Ved indgangen til det nye år trak `alles lægehus´ igen overskrifter hos Danmarks Radio. Denne gang handlede det om, at `alles lægehus´ var blevet ramt af et cyberangreb den 9 december, men i virkeligheden var det en anden virksomhed, der var blevet ramt.
Det vender vi tilbage til.
Angrebet har betydet, at hackere har haft adgang til personlige oplysninger blandt et endnu ukendt antal af lægevirksomhedens ca. 130.000 patienter.
Kritikken regner ned over `alles lægehus´, fordi virksomheden ved årsskiftet stadig ikke har det fulde overblik over angrebets omfang og først efter lang tid har meldt offentligt ud til patienterne, at der har været et angreb, der kunne have konsekvenser for dem.
“Det er meget opsigtsvækkende, og man skulle have reageret meget tidligere og meget mere klart,” siger Jørn Guldberg, it-sikkerhedsekspert hos Ingeniørforeningen IDA til Danmarks Radio.
Læs også: Når professionelle hackere tester sikkerheden, overtager de virksomheden inden frokost
Angrebet anmeldt til myndighederne
Cyberangrebet blev anmeldt til Datatilsynet inden for de påkrævede 72 timer, ligesom angrebet blev anmeldt til politiet den 12 december.
Siden har datatilsynet været i løbende kontakt med `alles lægehus´.
“Der findes en forpligtelse i databeskyttelsesforordningen. Hvis der er en høj risiko for de registrerede, altså for borgerne, så skal man underrette dem og forklare dem om, hvad de kan gøre for at beskytte sig i de her situationer, siger Allan Frank, der er it-sikkerhedsspecialist hos Datatilsynet, til DR.
Han forklarer, at de berørte skal kontaktes “uden unødigt ophold”, men anerkender, at det kan tage tid at finde frem til, hvilke patienter der er berørt i et cyberangreb.
Databehandler har et problem
I flere medier er `alles lægehus´ blevet kritiseret for, at der er gået for lang tid inden borgerne er blevet informeret og taget hele skylden for den samlede situation, men den virksomhed, der er blevet angrebet, er i virkeligheden en helt anden.
I en artikel i Digitech fremgår det, at det er it-leverandøren ITM8, der er blevet hacket og at data i den sammenhæng er blevet risikoudsat.
ITM8 er nemlig hostingcenter for `alles lægehus´ og dermed “databehandler”, af de borgerdata som strømmer ind i `alles lægehus´, der er “dataansvarlig”.
Virksomheden ITM8 er interessant, fordi den er leverandør til SKI-rammeaftale 02.22 om IT-driftskapacitet, som er målrettet offentlige institutioner. En rammeaftale, der omfatter omkring 1.300 offentlige potentielle kunder ifølge SKI.
Hertil kommer, at ITM8 tilbyder en række tjenester designet til at styrke virksomheders forsvar mod cyberangreb. Deres “HackerForsvar” service giver virksomheder adgang til specialister, der kan håndtere angreb, sikre data og genoprette normal drift, fremgår det af virksomhedens hjemmeside.
Håndteringen af cyberangrebet undrer derfor Michael Andersen, der bl.a. er selvstændig datagidselforhandler.
“Jeg synes, det er beklageligt, at et stort it-firma som ITM8 ikke rådgiver deres kunde til at være mere oplysende, når der er tale om patienternes data,” siger han til Digitech.
Klik her for mere om rollerne som dataansvarlig og databehandler
Ifølge databeskyttelsesloven ( GDPR) er ansvaret for data klart fordelt mellem dataansvarlig og databehandler. Her er rollerne og deres ansvar:
Dataansvarlig
- Hvem: Den virksomhed eller organisation, der bestemmer formålene med og midlerne til behandling af personoplysninger.
- Ansvar: Dataansvarlig har det overordnede ansvar for, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesreglerne.
- Sørge for, at der er en klar databehandleraftale med it-leverandøren.
- Sikre, at de registrerede (f.eks. kunder eller patienter) bliver informeret om, hvordan deres data behandles.
- Overvåge og evaluere it-leverandørens håndtering af data for at sikre, at den lever op til kravene.
Databehandler
- Hvem: It-leverandøren (fx ITM8), der behandler data på vegne af den dataansvarlige.
- Ansvar: Databehandleren må kun behandle data i overensstemmelse med instruktionerne fra den dataansvarlige.
- Implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte data.
- Underrette den dataansvarlige i tilfælde af databrud.
- Dokumentere og sikre compliance med databeskyttelsesloven, bl.a. ved at føre log over behandling.
I tilfælde af databrud
- Databehandler: Skal straks informere den dataansvarlige om bruddet.
- Dataansvarlig: Har ansvaret for at vurdere risikoen ved databruddet og anmelde det til Datatilsynet (hvis nødvendigt) inden for 72 timer.
Det betyder, at selvom data hostes hos en it-leverandør, er det altid den dataansvarlige, der har det primære ansvar for at sikre, at behandlingen sker i overensstemmelse med lovgivningen. It-leverandøren er ansvarlig for at følge instrukserne fra den dataansvarlige og levere de nødvendige sikkerhedsforanstaltninger.
I den praktiske verden er det dog ofte databehandleren, der er eksperten som rådgiver virksomheden (fx. `alles lægehus´) ved databrud.