrunnana í "Oracle 9" (sem er það kerfi sem notað er í útgáfu 3.1).

Í skýrslunni segi að verklagsreglur um ræsingu og niðurkeyrslu og afritunartöku vanti, en nú séu hins vegar til slíkar reglur (sjá 6. lið undir 3.1 hér að ofan).

Til viðbótar því sem fram kemur skýrslunni er bent á að netþjónar annars staðar en á Egilsstöðum, þar sem fyrirhugað er að Sögukerfið verið hýst í heild sinni, séu sumir hverjir á óviðunandi stöðum þar sem ekki sé gerlegt að verja þá. Sameining sjúkraskráa auki öryggi hvað þetta varði (sjá í þessu sambandi 3. lið undir 2.1 hér að ofan).

Auk ofangreindra athugasemda Heilbrigðisstofnunar Austurlands barst Persónuvernd, hinn 20. júní 2003, tilkynning frá stofnuninni (nr. S1412) um að Sögukerfið yrði senn tekið í notkun. Tilkynningunni fylgdi bréf, dags. s.d., þar sem því er lýst hvernig uppsetningunni verði háttað. Segir m.a. að mun ódýrara og einfaldara verði að setja kerfið upp þannig að sjúkraskrárnar verði sameinaðar í útgáfu 2.6 af Sögukerfinu og síðan færðar í heild sinni yfir í útgáfu 3.1. Hinn 18. ágúst 2003 átti starfsmaður Persónuverndar símtal við lækningaforstjóra heilbrigðisstofnunarinnar og kvað hann unnt að gera þetta á þann hátt að í útgáfu 2.6 færi eingöngu fram sameining sjúkraskráa, en þær yrðu færðar yfir í útgáfu 3.1 áður en nokkur frekari vinnsla hæfist í sameiginlegu sjúkraskrárkerfi.

Einnig kemur fram í bréfi Heilbrigðisstofnunar Austurlands, dags. 20. júní 2003, að hún telji hverfandi möguleika verða á samslætti Sögukerfisins og Internetsins þar sem kerfið verði vistað á öðrum netþjóni en þeim sem tengist netinu. Þá segir að lögð verði á það áhersla að halda einstökum deildum innan heilbrigðisstofnunarinnar aðskildum hvað varði aðgangsstýringu og tölfræðilega upplýsingaöflun. Yfirlæknir á hverjum stað stýri aðgangi að sjúkraskrám og sé meginreglan sú að starfsmenn, aðrir en læknar, fái eingöngu aðgang að upplýsingum sem tilheyri þeirri deild sem þeir starfi á og að þeim gögnum sem þeir sjái um að skrá. Einnig segir m.a. að yfirlæknar beri ábyrgð á rekstri sjúkraskrárinnar hver á sínum stað í umboði lækningaforstjóra sem sé yfirmaður hennar í heild.

  III.
Umsögn Persónuverndar
Forsendur

Í máli þessu er til umfjöllunar öryggi vinnslu persónuupplýsinga í sameiginlegu sjúkraskrárkerfi Heilbrigðisstofnunar Austurlands, svonefndu Sögukerfi, í ljósi 11., 12. og 13. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, og að virtum reglum Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga, með hliðsjón af staðlinum ÍST BS 7799 um stjórnun upplýsingaöryggis. Tekið skal fram að Persónuvernd telur rafræna færslu sjúkraskráa sem slíka ekki brjóta gegn lögum og gerir því ekki athugasemdir við að Sögukerfið verði tekið í notkun sem sameiginlegt sjúkraskrárkerfi, enda verði þá öryggi persónuupplýsinga nægilega vel tryggt. Telur Persónuvernd því skilyrði 1. mgr. 14. gr. laga nr. 74/1997 um réttindi sjúklinga, þ.e. að sjúkraskrá skuli varðveitt á þeirri stofnun þar sem hún er færð, vera fullnægt um fyrirhugaða sameiningu sjúkraskrárkerfa, enda verða eingöngu sameinaðar sjúkraskrár innan einnar og sömu stofnunar. Um það hvort mismunandi reglur gildi um sjúkraskrár færðar fyrir og eftir stofnun Heilbrigðisstofnunar Austurlands skal tekið fram að Persónuvernd telur svo ekki vera. Hins vegar leiðir af stofnun heilbrigðisstofnunarinnar og sameiningu sjúkraskrárkerfa að laga verður öryggisráðstafanir að breyttum aðstæðum.

Samkvæmt 4. tölul. 2. gr. laga nr. 77/2000 er sá ábyrgðaraðili að vinnslu persónuupplýsinga sem ákveður tilgang vinnslunnar, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Samkvæmt þessu telst Heilbrigðisstofnun Austurlands vera ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem fyrirhugað er að þar fari fram með notkun Sögukerfisins. Verður því beint sjónum að skyldum hennar til að tryggja öryggi persónuupplýsinga við notkun þess. Ekki verður hins vegar fjallað sérstaklega um skyldur eMR hf. sem framleiðanda Sögukerfisins, enda hvílir ábyrgðin á öryggi vinnslu persónuupplýsinga samkvæmt ákvæðum laga nr. 77/2000 á ábyrgðaraðila en ekki öðrum, sbr. 3. og 4. mgr. 11. gr. laganna. Ekki liggur fyrir hvort fyrirhugað sé að eMR hf. muni hafa einhverja þjónustu með höndum eftir að Sögukerfið hefur verið tekið í notkun sem muni kalla á aðgang að persónuupplýsingum í því. Í skýrslu Daða Arnar Jónssonar og Marinós G. Njálssonar kemur hins vegar fram að eMR hf. hefur með höndum viðhald þess. Komi í ljós að við slíka viðhaldsvinnu, eða aðra þjónustu, verði óhjákvæmilegt að starfsmenn eMR hf. vinni með persónuupplýsingar þarf sú vinnsla að byggja á vinnslusamningi við Heilbrigðisstofnun Austurlands samkvæmt 13. gr. laga nr. 77/2000. Þar verður þá m.a. að koma fram að eMR. hf., sem þá telst vera vinnsluaðili í skilningi 5. tölul. 2. gr. sömu laga, starfi aðeins í samræmi við fyrirmæli heilbrigðisstofnunarinnar, sbr. 2. mgr. 13. gr. laganna.

Ein helsta skylda ábyrgðaraðila, samkvæmt lögum nr. 77/2000, í tengslum við öryggi persónuupplýsinga er sú að skjalfesta upplýsingaöryggi, sbr. 5. mgr. 11. gr. laganna, sbr. 3. gr. reglna nr. 299/2001 um öryggi persónuupplýsinga, þ.e. að móta öryggisstefnu, gera áhættumat og ákveða öryggisráðstafanir. Ekki liggur fyrir að þetta hafi verið gert hjá Heilbrigðisstofnun Austurlands. Nauðsynlegt er að sú vinna verði unnin. Telur Persónuvernd æskilegt, í ljósi þess hversu viðkvæmar upplýsingar um er að ræða, að þá verði farið eftir staðlinum ÍST BS 7799.

Í 1. og 2. mgr. 11. gr. laga nr. 77/2000 er að finna efnislegar kröfur til öryggisráðstafana við vinnslu persónuupplýsinga. Segir í 1. mgr. að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Þá segir í 2. mgr. að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Hvað sjúkraskrár varðar verður einnig að líta til þeirra efnislegu krafna sem fram koma í 2. mgr. 15. gr. laga nr. 74/1997. Þar segir að sjúkraskrár skuli geymdar á tryggum stað og að þess skuli gætt að þeir einir hafi aðgang að þeim sem þess þurfa.

Persónuvernd telur þær öryggisráðstafanir, sem Heilbrigðisstofnun Austurlands hyggst viðhafa við vinnslu persónuupplýsinga í Sögukerfinu, að mörgu leyti vera til fyrirmyndar og fullnægja kröfum ofangreindra ákvæða. Með vísan til þeirra, og í ljósi þess að um er að ræða viðkvæmar persónuupplýsingar, sbr. c-lið 8. tölul. 2. gr. laga nr. 77/2000, telur Persónuvernd engu að síður að gera verði úrbætur í tengslum við þrennt, þ.e. aðgangsorð, eftirlit með vinnslu persónuupplýsinga í kerfinu og ytra öryggi í rými netþjóna og aðliggjandi rými. Hvað varðar aðgangsorðin telur Persónuvernd að tryggja verði að þau séu ekki það einföld að auðveldlega megi geta sér til um þau. Það felur í sér að koma þarf í veg fyrir of öra endurnotkun þeirra. Þá þarf að takmarka leyfilegan fjölda innskráningartilrauna og viðhafa aðrar þær öryggisráðstafanir sem nauðsynlegar eru svo að óviðkomandi takist ekki að komast inn í kerfið með aðgangsorði lögmæts notanda. Hvað varðar eftirlit með vinnslu persónuupplýsinga telur Persónuvernd nauðsynlegt að yfirlæknir, sbr. 6. lið í tilmælum landlæknis frá 1999 varðandi öryggi sjúkragagna í tölvum, hafi aðgang að upplýsingum um alla notkun viðkvæmra persónuupplýsinga í kerfinu, t.d. um hverjir hafi sótt upplýsingar eða miðlað þeim og hvenær. Ljóst er að þetta er unnt að gera í útgáfu 3.1 af Sögukerfinu, en hið sama gildir ekki um útgáfu 2.6. Verði útgáfa 2.6 af kerfinu notuð verður því að gera viðhlítandi úrbætur. Einnig er hægt að fara þá leið, eins og fram kom í símtali starfsmanns Persónuverndar við lækningaforstjóra Heilbrigðisstofnunar Austurlands hinn 18. ágúst 2003, að útgáfa 2.6 verði eingöngu notuð til sameiningar sjúkraskráa og þær síðan færðar yfir í útgáfu 3.1 áður en nokkur frekari vinnsla hefjist í sameiginlegu sjúkraskrárkerfi. Hvað varðar ytra öryggi í rými netþjóna og aðliggjandi rými telur Persónuvernd nauðsynlegt að sett verði upp innbrotaviðvörunarkerfi.

Ein öryggisráðstöfun, sem taka verður afstöðu til hvort viðhafa skuli, er hvort dulkóða skuli gögn sem varðveitt eru og unnið er með í Sögukerfinu. Samkvæmt athugasemdum Heilbrigðisstofnunar Austurlands, dags. 12. ágúst 2003, við skýrslu Daða Arnar Jónssonar og Marinós G. Njálssonar, dags. 28. júní 2002, er fyrirhugað að dulkóða gögn í samskiptum netþjóns og notenda. Hér reynir því aðeins á hvort viðhafa skuli dulkóðun við varðveislu sjúkragagna á netþjóninum. Við mat á þessu verður að líta til mikilvægis þess að sjúkragögn séu sem aðgengilegust heilbrigðisstarfsmönnum þegar á þeim þarf að halda. Persónuvernd telur hagsmuni af greiðum aðgangi og vinnsluhraða í sjúkraskrárkerfum vega þungt. Það er hins vegar sjónarmið Persónuverndar að í náinni framtíð skuli komið á dulkóðun við varðveislu sjúkragagna. Að svo stöddu gerir Persónuvernd þó aðeins kröfu um að slík gögn séu dulkóðuð í flutningi.

Í 1. mgr. 12. gr. laga nr. 77/2000, sbr. 8. gr. reglna nr. 299/2001, er kveðið á um skyldu ábyrgðaraðila til að viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið. Í 2. mgr. 12. gr. er kveðið á um að innra eftirlit skuli viðhafa með reglubundnum hætti og að ákveða skuli tíðni þess og umfang með hliðsjón af áhættunni sem er samfara vinnslunni, eðli þeirra gagna sem unnið er með, þeirri tækni sem notuð er til að tryggja öryggi upplýsinganna og kostnaði af framkvæmd eftirlitsins. Það skuli þó eigi fara sjaldnar fram en árlega. Þá segir í 3. mgr. að ábyrgðaraðili skuli sjá til þess að gerð sé skýrsla um hverja aðgerð sem er liður í innra eftirliti. Í slíkri skýrslu skuli lýsa niðurstöðu hvers þáttar eftirlitsins. Skýrslur um innra eftirlit skuli varðveita tryggilega og Persónuvernd hafa aðgang að þeim hvenær sem er. Persónuvernd leggur á það áherslu að eftir þessum reglum verði farið við vinnslu persónuupplýsinga í Sögukerfinu.

Með vísan til alls ofangreinds hefur Persónuvernd komist að þeim niðurstöðum sem fram koma í ályktunarorði hér að neðan. Þegar uppsetningu Sögukerfisins er að fullu lokið er þess óskað að Heilbrigðisstofnun Austurlands tilkynni Persónuvernd um það, sbr. 1. mgr. 38. gr. laga nr. 77/2000.

  Á l y k t u n a r o r ð:

Persónuvernd telur Heilbrigðisstofnun Austurlands vera heimilt að lögum að setja upp fyrirhugað, sameiginlegt sjúkraskrárkerfi, þ.e. svonefnt Sögukerfi. Þá telur Persónuvernd þær öryggisráðstafanir, sem stofnunin hyggst viðhafa við vinnslu persónuupplýsinga í kerfinu, í flestum atriðum fullnægja skilyrðum 1. og 2. mgr. 11. gr. laga nr. 77/2000 og 2. mgr. 15. gr. laga nr. 74/1997. Persónuvernd telur engu að síður rétt að gerðar verði eftirfarandi úrbætur :

Sett verði skrifleg öryggisstefna vegna Sögukerfisins, sbr. 5. mgr. 11. gr. laga nr. 77/2000, sbr. 1. tölul. 1. mgr. 3. gr. reglna nr. 299/2001.

Gert verði skriflegt áhættumat vegna Sögukerfisins, sbr. 5. mgr. 11. gr. laga nr. 77/2000, sbr. 2. tölul. 1. mgr. 3. gr. reglna nr. 299/2001, og þannig skapaðar forsendur fyrir vali á skriflegum öryggisráðstöfunum.

Fullnægt verði kröfum 5. mgr. 11. gr. laga nr. 77/2000, sbr. 3. tölul. 1. mgr. 3. gr. reglna nr. 299/2001, um skráningu öryggisráðstafana vegna Sögukerfisins. Skráning öryggisráðstafana á að byggjast á þeim forsendum sem fram koma í áhættumati og á að ná til allra þeirra áhættuþátta sem þar eru reifaðir.

Tryggt verði öryggi aðgangsorða að Sögukerfinu, m.a. þannig að ekki megi auðveldlega geta sér til um þau.

Tryggður verði, þ.e. ef nota á útgáfu 2.6 af Sögukerfinu, rekjanleiki allra aðgerða í kerfinu, sem og aðgangur yfirlæknis stofnunarinnar að upplýsingum um aðgerðir er lúta að viðkvæmum persónuupplýsingum, t.d. um hverjir hafi sótt slíkar upplýsingar eða miðlað þeim og hvenær. Einnig má fara þá leið að nota útgáfu 2.6 eingöngu til sameiningar sjúkraskráa og færa þær síðan yfir í útgáfu 3.1 af kerfinu áður en nokkur notkun á þeim hefst í sameiginlegu sjúkraskrárkerfi.

Sett verði upp innbrotaviðvörunarkerfi í rými netþjóna og aðliggjandi rými.