Hvad har en læge, en praktikant og et firewallnedbrud til fælles?
Nej, det er ikke starten på en dårlig joke. Det er tværtimod en meget aktuel beskrivelse af situationen i det danske sundhedsvæsen, hvor datasikkerhed og systemrobusthed har vist sig at være alt andet end stabile størrelser.
I april kunne Region Hovedstaden og Region Sjælland meddele, at en læge over en årrække har tilgået tusindvis af journaler uden fagligt grundlag – og brugt systemet som et slags Krak for dating. En måned senere viser det sig, at en studerende i Region Hovedstaden har kigget i 400 journaler – formentlig af ren nysgerrighed. Regionen kalder det selv “et omfattende brud på tilliden”.
”Jeg ser med stor alvor på sagen og vil gerne undskylde det, der er sket. Det er et omfattende brud på den tillid, som vi har vist den studerende,” lyder det fra direktør i Center for IT og Medicoteknologi Mette Harbo.
Tilliden, ja. Den er efterhånden blevet en skrøbelig valuta.
Når borgerne selv må være sikkerhedssystem
I begge tilfælde var det ikke IT-systemerne eller ledelsens kontrolmekanismer, der afslørede misbruget. Det var borgerne selv. De opdagede usædvanlige opslag i loggen på sundhed.dk og slog alarm.
At en læge og en praktikant kan færdes frit i journalerne uden, at det fanger systemernes opmærksomhed, burde få røde lamper til at blinke. Men i stedet lyder forklaringen fra regionen: Der skete en fejl i logopfølgningen. Det var også forklaringen i den forrige sag. Og den før det.
Hvor mange fejl i opfølgningen skal der til, før man taler om et strukturelt sammenbrud? – Og her er det værd at bemærke, at vi med sundhedsreformen dels får en region i super-size, dels tilfører regionerne langt flere opgaver.
IT-sikkerhed i frit fald
Samtidig kæmper regionerne med en anden form for sårbarhed – den mere tekniske slags. I marts gik it-systemerne ned i Region Midtjylland, hvilket lammede hospitalerne og tvang dem over på papir og kuglepen i halvanden time. En ekspert kaldte det “et mirakel, at ingen døde” og beskrev regionens systemer som “noget gammelt lort”.
Vi har tidligere på Regional-Indsigt skrevet om, at Rigsrevisionen konkluderede i januar, at ingen af de fem regioner lever op til alle basale krav om cybersikkerhed – og at Region Hovedstaden ligger i bunden. Ifølge Region Hovedstaden er deres styresystemer dog stadig sikre, selvom de ikke er nyeste version. Det svar siger måske mere om problemet end løsningen.
Tillid, der ikke kan genoprettes med pressemeddelelser
Det handler ikke længere om én læge eller én nysgerrig praktikant. Det handler om den regionale styring, hvor kontrol, ansvar og sikkerhed ser ud til at blive behandlet som administrative eftertanker. Hvor borgernes mest private oplysninger – om sygdom, psykiatri, livskriser – kan blive gennemlæst uden konsekvenser, indtil nogen opdager det.
Det handler heller ikke kun om at rette fejl. Det handler om at stille det grundlæggende spørgsmål: Er regionerne lige nu i stand til at forvalte den tillid og adgang, de har fået, eller har de behov for hjælp udefra?
Lige nu ser det ud, som om patientjournalen er blevet et åbent dokument – og firewallen en dør uden den helt store lås.
Og det betyder, at hvis intet forandres grundlæggende, er det næppe sidste gang, vi ser en af de her sager der kan give anledning til satiriske tegninger, for lige nu ser det ud til, at det kun er spørgsmålet om, hvem der kigger med næste gang.
