Pasientjournaler på avveie – helsevirksomhet og pasienter presses for penger
På søndag fikk vi høre om dataangrepet hos det finske psykoterapisenteret Vastaamo hvor hackere har fått tilgang til flere tusen pasientjournaler med sensitiv informasjon. Etter mislykkede utpressingsforsøk mot virksomheten har hackerne nå kontaktet enkeltpasienter og truer med å offentliggjøre deres journaler med mindre de betaler. Dette skrekkscenariet er nok et eksempel på hvor viktig datasikkerhet er i helsevirksomheter.
En rekke firma har den siste tiden opplevd hackerangrep og datainnbrudd, og antallet angrep har økt etter at koronapandemien slo til i mars 2020. Et typisk scenario er at kritisk informasjon krypteres og gjøres utilgjengelig, og at hackere deretter krever virksomheten for penger for å låse opp igjen. I noen tilfeller trues det også med at sensitiv informasjon offentliggjøres med mindre løsepenger utbetales.
Hackerne truer pasientene
Det mest skremmende med saken fra Finland er at hackerne direkte truer de mest sårbare – nemlig pasientene. At utpressere krever penger fra pasienter er noe som vi ser i økende grad. I Vastaamos tilfelle har hackerne fått tilgang til rundt 2.000 pasientjournaler med personlig og sensitiv informasjon. 300 pasienter har mottatt epost med trussel om at deres journalen offentliggjøres med mindre de betaler inn et beløp på 200 Euro.
Lot være å informere om dataangrep
Psykoterapisenteret Vastaamo opplevde det første hackerangrepet allerede i november 2018. Det ble da gjort tiltak for å hindre at dette skulle skje igjen. Et halvt år senere ble de derimot angrepet igjen. Og denne gang gjorde ledelsen det man aldri skal gjøre: de lot være å informer myndigheter og pasienter om at de var rammet. Som en konsekvens av dette fikk Vastaamos CEO sparken for få dager siden.
Ledelsens viktige ansvar
Det er ledelsen som har ansvar for virksomhetens datasikkerhet, og som skal sørge for at systemer vedlikeholdes, oppdateres og forbedres slik at en kan stå imot nye trusler. Dette gjelder også for pasientinformasjon som lagres i journalsystem. Hvis uvedkommende får tilgang til pasientinformasjon via svakheter i helsevirksomhetens datasystem, eller fordi ansatte gjør feil, er det virksomhetens ansvar – ikke journalleverandørens.
Det er også ledelsens ansvar å sikre at ansatte bruker virksomhetens datasystemer på en måte som bygger opp under sikkerheten. Sterke passord, to-faktor autentisering og ikke minst gode rutiner og retningslinjer er avgjørende.
Kontinuerlig og systematisk arbeid med datasikkerhet
Selv om det ennå ikke er klarlagt hvordan hackerne fikk tilgang til Vastaamos dataanlegg og pasientenes journaler er dette en klar advarsel til alle helsevirksomheter: personvern og datasikkerhet er viktigere enn noensinne. Grundig opplæring av ansatte og gode rutiner for hva en skal gjøre – og ikke gjøre – er viktig for å redusere faren for angrep. Det samme er gode rutiner hvis man er blitt angrepet. Når en situasjon har oppstått er det viktig at alle vet hva som skal gjøres for å begrense skadeomfanget.
Fokus på kontinuerlig og systematisk arbeid med personvern og sikkerhet er avgjørende. Det reduserer risikoen for at virksomheten rammes av skadelige dataangrep tilsvarende det som skjedde i Finland.
En kan aldri sikre virksomheten 100% mot dataangrep. Men hackere vil alltid velge de enkle målene. Jo bedre rutiner og sikrere system din virksomhet har, jo større sjanse er det for at de velger noen andre.
Ressurser i TrinnVis
Det kan være vanskelig å få oversikt over alt som kreves for å øke datasikkerheten. Som bruker av TrinnVis anbefaler vi at virksomheten din benytter seg av ressursene som ligger tilgjengelig i systemet.
Få oversikt over data og dataanlegg
I Persondata og dataanlegg kan datasystem og behandling av personopplysninger registreres slik at dere har god oversikt over dette.
I TrinnVis er det også ferdiglagde forslag til rutiner for hva som skal gjøres for å bedre datasikkerheten og for å sikre at data er tilgjengelig selv etter et hackerangrep. Rutinene i systemet kan gjøres om til konkrete og tidsbestemte oppgaver slik at arbeidet med datasikkerhet systematiseres.
Lær av egne feil
Med verktøyet for avvikshåndtering i TrinnVis kan uønskede hendelser som har oppstått registreres og følges opp. Dette er viktig for lære av hendelser som har skjedd slik at de kan unngås i fremtiden. Ved behandling av avvik vil avviksverktøyet i TrinnVis gi informasjon om hva virksomheten må gjøre – blant annet ved hendelser som kan eller har ført til at personopplysninger kommer på avveie.
Vær forberedt for det som ikke skal skje
TrinnVis har også et verktøy for risikovurdering av hendelser som kan oppstå. Hvor stor er sannsynlighet for at det skjer? Og hva blir da konsekvensene? I TrinnVis ligger det ferdige forslag til konkrete vurderinger som bør gjøres for personvern og datasikkerhet. I tillegg kan det lages egne risikovurderinger for din virksomhet som lagres og dokumenteres i TrinnVis.
Gode risikovurderinger gjør virksomheten bedre forberedt for det som helst ikke skal hende.