Deling av passord i strid med reglene

Lasse Moe er daglig leder og grunnlegger av Opus Dental, som har 25 000 brukere fordelt på over 3500 klinikker i Skandinavia. Moe advarer mot slurv i omgang med passord og pålogging.

– Jeg har hørt at flere tannklinikker bruker veldig svake passord, og at de noen ganger har samme passord for alle ansatte, sier Moe.

Nestleder i Tannhelsesekretærenes Forbund (ThsF), Anne Gro Årmo, advarer ansatte ved tannklinikker sterkt mot å gå med på å dele passord med andre.

– Du har ikke anledning til å låne bort passord. Det kan jo føre til at det ser ut som om det er du som har skrevet noe i systemet, mens det i realiteten er noen andre som har vært inne. Arbeidsgiver kan ikke pålegge ansatte å låne bort passord, sier Årmo.

Klare signaler

Årmo er både opptatt av at tannlegene er seg bevisst sitt ansvar, og at den enkelte ansatte vet når han eller hun skal si nei.

– Vi vet at det foregår uregelmessig praksis. Vi har fått spørsmål om dette fra våre tillitsvalgte, sier hun.

Det er to forskjellige måter å bytte passord på som blir beskrevet overfor Parat-magasinet.

En går ut på at en tannlege logger seg inn på systemet, men lar en ansatt skrive inn i systemet på vegne av tannlegen, mens tannlegen er innlogget.

Det andre eksempelet er at en ansatt, for eksempel en tannhelsesekretær som skal ut i permisjon, blir bedt om å overlate sitt passord til en vikar.

Disse og andre varianter av det Lasse Moe i Opus kaller tendenser til slurv i informasjonssikkerheten ved private klinikker, strider mot gjeldende regelverk, ifølge Datatilsynet.

– En slik praksis er brudd på kravet til tilstrekkelig informasjonssikkerhet i personopplysningsforskriften kapittel 2, brudd på pasientjournalloven paragraf 22 og strider også mot helsepersonells taushetsplikt, opplyser Trude Talberg-Furulund, senior kommunikasjonsrådgiver i Datatilsynet.

Hensikten med regelverket er ikke minst å hindre snoking i pasienters personopplysninger. Derfor skal det være mulig å se hvem som har vært inne i systemet. Talberg-Furulund viser også til normen for informasjonssikkerhet i helsesektoren, som er tilgjengelig på nettstedet normen.no.

Hvem har ansvaret?

Ledelsen ved en bedrift, for eksempel tannlegen på en tannklinikk, vil alltid være ansvarlig for å følge regelverket gjennom å sørge for gode rutiner i en klinikk. Men ansvaret ligger også hos hver enkelt.

– Helsepersonell har jo en yrkespålagt taushetsplikt. Derfor bør de melde fra om systemet er for dårlig. Her vil dette også kunne bli en sak for Helsetilsynet, sier Talberg-Furulund i Datatilsynet.

Uaktsomhet kan straffes

Parat-advokat Anders Lindstrøm forteller at han fikk problemstillingen med bytte av passord på sitt bord for noen måneder siden, etter en henvendelse fra en tannhelsesekretær.

– Dersom personlige passord deles, vil det kunne medføre at uvedkommende går i pasientjournaler og leser sensitive helseopplysninger. Dette er selvfølgelig i strid med personopplysningsloven, sier Lindstrøm.

Han peker på at reglene først og fremst skal sikre at ingen uvedkommende leser pasientjournaler, men at dette også kan gi alvorlige problemer for eieren av passordet.

– I og med at sporingen i systemet vil bli knyttet til den som er eier av passordet, vil det kunne medføre at eieren av passordet feilaktig blir anklaget for å ha gått inn på et område som han eller hun ikke skulle ha vært inne på, sier han.

Personopplysningsloven paragraf 13 slår klart fast det ansvaret som ligger hos «den behandlingsansvarlige» når det gjelder informasjonssikkerhet.

– Dersom passord ikke har vært sikret, mener jeg man raskt er over i brudd på ansvaret etter personopplysningsloven, noe som i ytterste konsekvens vil kunne medføre straffeansvar etter lovens paragraf 48, sier Lindstrøm

Ifølge paragraf 48 kan grov uaktsomt eller forsettlig brudd på personopplysningsloven straffes med «bøter eller fengsel inntil ett år eller begge deler».

Kan få sparken

Geir Fjerdingen, som er rådgiver innen tannhelse i både Buskerud, Telemark og Vestfold, advarer den enkelte mot å gi seg inn på, eller la seg overtale til, en praksis som strider mot regelverket.

– Det som blir beskrevet her, er ikke akseptabelt. Passord skal være hemmelig. Dersom noen går inn i journaler man ikke har noe å gjøre med, kan det få direkte konsekvenser for ansettelsesforholdet, sier Fjerdingen.

Han sier at det innen offentlig tannhelse er god forståelse av hva som er god og dårlig praksis på dette feltet, og av hva regelverket slår fast.

Piratkopierer

I tillegg til ulovlig deling av passord sier Opus-sjef Lasse Moe at han gjennom de 25 årene systemet har vært på markedet har oppdaget flere tilfeller av ulovlig kopiering av systemet fra en klinikk til en annen.

Kopieringen er ifølge Moe i Opus drevet av et ønske om å spare penger. En tannlege kan spare omlag 15 000 kroner på å slippe å kjøpe en ny kopi av programmet, avhengig av antall brukere. Moe advarer mot at ulovlig kopiering kan bryte mot EUs nye personvern-direktiv og kan utløse bøter som svir.

– Vi greier ikke å hindre at noen kopierer databasen, men jeg forstår ikke at de gjør det, sier Moe.

Han viser til at hver enkelt installasjon av programmet er knyttet til en unik klinikk, med sine brukere og sin unike adresse.

– I avtalen står det klart at installasjonen kun skal brukes der den er installert, sier han.

Kopierer til bi-klinikk

Moe kjenner til at noen tannleger som eier klinikker på flere steder, har kopiert databasen til bruk på flere steder. Men innbygget sikkerhet sørger for at dokumenter som skrives ut for pasienter da blir påført feil adresse.

– Databasen er utstyrt med en «lick-fil» med en signatur som inneholder tannlegens navn og adresse. Når et dokument blir skrevet ut, vet jeg at det har skjedd at man manuelt har rettet adressen for hånd dersom databasen opprinnelig hører hjemme i en klinikk på en annen adresse.

Programmet kan også kopieres til en annen tannlege, som ethvert annet program, ifølge Opus-sjefen.

Kan utløse bot?

Men han understreker at selv om dette er fysisk mulig, så er det et klart brudd på avtalen mellom Opus og kunden. Moe hevder dessuten at en slik kopiering bryter med GDPR, EUs personvernreglement, som denne sommeren etter planen blir innført i norsk rett.

– Det kan ifølge de nye reglene gi en bot på fire prosent av omsetningen. De som gjør dette, tar en høy risiko, sier han.

Moe sier at Opus oppdager ca. ett–to tilfeller av duplisering av programmet hvert år, men legger til at det først oppdages når noe går galt i systemet som må justeres eller repareres.

Ikke nytt

Generalsekretær Morten H. Rolstad i Den norske tannlegeforening sier at det selvsagt ikke er akseptabelt om det foregår bruk av journalsystemet som bryter med avtaler eller kontrakter.

– Dette er i så fall noe Opus Dental og Moe må ta opp direkte med dem det gjelder. Enhver ikke-autorisert eller uberettiget bruk av IT-systemer eller programmer bør påtales.

Til gjengjeld mener han at Moe sprer forvirring når han blander EUs nye personvernregler inn i denne saken.

– Det er ikke noe nytt at all behandling av person- og helseopplysninger skal skje i tråd med norske lover og forskrifter. Norge har alt et godt utbygget regelverk på området, og NTF har gjort et betydelig arbeid for å bidra til at norske tannleger skal kunne følge dette, sier han.

Revisjon på gang

Rolstad peker på at reglene for person- og helseopplysninger, herunder i tannlegevirksomheter, er spredt utover flere lover og forskrifter, og at den nevnte Normen for informasjonssikkerhet i helsesektoren for tiden er under revisjon slik at den skal stemme med GDPR (EUs General Data Protection Regulation).

– NTF har ingen oversikt over hva som er situasjonen hos hver enkelt tannlege, men vårt mål er selvsagt at slike rutiner skal være på plass og bli overholdt. Vi kan ikke gå god for at det skal være noen forskjell mellom yngre og eldre tannleger her, sier generalsekretæren.

I likhet med Datatilsynet understreker Rolstad klinikkenes ansvar for «å etablere og gjennomføre gode og trygge rutiner for å sikre alle pasienters person- og helseopplysninger».

– Dette er en selvsagt del av vår informasjon og veiledning til våre medlemmer. Det har gjennom årene vært avholdt en rekke møter og kurs i NTFs regi med dette som tema – og det fortsetter vi med der behovet er til stede, sier Rolstad.