NOTAT
Indkaldelse og dagsorden til ekstraordinært møde i styregruppen for MedCom 10 den 12. februar 2016
Der indkaldes hermed, som tidligere varslet, til ekstraordinært møde i styregruppen for MedCom 10 fredag den 12. februar 2016 kl. 9.00 til 10.00 i Digitaliseringsstyrelsen, Land- greven 4, 1017 København K i lokale 4041+4043.
Dagsordenen for mødet er:
1. Velkomst
2. Rigsrevisionens IT-revision af Sundhedsdatanettet (SDN) (beslutning) 3. Databehandleraftale med MedCom om SDN (orientering)
4. Eventuelt
1. Velkomst
2. Rigsrevisionens IT-revision af Sundhedsdatanettet (SDN) (beslutning)
Bilag 2.1: Brev vedrørende it-revision af SDN 2015
Bilag 2.2: Revisionsrapport om it-revision af SDN 2015
Bilag 2.3: Forslag til svar til Rigsrevisionen
Bilag 2.4: Samlet budget for analyser vedrørende SDN, videoknudepunktet, KIH- databasen, sårdatabasen
Problem
Rigsrevisionen har udarbejdet en it-revision af SDN (bilag 2.1 og 2.2). I sin revision og rap- port giver Rigsrevisionen anvisninger til udbedring af mangler i it-sikkerheden, som Med- Coms styregruppe anbefales at tage stilling til.
Baggrund
MedCom varetager fælles systemforvaltning af SDN, videoknudepunktet, KIH-databasen samt også sårdatabasen indtil 31. august 2016.
Rigsrevisionen har i oktober-november 2015 udarbejdet en revision af MedCom system- forvaltning af SDN i et it-sikkerhedsperspektiv.
SDN består af SDN-netværket, Aftalesystemet og støttesystemer. Jf. Rigsrevisionens brev (bilag 2.1) er ”SDN-netværket den del, hvor data transmitteres, hvilket er SDN’s kerneop- gave. Aftalesystemet styrer, hvem der, via SDN-netværket, kan kommunikere og udveksle forskellige typer af information med hinanden. Støttesystemerne er den del af SDN, der bl.a. sikrer, at der tages backup og opsamles statistik om oppetider mv. SDN-netværket er alene et transportnet, og hverken Aftalesystemet eller støttesystemerne indeholder pati- entdata”.
Sundheds- og Ældreministeriet
Enhed: Sundhedsøkonomi Sagsbeh.: DEPSZB Koordineret med:
Sagsnr.: 1601117 Dok. nr.: 17624 Dato: 05. februar 2016
Side 2
Side 2 Revisionen er baseret på standarden for informationssikkerhed ISO/IEC 27001. Revisionen
adskiller sig fra den årlige revision af SDN, der udføres af Deloitte, og som årligt er forelagt MedComs styregruppe. Denne revision er baseret på standarden ISAE 3000 og omhandler leverandørernes overholdelse af persondataloven.
Rigsrevisionen konkluderer, at it-sikkerheden samlet set ikke er tilfredsstillende. Rigsrevi- sionen efterlyser blandt andet etablering af en klarere governance, dokumenteret leve- randørstyring samt et større fokus på sikkerheden for SDNs støttesystemer.
På plussiden i rapporten tæller, at databehandleraftalen med leverandøren er på plads, og at backup, logning og overvågning af SDN er tilstrækkelig.
Hertil kommer jf. de løbende afrapporteringer til styregruppen, at driften er stabil med meget høj oppetid.
Løsning
MedCom har udarbejdet et udkast til svar til Rigsrevisionen (bilag 2.3) med forslag til handlinger. Disse indebærer implementering af relevante dele af ISO27001 for MedComs rolle og ansvar som systemforvalter. Anvendelse af ISO27001 følger både Rigsrevisionens afsæt for it-revisionen samt staten og regionernes indførelse af standarden.
Standarden tager overordnet set udgangspunkt i en risikovurdering, som danner baggrund for den governance og de kontroller, som er nødvendige for at understøtte organisatio- nens håndtering af risici. Samtidigt etableres og opbygges politikker, retningslinjer og procedurer, som skal vedligeholde og dokumentere informationssikkerheden.
Samlet set angår de foreslåede handlinger i forslaget til svar til Rigsrevisionen:
1) Ledelsens styring af sikkerheden
Opdatering af risikovurdering og handleplan
Udarbejdelse af beredskabsplan
Udarbejdelse af den ordinære it-revision ud fra et bredere scope end persondata- loven, som følge af Rigsrevisions rapport og afsæt
Øget involvering og fokus på it-sikkerhedsarbejdet i MedComs styregruppe og re- lanceret brugergruppe, når styringsmodel for fællesoffentlig systemforvaltning er etableret
Udarbejdelse af relevante politikker, retningslinjer og procedurer
Opfølgning på databehandleraftaler 2) Leverandørstyring
Løbende opfølgning på og konkretisering af it-sikkerhedskrav – herunder med henblik på kommende udbud
3) Adgangsstyring
Dokumenterede og periodevis gennemgange af administratorer og deres opfølg- ning på brugeradgange
4) Drift og vedligeholdelse
Præcisering af, hvilke ændringer leverandøren skal informere MedCom om
Beskrivelse af til- og fravalg af opgradering
Analyse af, hvordan og om støttesystemerne kan indpasse i eksisterende set up for overvågning og det nødvendige logningsniveau
Udvidelse af ordinær it-revision med sårbarhedsskanning af alle relevante servere inkl. støttesystemerne
Side 3
Side 3 Hertil kommer et generelt større fokus på støttesystemer og dokumentation af arbejdet
med systemforvaltning og it-sikkerhedsarbejdet.
MedCom er også systemforvalter og har dermed ansvar for informationssikkerheden for videoknudepunktet, KIH-databasen og sårjournalen. Disse systemer bør bringes op på et tilsvarende sikkerhedsniveau som SDN. Derfor foreslås i første omgang at igangsætte en intern gennemgang af disse systemer. Dette skal sikre grundlaget for en ensartet og høj grad af it-sikkerhed på tværs af systemer, som kan anvendes både i MedComs rolle som systemforvalter samt som indspil til arbejdet under den fællesoffentlige systemforvalt- ning.
Af bilag 2.4 fremgår forslag til samlet budget, der udmøntes fra det allerede afsatte ram- mebudget til ekstern konsulentbistand på 1,1 mio. kr.
Indstilling Det indstilles,
At forslag til svar til Rigsrevisionens it-revision af SDN – herunder handleplan, godkendes.
At budget for de nødvendige analyser for SDN på 400.000 kr. godkendes.
At budget for foranalyser af videoknudepunktet, KIH-databasen og sårdatabasen på 340.000 kr. godkendes.
3. Databehandleraftale med MedCom som databehandler på SDN (orientering)
Bilag 3.1: Tilslutningsaftale inkl. databehandleraftale
Bilag 3.2: Oversigt over indgåede databehandleraftaler
Problem
Rigsrevision skriver i deres it-revision, at kun en mindre del af de dataansvarlige har tilslut- tet sig databehandleraftalen med MedCom om SDN. De anbefaler, at alle dataansvarlige institutioner bør tilslutte sig databehandleraftalen for etablering af et fælles grundlag for it-sikkerhed i og omkring SDN. Den bliver aktuelt fremsendt som en integreret del af til- slutningsaftalen til SDN.
Fælles grundlag for it-sikkerhed blev også påpeget som en mangel i den risikoanalyse, der blev udarbejdet i juni 2014.
Baggrund
Som følge af risikoanalysen blev der i efteråret 2014 igangsat et arbejde med at udarbejde en ny tilslutningsaftale til SDN med ændrede krav til sikkerhed og anvendelse. Som en del af tilslutningsaftalen blev også udarbejdet en databehandleraftale med MedCom som systemforvalter på SDN, da transmission af personfølsomme data også er at betragte som databehandling. Forslaget til den nye tilslutningsaftale, sikkerhedskrav og databehandler- aftale blev udarbejdet af MedCom i samarbejde med advokatfirmaet Nørgaard og Piening.
De nye aftaler (bilag 3.1) blev udarbejdet i foråret 2015 og blev udsendt til tilsluttede par- ters sikkerheds- og netværksansvarlige og it-medarbejdere fra de relevante organisationer i sommeren 2015. De blev udsendt med forventning om, at aftalerne blev indgået, og at indholdet efterfølgende ville blive drøftet, revideret og besluttet i endelig form på Med- Coms tekniske temadag den 27. oktober 2015. Formålet var her at skabe et fælles grund- lag for it-sikkerheden for SDN.
Som det fremgår af bilag 3.2 har ikke alle relevante parter indgået databehandleraftalen.
Det kan der være flere forklaringer på. I det næste beskrives de mest udbredte, som også kom til udtryk på temadagen, hvor parterne ikke kom til enighed om en fælles databe- handleraftale.
Side 4
Side 4 Regionerne er som dataansvarlige på vej med en revideret og fælles databehandleraftale.
Der kan således være en timingmæssig forklaring på den manglende tilslutning, da Med- Coms generelle databehandleraftale således ikke er alignet med RSIs kommende databe- handleraftale. Det skal i den anledning bemærkes, at MedComs databehandleraftale har en bredere målgruppe og således har til hensigt at favne både sygehuse, almen praksis, kommuner, privathospitaler, leverandører m.v.
Endvidere synes den nuværende databehandleraftale ikke præcis nok, når it-leverandører på vegne af dataansvarlige organisationer gennemstiller til SDN. Denne gennemstilling kan eksempelvis ske på vegne af almen praksis og kommuner. Dette stiller særlige krav til kædeansvaret i forhold til under-databehandlingsaftaler.
Løsning
Som led i opfølgning på Rigsrevisionens rapport vil MedCom i foråret 2016 revidere aftale- komplekset og genudsende de ændrede aftaler til de tilsluttede parter med henblik på at få indgået aftaler med alle tilsluttede parter. MedComs styregruppe forelægges status på dette arbejde på det kommende styregruppemøde den 22. juni 2016.
Indstilling Det indstilles,
At orienteringen om databehandleraftale med MedCom om SDN tages til efter- retning.
4. Eventuelt