Medicindatabase åben for misbrug

Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 23. marts 2007.


Meget følsomme oplysninger om hver eneste danskers medicinforbrug og sygdomme er reelt frit tilgængelige for samtlige danske læger. Der gik to år, fra den såkaldte Medicinprofil åbnede for denne adgang, til den første misbrugssag blev opdaget sidste år. Lægemiddelstyrelsens overvågning mod misbrug kritiseres nu som virkningsløs.

Overlæge Hans Ulriksen på medicinsk afdeling på Skive Sygehus og praktiserende læge i Holstebro Lars Dudal Madsen har misbrugt deres adgang til stærkt fortrolige oplysninger om andre borgeres medicinforbrug i den såkaldte Medicinprofil (Den Personlige Elektroniske Medicinprofil, PEM).
Lægerne tiltvang sig sidste år adgang til oplysninger om 15 læger, der har tilknytning til den øverste danske fodbold­række, Superligaen, og oplysningerne havnede i Ekstra Bladet og i en tv-udsendelse på DR, som Hans Ulriksens svigersøn var med til at producere.
Kritikerne mener, at den meget omtalte sag viser, at det værn mod misbrug, som Lægemiddelstyrelsen har sat op, ikke er godt nok - at det reelt er virkningsløst.
- Jeg tror, at det er en falsk tryghed, når man siger, at Lægemiddelstyrelsen overvåger systemet mod misbrug., siger Margrethe Nielsen, sundhedspolitisk medarbejder i Forbrugerrådet.
Styrelsen opdagede intet
Værnet skulle ellers virke ved, at Lægemiddelstyrelsen manuelt overvåger den registrering (logning) af, hvilke læger der har været inde i medicinprofilen og hente data, og hvilke data de har hentet.
Det er meningen, at Lægemiddelstyrelsen efterforsker sagen og får straffet de skyldige, hvis noget ser mistænkeligt ud.
Problemet er bare, at Lægemiddelstyrelsen ikke selv opdagede det misbrug, som Hans Ulriksen og Lars Dudal Madsen stod for. Det blev kun opdaget, fordi dem, som det gik ud over, undrede sig over, hvordan deres personfølsomme data pludselig kunne optræde i Ekstra Bladet og DR TV.
Herefter henvendte de sig til Lægemiddelstyrelsen, som først da satte en efterforskning i gang, som endte med, at de to læger blev straffet.
Lægemiddelstyrelsens eget overvågningsprogram opdagede altså ikke misbruget.
- Sagen er lige præcis et eksempel på det, som man skal undgå. Logning som middel til beskyttelse af persondata er ikke tilstrækkeligt. Man kan næsten drage en parallel til den behandling af mennesker, der sker i sundhedsvæsenet. Vil man helst lave symptombehandling, eller vil man helbrede? Logning er kun symptombehandling, den vil ikke forhindre skadevirkningen, siger Kim Aarenstrup.
Han er formand for Rådet for IT- og Persondatasikkerhed - et råd nedsat af Dansk IT for at styrke debatten om it- og persondatasikkerhed i virksomheder, hos det offentlige og for de private it-brugere.
- Hele tanken bag persondatasikkerhed er at beskytte de personlige data mod, at sundhedspersonale misbruger deres ellers legitime adgang til systemerne og for eksempel lækker informationerne til medier, siger Kim Aarenstrup.
Han understreger dog, at han generelt anser det danske sundhedspersonale som meget ansvarligt, der ikke kunne finde på at misbruge retten til dataadgang.
Men han minder samtidig om, at hvis de teknologiske barrierer tillader misbrug, skal der kun ét broddent kar til, før skaden er sket.
Kim Aarenstrup mener, at når man baserer sig på logning, dvs. overvågning af de registre, der viser, hvem der har været inde i systemerne, og hvad de har fortaget sig, gør man sig afhængig af et enormt revisionsapparat.
- Dermed bliver risikoen for at blive fanget minimal, siger han.
Systemet er godt nok
Lægemiddelstyrelsen fastholder dog, at overvågningen af misbrug af medicinprofilen via gennemgang af loggen er godt nok.
Det forhold, at misbruget fra de to jyske lægers side ikke blev opdaget af Lægemiddelstyrelsen selv, er ikke nok til at konkludere, at overvågningen ikke virker, mener Karsten Jørgensen, der er chefkonsulent i Lægemiddelstyrelsen, som er ansvarlig for overvågningen af Medicinprofilen.
- Vi kan jo ikke sidde og følge med i loggen over samtlige fem millioner mennesker, der bruger medicin. Det kan ikke lade sig gøre. Vores kontrol bygger på stikprøver og derudover på, at den enkelte medicinbruger selv kan gå ind og se, om der har været nogen inde og kigge, som de ikke lige kender, siger han.
Lægemiddelstyrelsen indrømmer, at der sagtens kan være foregået misbrug, uden at det er blevet opdaget.
- Der er ikke nogen, der har forestillet sig, at vi skulle opdage ethvert tilfælde af misbrug. Enhver kan sige sig selv, at det ikke kan lade sig gøre, siger Karsten Jørgensen.
Karsten Jørgensen fortæller, at Lægemiddelstyrelsen ikke har nogen ansat til at overvåge Medicinprofilen, men at der er "nogle få" ansatte tilknyttet overvågningen af Medicinprofilen, og at der tages stikprøver et par gange om måneden.
Dertil kommer en automatiseret kontrol, som for eksempel reagerer, hvis en læge laver mange søgninger, og rammer et defineret loft.
Forbrugerrådet utilfreds
Men Margrethe Nielsen fra Forbrugerrådet har ikke tillid til, at den automatiske overvågning har nogen effekt.
- Jeg tvivler på, at man via overvågning af søgemønstre kan opdage misbrug. Dermed er borgeren reelt overladt til egen overvågning. Og det kræver en digital signatur og adgang til en computer på internettet at foretage denne overvågning. Der er mange borgere, som ikke har en digital signatur, eller som ikke kan finde ud af at bruge en computer. Dermed har de ingen mulighed for at holde øje med, om deres Medicinprofil bliver misbrugt, siger hun.
- Logningen og egenkontrollen er langt fra tilstrækkelig sikkerhed for, at der ikke sker misbrug af Medicinprofilen. Selv hvis det lykkes at opdage et misbrug, så forhindrer det jo ikke, at oplysningerne alligevel bliver set af nysgerrige, siger Margrethe Nielsen.
Hun mener ikke, at det er nok, at man ikke må misbruge Medicinprofilen. Det skal også gøres teknisk umuligt at misbruge den, for eksempel ved, at borgeren aktivt skal give samtykke til, at oplysningerne vises.

Faktaboks:
Sagen kort
Alle danske læger kan slå op i medicinprofilen (Den Personlige Elektroniske Medicinprofil, PEM) og se, hvilken medicin, samtlige danske borgere har fået ordineret de seneste to år. Lægen skal bare kende patientens CPR-nummer - og det kan ofte findes nemt, hvis man har patientens navn og adresse. Ud af oplysningerne i Medicinprofilen kan lægen ofte direkte udlede en diagnose, dvs. lægen kan regne ud, hvad borgeren fejler og har fejlet de seneste to år.

Det faktum, at alle danske læger kan se disse følsomme oplysninger om samtlige landets borgere, og ikke blot for eksempel de borgere, som de selv har i behandling, kritiseres stærkt. Det vil før eller siden føre til misbrug, lyder argumentet. Den første store misbrugssag kom sidste sommer, blot to år efter, at lægerne fik den vide adgang til medicin-registreringerne. I sagen tiltvang to jyske læger sig adgang til medicin-data om 15 andre læger, som er tilknyttet fodboldklubber i Superligaen.

Sidehistorie:
Kontrol er bedre end beskyttelse
Lægemiddelstyrelsen har etableret følgende kontrol­muligheder i forbindelse med brugen af Medicin- profilen:

Automatisk overvågning af brugeradfærd. Hvis en bruger overskrider den øvre forudsatte grænse for, hvor mange profiler man må søge på, vil adgangen automatisk blive spærret. Brugeren skal henvende sig til Lægemiddelstyrelsen for igen at få adgang til Medicinprofilen.

Manuel overvågning. Manuel overvågning sker løbende ved, at Lægemiddelstyrelsen gennemgår Medicinprofilens log (i praksis sker det et par gange om måneden). Hvis et logningsmønster ser mistænkeligt ud, undersøges bruger­adfærden nærmere.

Låsning af brugere. Lægemiddelstyrelsen kan manuelt låse en bruger af Medicinprofilen, hvis det skønnes nødvendigt på grund af særlige omstændigheder. Eksempelvis blev de to misbrugsdømte læger Hans Ulriksen og Lars Dudal Madsen udelukket fra at kunne bruge Medicinprofilen.

Hertil kommer, at man satser på, at den enkelte borger selv overvåger, hvem der har set på deres data. Det kan borgeren gøre ved at se i den log, som borgeren har adgang til på sundhed.dk.

Indenrigs- og sundhedsminister Lars Løkke Rasmussen har efter sagen med de jyske lægers misbrug af dataene i medicinprofilen indskærpet over for Lægemiddelstyrelsen, at den skal anvende sin kontrolmulighed.

billedtekst: Tilgængelighed Et navn og en adresse er nok, hvis en læge vil finde ud af, hvilken medicin en medborger får og, hvad han fejler. Forbrugerrådet rejser derfor kritik af den manglende sikkerhed. Arkivfoto

Faktaboks:
Digital signatur nødvendig
Lige nu har kun 830.000 danskere en digital signatur. Det er ellers nødvendigt at have sådan en, hvis man selv vil tjekke, hvem der kigger med i ens eget medicinforbrug og sygdomsmønstre.

Dermed er over 4,5 mio. danskere reelt uden mulighed for at overvåge, om deres Medicinprofil bliver misbrugt.

Faktaboks:
Straf som en fartbøde
I de tilfælde, hvor det lykkes Lægemiddelstyrelsen at opdage et misbrug af Medicinprofilen, kan den skyldige straffes. I den foreløbigt eneste kendte sag fik praktiserende læge i Holstebro Lars Dudal Madsen og overlæge Hans Ulriksen på medicinsk afdeling på Skive Sygehus bøder på henholdsvis 3.000 og 5.000 kroner - hvilket cirka svarer til at køre henholdsvis 70 km/t og 100 km/t for stærkt på en motorvej. Altså svarende til et par alvorlig fartbøder.

Lægemiddelstyrelsen er dog tilfreds med straffens størrelse.

- Bødens størrelse er ikke afgørende. Det afgørende er selve det at blive involveret i en straffesag, og at det bliver markeret fra samfundets side, at det er uacceptabelt, hvad man har gjort. Det er jeg sikker på, at læger ikke bryder sig om, siger Karsten Jørgensen.

- Det, at to læger har trådt ved siden af, mener jeg ikke har kompromitteret systemet. Systemet bygger grundlæggende på tillid til lægerne og på, at de er vant til at håndtere fortrolige oplysninger om deres patienter og fortsat kan gøre det på en forsvarlig måde. Hvis det viser ikke at holde stik, har vi en anden situation, men det, mener jeg ikke, den her sag har vist, siger han.

Sidehistorie:
Bred adgang til data
Medicinprofilen giver adgang til personfølsomme oplysninger.

Autoriserede læger (dvs. hospitalslæger, speciallæger og praktiserende læger) kan med deres digitale signatur få adgang til medicinprofilen via sundhed.dk. Adgangen giver lægerne mulighed for at se data om hver eneste danske borgers medicinforbrug de seneste to år.

De praktiserende læger kan tilmed give adgang til en medhjælp. Lægen definerer selv, hvad han betragter som medhjælp. I princippet kan lægen således give andre lige så vid adgang, som lægen selv har.

Ganske vist er det strafbart at give andre end relevante medarbejdere adgang (lægesekretærer eller laboratorieassistenter for eksempel), men hvis denne mulighed alligevel misbruges, er man igen afhængig af, at Lægemiddelstyrelsen gennem sin overvågning af loggen opdager misbruget eller, at borgeren selv opdager det.

Et navn og en adresse er nok, hvis en læge vil finde ud af, hvilken medicin en medborger får, og hvad han fejler. Via det såkaldte grønne patientsystem kan læger finde CPR-numre på alle danskere, bare de kender navn og adresse. Med CPR-nummeret kan lægen lynhurtigt slå op, hvilken medicin patienten har fået de seneste to år. Ganske vist er det strafbart for lægen at kigge på borgere, som ikke er knyttet til hans arbejde, men Lægemiddelstyrelsen, som står for at overvåge systemet og finde misbrug, indrømmer, at den ikke vil finde al misbrug. Styrelsen ved nemlig ikke, hvilke læger der har legitim adgang til den enkelte borgers data, og hvilke der ikke har legitim adgang.

Det er Folketinget, der har bestemt, at lægerne skal have en uhindret adgang til oplysninger om alle danskeres sygdomme og medicinering. Lægemiddelstyrelsen administrerer de regler, som Folketinget har vedtaget.

Et alternativ til den måde, som de personfølsomme oplysninger i Medicinprofilen beskyttes på nu, kunne være, at en læge kun kan få adgang til en borgers medicinprofil , hvis borgeren aktivt har givet sit samtykke.

Sådan en struktur har man faktisk valgt overfor apoteksansatte. De kan kun få adgang, hvis borgeren forinden aktivt har givet samtykke til, at apotekets ansatte må kigge i borgerens medicinprofil. Men lægerne har altså på forhånd adgang uden samtykke fra borgeren.

En anden måde at beskytte data på kunne være ved kun at give den enkelte læge adgang til data for de patienter, som han selv har i behandling. Det er en struktur, som man har valgt på andre områder af sundhed.dk. For eksempel kan praktiserende læger i de fem gamle amter Vejle, Viborg, Sønderjylland, Fyn og Århus amter få adgang til elektroniske patientjournaler via sundhed.dk, men kun journaler for de patienter, som de selv har i behandling. Det vil sige, teknologien kan godt begrænse adgangen til Medicinprofilen, så lægen kun kunne se data for de patienter, som han selv har i behandling.

Billedtekst: Følsomt Det strafbart at give andre end relevante medarbejdere adgang til Medicinprofilen. Arkivfoto

OriginalModTime: 21-03-2007 13:27:19




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere