Svar på varsel om vedtak - Uautorisert uthenting - Helse Vest

Datatilsynet
Postboks 8177 Dep
0034 Oslo
Haraldsplass
DIAKONALE SYKEHUS
Bergen Diakon isse k j em
Deres ref: 12/00302-1 /HVE Vår ref: Bergen , 13.04.2012
Svar på varsel om vedtak - Uautorisert uthenting av helseopplysninger gjennom
leverandørenes fjerntilgang.
Viser til Deres varsel om vedtak datert 26.03.2012.
Bakgrunn for saken:
HDS har en MR maskin av fabrikat GE Healthcare Systems (GEHCS). Sykehuset har
ikke egen kompetanse til å vedlikeholde denne type teknologi og har av den grunn
inngått en vedlikeholdsavtale med GEHCS. For å kunne opprettholde avtalt oppetid
har det vært etablert en Site - to - Site VPN-forbindelse mellom GEHCS globale
supportorgansiasjon og vår MR. Denne oppkoblingen er designet og administrert av
Helse Vest IKT og ble opprettet 27.06.2005.
Avtalen med GEHCS om fjemdiagnostikk er basert på at kun tekniske data skal
overføres til deres servere for analyseformål. Imidlertid viser det seg at GEHCS ved
en feil har lastet ned 368 personnummer med tilhørende informasjon om pasientvekt.
Beskrivelse av hendelsesforløp:
HDS mottok den 12.03.2012 skriftlig melding fra GE Healthcare om at pasientrelatert
informasjon ved en feiltakelse var lagret ned på selskapets servere.
HDS meldte hendelsen til Datatilsynet den 16.03.2012.
HDS ba den 16.03.2012 Helse Vest IKT om å stenge ned den aktuelle forbindelsen.
Dette ble utført samme dag.
HDS tok kontakt med GE den 19.03.2012 og ba om å få kopi av filene, for å kunne
vurdere skadeomfang og hvilken type informasjon som var lastet ned.
HDS mottok kryptert datafil den 23.03.2012. Denne filen ble åpnet den 30.03.2012.
Denne viser en liste over 368 personnummer, samt at pasientenes vekt er registret for
disse personene. Disse personopplysningene har vært overført fra vår MR til GEHCS
i tidsrommet 2. januar 2010 til november 2011. Noen annen pasientrelatert
informasjon skal ikke være eksportert fra vår MR.

Saksgangen har vært håndtert i linjen på HDS i tett samarbeid med Helse Vest IKT
og Helse Vest RHF. Som vedlegg følger svarbrev fra GE Healtheare Technologies
Norway AS ril Helse Vest RHF mottatt 13. april 2012. Vi gjør oppmerksom på at GE
har bedt om at deres svarbrev blir unntatt offentlighet og ber om at brevet blir handtert
i tråd med dette.
Det siste svaret fra GEHCS bekrefter den informasjonen vi har fremskaffet underveis
i saksbehandlingen. (Vedlegg 2)
Beskrivelse av løsningen:
Vi har mottatt følgende beskrivelse av forbindelsen mellom vårt utstyr og GEHCS av
vår tjenesteleverandør Helse Vest IKT:
Dette er løsninger av så høy kompleksitet at helseforetakene og Helse Vest
IKT alene ikke har kompetanse og kapasitet for alt service og vedlikehold. For
å sørge for en sikker og effektiv håndtering av slikt teknisk samarbeid, har
Helse Vest IKT etablert løsninger for å gi tilgang for avtalte leverandører til
avgrensede sett av systemer og utstyr i Helse Vest IKTs nettverk. Helse Vest
IKT har etablert to ulike tekniske løsninger for slik fjerntilgang. (1) Løsning for
tilgang til gitte systemer basert på eksplisitt brukerautentisering ved
fjerntilgang og deretter brukerautentisering ved pålogging til våre systemer
(Leverandør-VPN). (2) Løsning for tilgang til definerte MTU basert på en sikret
kanal mellom leverandør og Helse Vest IKT (Site-to-site VPN). l denne saken
med GE Health Services (GEHCS) er det Site-to-site VPN som er benyttet (se
punkt 4 for de tekniske deta jene).
GEHCS benytter løsningen «Insight» for å sørge for service- og vedlikehold
på noen varianter av medisinsk-teknisk utstyr (MTU) i helseforetakene i Helse
Vest. I denne sammenheng er dette MTU for CT, mammografi, MR, digital
radiografi og «vascular». Hensikten med Insight er å oppnå redusert nede tid
for dette kostbare utstyret ved at GE mottar diagnostisk informasjon fra
utstyret og ved at GE kan koble seg til utstyret for å igangsette diagnostikk
eller service.
Det var en forutsetning for løsningen at Insight bare skulle gjør bruk av teknisk
informasjon fra utstyret, Insight skulle ikke ha behov for tilgang til
pasientinformasjon eller sensitive data. I ettertid er det lett å se at de inngåtte
service- og vedlikeholdsavtalene har fokusert på hva løsningen skulle
benyttes til, uten eksplisitt å omtale hva løsningen ikke skulle benyttes for. Det
faktum at løsningen bare skulle benyttes for teknisk informasjon er også
bekreftet av GEHCS gjennom deres notater og brev i saken.
Det er implementert en rekke teknologiske hindringer rundt denne løsningen
for å sikre at informasjonen som utveksles ikke kommer til andre parter enn
de to samarbeidende parter . De viktigste teknologiske hindringene er
brannmurer og bruk av kryptert VPN med 128-bit kryptering (for detaljer se
punkt 4). All granskning i denne saken som er utført av ekstern part for
GEHCS har vist at disse sikkerhetstiltakene har fungert etter hensikten, dvs.
det er ingen ting som tyder på at informasjon er kjent utenfor GE. Det er MTU
som er konfigurert slik at det har sendt ut data som ikke skulle sendes.
DOKNR 2

Trafikken har altså startet på innsiden, uten at det er involvert noen bruker.
Helse Vest vil, basert på denne hendelsen, utrede hvordan innholdet i slike
kommunikasjonskanaler bedre kan overvåkes teknologisk.
Vurdering av årsak til hendelsen:
Vårt standpunkt er at avtalen mellom HDS og GEHCS fra begge parters side
har hatt som intensjon at pasientrelatert informasjon ikke skulle eksporteres
fra våre system. Den aktuelle hendelsen anser vi som et brudd fra GE sin side
på denne avtalen.
Oppfølging overfor pasienter:
Vår oppfatning er at den informasjon som er lagret hos GEHCS i seg selv ikke
representerer noen betydelig risiko.
Rekommandert skriftlig informasjon vil i seg selv gi mottakere et inntrykk av at
de som enkeltperson er påført betydelig skade. Selv om kun en liten andel av
de som mottar informasjon skulle reagere med betydelig engstelse, er det
tvilsomt om denne påførte belastning står i et rimelig forhold til den
begrensede skade den enkelte er påført og mottakernes behov for denne
informasjon for å kunne ivareta egne interesser.
For å sikre at kun relevante mottagere som fortsatt lever blir mottagere må det
gjennomføres uttak og omfattende behandling av de data som er lagret hos
GE, noe som i seg selv er personvernmessig betenkelig. Det er tvilsomt om
denne risiko står i et rimelig forhold til den begrensede skade den enkelte er
påført mottakernes behov for denne informasjon for å kunne ivareta egne
interesser.
HDS avventer aksjoner i forbindelse med informasjon til pasienter inntil vi
mottar Datatilsynets vedtak.
Teknisk beskrivelse av løsningen:
Vi har mottatt følgende beskrivelse av den tekniske oppkoblingen fra Helse
Vest IKT:
Figuren i vedlegg 1 viser den tekniske innretningen av site-to-site VPN
benyttet overfor GEHCS. Figuren viser brannmur og VNP konsentrator hos
Helse Vest IKT og default innstillingene for trafikk gjennom disse. Trafikk fra
Helse Vest til GEHCS er satt åpen fra Helse Vest til GEHCS for å kunne
understøtte den kontinuerlige diagnostiske trafikken av teknisk informasjon fra
MTU til GE. Krypteringen er 128, bits.

For det utstyr som er i bruk i denne situasjonen, har utstyret behov for å
snakke med utstyr i den andre enden, derfor blir en slik Site-to-site VPN tunell
definert som at den er åpen.
Det er her viktig å understreke at trafikk ut gjennom denne kanalen og med de
sikkerhetsløsningene som er benyttet, er avgrenset til GEHCS sitt
overvåkningssystem. Utgå ende trafikk kan ikke sendes til andre parter, og
informasjonen kan heller ikke dekrypteres av andre parter.
Internt i Helse Vest sitt nettverk er kanalen rettet og dermed avgrenset til det
MTU som kanalen er satt opp for å understøtte. Dette er således ikke en åpen
kanal inn i Helse Vest sitt nettverk, men en avgrenset kanal til definert utstyr.
I lys av at dette er en kanal for direkte samhandling mellom systemer, MTU og
GEHS sitt overvåkningssystem, er det ikke brukerautentisering i denne VPN
løsningen. Som nevnt under punkt 1, er det eksplisitt brukerautentisering ved
fjernpålogging til leverandør-VPN.
På tidspunktet for denne hendelsen var det ikke gjort en egen risiko- og
sårbarhetsvurdering av denne tekniske løsningen. Det er like fult vårt syn at
det ikke er mangler eller svakheter i den tekniske løsningen for fjerntilgang
som har ledet til at GEHCS urettmessig hentet ut personsensitiv informasjon
og valgte å lagre denne informasjonen hos seg.
Tiltak for å bedre sikkerheten i fremtiden:
HDS har som nevnt over allerede koblet ned forbindelsen til GEHCS for å
forhindre videre ureglementert nedlasting av personrelatert informasjon fra
vårt utstyr.
Dette er å betrakte som et strakstiltak, og vi har til intensjon å igjen etablere
en forbindelse. Denne tjenesten er av avgjørende betydning for å sikre
tilgjengelighet på kritisk medisinsk utstyr. En permanent frakobling vil få
kvalitative konsekvenser for HDS. Alternativt vil vi få en redusert pålitelighet
på vårt medisinske utstyr, noe vi ikke kan leve med over tid.
Vi ser i ettertid at det er nødvendig å etablere klarere avtaler mellom
brukermiljøet og utstyrsleverandør når det gjelder anvendelse av teknologien
knyttet til fjerndiagnostikk på MTU. Dette innebærer klare prosedyrer for
rapportering av aktivitet, og rapportering av hvilket innhold som er hentet fra
vårt utstyrt.
I tillegg vil det være nødvendig å utdype avtaleverket i forbindelse med
anskaffelse av nytt medisinsk teknisk utstyr, slik at kravene til
informasjonssikkerhet blir mer i samsvar med praksis for øvrige IKT-løsninger.
DOKNR 4

Dette arbeidet vil bli koordinert på regionalt nivå.
Med vennlig hilsen
Radina Trengereid
Adm. direktør
Haraldsplass Diakonale Sykehus AS
Vedlegg 1: Systemskisse VPN MTU Helse Vest IKT
Vedlegg 2: Brev til Helse Vest fra GE, datert 12.04.12
Vedlegg 3: Oversikt over utstyr ved HDS som er koblet opp mot GEHCS
DOKNR 5