skopet uge 10 / 2009 - Hospitalsenhed Midt

Du sætter fod- og fingeraftryk ...
Den 12. februar kom det frem i medierne, at en it-medarbejder
ved Århus Universitetshospital, Skejby, dybt
ulovligt havde været inde at kigge i en journal for at
finde personoplysninger til en kammerat. Samme dag
havde Region Midtjylland meldt hændelsen til Datatilsynet
– og vedkommende medarbejder var på dette
tidspunkt allerede blevet både bortvist fra sit job og
meldt til politiet. Det skete straks, da hospitalet var
blevet opmærksom på uregelmæssigheden.
Ulovligheden på nettet aktualiserer, at alle medarbejdere
skal tage al omgang med fortrolige oplysninger
helt alvorligt. Ikke noget med at snuse rundt af simple,
nysgerrige grunde. Det, der kan synes at være let at
finde med få klik på musen, er ikke dermed noget,
som skal tages let.
Lettere at fuske tidligere
I gamle dage, da alle oplysninger om borgerne lå på papir
arkiveret i mapper og skuffer, kunne en medarbejder
“låne” et dokument, gå til den nærmeste kopimaskine
– og efterfølgende lægge det tilbage. Det var også
strengt ulovligt, men trak dengang ikke spor, sådan
som det gør i dag, hvor alle medarbejderes computere
er koblet op i et netværk, hvor det bliver overvåget, når
man bevæger sig ind i it-systemer med personhenførbare
data om patienter og borgere.
Når de regionale medarbejdere klikker sig ind på deres
arbejds-computer, dukker der som det første en
tekst op på skærmen, der fortæller om den nødvendige
sikkerhed.
De fleste klikker nok videre – uden mange tanker, men
teksten skulle dagligt gerne gøre alle opmærksom på,
at det ikke er et ligegyldigt netværk, som brugeren er
på vej ind på. Ved ansættelsen bliver alle medarbejdere
i deres ansættelseskontrakt tilsvarende udtrykkeligt
gjort opmærksom på, at de er underlagt lovreglerne
om tavshedspligt.
Tavshedspligten
På den rette side af stregen ...
– Vi kan på en log-fil se, hvor den enkelte medarbejder
kigger ind efter oplysninger. Hvor længe vedkommende
er der – og hvad de laver. Vi kan se, hvis de går
uden for det, som virker rimeligt, og det kan udløse en
nærmere undersøgelse, fortæller Ole Schelde, informationssikkerhedskoordinator
ved regionssekretariatet.
Han er med til at sikre, at fundamentet bag regionens
informationssikkerhed er på plads, så der ikke sker sikkerhedsmæssige
svigt.
Ole Schelde har siden efteråret haft som hovedområde
at udvikle informationssikkerheden i Region Midtjylland.
Et arbejde som blev sat i gang straks ved regionens
dannelse, og som om tre uger kommer videre fra
regionens informationssikkerhedsudvalg til regionens
direktion og politikere.
– Hver medarbejder skal have et fagligt og tjenstligt
behov for at slå oplysninger op. Ligeledes har alle
medarbejdere også et ansvar for, at deres pc ikke står
logget på nettet uden opsyn. Hvis der sker misbrug i
denne situation, så står vedkommende, der har logget
sig på, som ansvarlig, påpeger Ole Schelde.
Konsekvenser
Siden 1976 har amterne og siden regionerne skullet
indberette til Landspatientregistret, hvis der sker uregelmæssigheder.
I det daglige er det de enkelte områders
it-områdeledere, som jævnligt skal gennemse
og underskrive udkørsler af sikkerheds-logfilerne. Disse
underskrevne lister er mellem de ting, som regionens
revisionsfirma, KPMG, får forelagt.
Jurist Nina Skarum, HR koncern, har kendskab til, at
der er sket enkelte uheldige hændelser i såvel de tidligere
amters som i regionens tid. Ulovlige brud, som
har betydet, at ansættelsesforholdet er ophørt – og i
... Fortsættes side 17
16 Regionshospitalet Viborg, Skive, Kjellerup • Uge 10, 2009