Hård kritik til Sundhedsdatastyrelsen efter endnu en alvorlig fejl i koden

Annonceindlæg tema

Identity & Access Management er blevet rygraden i digital sikkerhed

Denne side indeholder artikler med forskellige perspektiver på Identity & Access Management i private og offentlige organisationer. Artiklerne behandler aktuelle IAM-emner og leveres af producenter, rådgivere og implementeringspartnere.

Sundhedsdatastyrelsen får alvorlig kritik af Datatilsynet for endnu en gang ikke at leve op til kravet om passende sikkerhed.

Det sker i en sag, hvor en kodeændring i Sundhedsplatformen (SP) medførte utilsigtede ændringer i det Fælles Medicinkort (FMK).

Fejlen betød, at doseringsslutdatoen for 267 personer ikke blev fjernet på det Fælles Medicinkort, og dermed ikke slog igennem til Sundhedsplatformen.

Det oplyser Datatilsynet i en meddelelse.

Styrelsen er som udgangspunkt forpligtiget til, skriver Datatilsynet, at teste alle sandsynlige fejlscenarier i forbindelse med udvikling og ændring af software i FMK.

Også selvom kodeændringer leveres af tredjepart, er det Sundhedsdatastyrelsen som dataansvarlig for FMK, der er ansvarlig for, at ændringer bliver testet, lyder det.

"Det er ikke sket i dette tilfælde, og dermed har Sundhedsdatastyrelsen efter Datatilsynets opfattelse ikke levet op til kravet om passende sikkerhed."

I sager, hvor flere aktører udveksler data i en servicebaseret arkitektur, ser Datatilsynet ofte konsekvenser i andre systemer, end der, hvor ændringen er sket, lyder det.

Flere lignende sager

Datatilsynet ligger til grund for den alvorlig kritikudtale af Sundhedsdatastyrelsen, at det ikke er første gang styrelsen har haft problemer.

I februar i år havnede en lignende sag på Datastyrelsens bord, hvor en kodeændring i Sundhedsplatformen også medførte utilsigtede ændringer i FMK.

"Datatilsynet har i forhold til de tidligere afgjorte sager fundet det væsentligt at fastslå, at også en manglende robusthed og manglende integritetstest i FMK er udtryk for et manglende niveau af sikkerhed," lyder det.

"Hyppigheden af fejl i den valgte arkitektur er alt for høj i forhold til risikoen for de borgere, hvis oplysninger bliver behandlet. Og disse fejl kan kun udbedres, hvis alle dataansvarlige i datakæden aktivt samarbejder om den fornødne robusthed og samlede sikkerhed i hele løsningen," lyder det videre.

Desuden overskred Sundhedsdatastyrelsen fristen på 72 timer for at anmelde et sikkerhedsbrud, lyder kritikken fra Datatilsynet, der på den baggrund altså finder grundlag for at udtale "alvorlige kritik".

Du kan finde en gennemgang af hele sagen her.