Hälsodatan ska lagras utomlands

2015-06-16 14:45 Monica Kleja  

Med Ehälsomyndighetens nya tjänst ”Hälsa för mig” kommer svenskarnas hälsodata att lagras på Microsofts servrar i bland annat Irland. Det gör det lättare för utländska myndigheter att komma åt informationen, varnar it-säkerhetsexperter.

Det personliga hälsokontot ”Hälsa för mig” har det amerikanska bolaget Microsofts kommersiella tjänst Healthvault, grundat 2007, som förebild.

Tanken är att erbjuda alla svenskar över 18 år ett digitalt utrymme. Där ska du – frivilligt – kunna samla dina vård- och hälsodata.

Efter en omtvistad upphandling skrev Ehälsomyndigheten i maj kontrakt med Capgemini. Det franskägda it-bolaget samarbetar med Microsoft för att leverera tjänsten. Den kommer också baseras på det amerikanska bolagets plattform för Healthvault och börja byggas i mitten av augusti. Helt etablerad blir den i februari 2016.

Efter tips till Ny Tekniks Techleaks, vår anonyma tipstjänst, kan vi i dag avslöja att lagringen av svenskarnas hälsodata kommer att ske på servrar i Microsofts datacenter i Nederländerna och Irland.

Uppgifterna bekräftas av Stefan Gustafsson, som arbetar som teknisk projektledare på Ehälsomyndigheten.

Svenskarna kommer dock inte dela it-moln med Healthvault-användarna, utan lagringen kommer att ske i ett myndighetsmoln.

– Microsoft kommer att allokera speciella servrar för Sverige, säger han.

För att du som användare ska nå kontot via webben krävs inloggning med e-legitimation.

Uppgifterna kommer, enligt Staffan Gustafsson, inte betraktas som allmänna handlingar, vilka kan begäras ut med stöd av offentlighetsprincipen.

Men flera experter på informationssäkerhet anser att den upphandlade lösningen kan innebära integritetsrisker för dem som väljer att ansluta sig.

– Man kan ifrågasätta om den här informationen ska lagras i en molnlösning utomlands. Vardagsinformation ja, men inte den här väldigt känsliga datan som vi har, säger Albin Zuccato, doktor i datasäkerhet, som jobbar på it-säkerhetsbolaget Sentor.

Johan Sigholm, doktorand i militärteknik på Försvarshögskolan, instämmer:

– Generellt sett får man tycka att det är bra att man skapar it-tjänster som underlättar för individer och gör det enklare att exempelvis byta vårdinrättningar, men lösningen innebär absolut risker på många olika nivåer, säger han.

– Det vore bättre om den låg på servrar i Sverige, då skulle svenska myndigheter som Datainspektionen lättare kunna kontrollera informationssäkerheten.

Albin Zuccato pekar även på att man i USA inte alltid behöver domstolsbeslut för att ta del av uppgifter hos amerikanska molnbolag, utan kan använda terrorlagstiftningen Patriot Act.

– I och med att servrarna tillhör ett amerikanskt bolag kan underrättelsetjänster i USA begära tillgång till administratörskonton (vilka ger befogenhet att utföra arbete i servrarna, reds anm), säger han.

– Vi vet i andra fall som Snowden gjort oss uppmärksamma på att de använt metoden för att ta sig in på europeiska servrar.

Ett annat allvarligt integritetsproblem är att användarna delar sin sekretessbelagda patientinformation med företag som tillhandahåller appar på mobiler och surfplattor, anser Albin Zuccato.

Apparna med nya interaktiva hälsotjänster till Iphone- och Android-telefoner blir allt fler i app-butikerna.

Innan en app får anslutas till plattformen krävs att Ehälsomyndigheten godkänt den. Men när användaren sagt ja till appen och dess användarvillkor får appen hämta information från personens konto. Det kan handla om allt från blodtrycksresultat till uppgifter om pulsmätningar, läkemedelslistor, smärtbeskrivningar och läkarbesök.

– Detta innebär en allvarlig informationssäkerhetsrisk eftersom appleverantörer kan begära rättigheter att läsa, skapa och radera hälsodata direkt på kontot, säger Albin Zuccato.

Många appanvändare är ofta omedvetna om vad de egentligen säger ja till.

Enligt avtalet med Capgemini kommer så kallade länkande anslutningar att användas.

– I och med att man en gång godkänt appen gäller anslutningen tills den återkallas. Det innebär att informationen flödar utan personens inblandning, även om det inte behövs. Offline, som Microsoft kallar det, säger han.

Johan Sigholm ser också en stor risk i att hälsodata snappas upp via andra länders signalspaning. All internettrafik som ska till Irland passerar exempelvis avlyssningsstationen Bude i Storbritannien, uppger han.

– Om jag vore en utländsk underrättelsetjänst så kan jag tänka mig att söka efter exempelvis prominenta politikers hälsodata.


Den här artikeln har sitt ursprung i ett tips som lämnade till Techleaks. Tipsa du också!

Förre KD-ledaren bakom ”Hälsa för mig”

  • Det personliga hälsokontot drevs igenom av förre socialministern Göran Hägglund (KD). Socialdepartementet gav 2012 uppdraget åt Apotekens service AB att beställa plattformen.
  • Capgemini, med Microsoft som underleverantör, vann utvärderingen.
  • Upphandlingen överklagades och tog flera vändor i domstolarna. Men den 8 maj i år tecknade Ehälsomyndigheten ett nytt treårigt kontrakt med Microsoft, värt cirka 140 miljoner kronor.
  • Alla över 18 år kan ansluta sig i dag och då får man teckna avtal med Ehälsomyndigheten. Vuxna kan ha hälsoinformation för sina barns räkning på sina konton. Landstingen förbereder sig nu på att lämna ut patientuppgifter digitalt till ”Hälsa för mig”.
  • Pionjärer blir utvalda enheter på S:t Görans sjukhus, primärvården och mödravårdsmottagningen Mama Mia i Stockholm och Akademiska sjukhuset i Uppsala.
  • Patienterna/invånarna kommer att kunna få sin information utlämnad till hälsokontot via en tjänst hos 1177 Vårdguiden. Även exempelvis 46 000 reumatikerpatienter ska kunna få sin information utlämnad digitalt till sina hälsokonton.
  • Föräldrar ska också kunna be vården att lägga upp barnens hälsodata på de vuxnas individuella Hälsaförmig-konton. Exempel på sådan information som kan överföras är exempelvis barnens tillväxtkurvor.

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

Här är reglerna för kommentarerna på NyTeknik

  Kommentarer

Dagens viktigaste nyheter

Aktuellt inom

Senaste inom

Debatt