Dips: – Vi vil være helt trygge før vi lanserer et nytt program
Dips jobber med å finne en løsning for Pridok-brukere, men kan ikke si hvor lang tid det vil gå før denne er på plass.– Vi kommer ikke til å lansere dette produktet før vi er helt trygge på at vi tilfredsstiller loven, sier produktsjef Tore Dundas.
Denne artikkelen er mer enn tre år gammel.
Dips Interactor er et verktøy for å bestille laboratorieanalyser og sende henvisninger, som har vært i drift ved et stort antall legekontor landet over i ti år. Det siste året har Dips jobbet med å omskrive produktet til en skybasert tjeneste, i tråd med at flere og flere leverandører av elektroniske journalsystemer går over til skybaserte tjenester, deriblant Pridok.
– Produktet er ikke ferdig, og vi foretar nå risiko- og sårbarhetsanalyser av dette i lys av Schrems II-dommen og de tilleggskravene som kom etter den, sier produktdirektør Tore Dundas i Dips ASA.
Jobber med alternativer
Det er den enkelte virksomhet med dataansvar for løsninger som har ansvar for at virksomhetens helse- og personopplysninger behandles lovlig, det vil si innenfor rammen av EUs personvernregelverk. Da Schrems II-dommen falt i sommer, valgte Dips derfor å ta et skritt tilbake før de lanserte nestegenerasjons Interactor til flere enn de fire pilotlegekontorene som har testet ut produktet.
– Vi kommer ikke til å lansere dette produktet før vi er helt trygge på at vi tilfredsstiller loven, både for egen del, men også for kundene våre, sier Dundas.
Jurister i Dips jobber nå med å vurdere veien videre i lys av EU-dommen, og Dundas antar dette arbeidet vil ta en måned eller to.
Samtidig vurderes det andre mulige leverandører av skytjenester. Men, ifølge Norsk helsenett, er det ikke noe reelt alternativ å bytte ut amerikanske skyleverandører med norske eller europeiske når det gjelder alternativer til det de beste skyplattformene tilbyr. «Til og med de beste og mest fleksible private skyleverandørene kan ha eierforhold som gjør det problematisk i lys av Schrems II, og vil i så fall også kreve ekstra undersøkelser og tiltak», heter det i et møtereferat fra Nasjonalt e-helsestyre fra desember 2020.
– Kodejobben er ikke avhengig av Azure som plattform. Dips Interactor er utviklet for å kjøre i sky, uten å ta stilling til leverandør. Vi er likevel nødt til å konsekvensutrede før vi velger leverandør. Både Microsoft og Google og Amazon tilbyr skylagringstjenester, men felles for dem er at de alle er amerikanske og dermed treffes av denne dommen. Men det finnes jo andre driftsleverandører som vi prater med, som kan kjøre ting uten kommunikasjon med tredjeland, sier Dundas.
Tolkes ulikt
Microsoft Azure har datasentre flere steder, også i Europa, men fordi det er et amerikansk selskap, mener Dundas det likevel er en teoretisk mulighet for at personopplysninger kan bli krevd utlevert.
Dundas understreker at Interactor ikke er designet for faktisk å overføre opplysninger til USA. Pilotene kjører og lagrer sine data på Azures datasenter i Norge.
– «Overføring» gjelder imidlertid også mulig fjerntilgang til opplysningene. Datatilsynet bruker eksempelet «.. dersom du gir en russisk underleverandør tilgang til å logge seg inn og se dataene dine, selv om dataene kun er lagret på en server i Norge, regnes dette som en overføring». I tillegg er det slik at de amerikanske lovene som Schrems II handler om (FISA og E.O. 12333), gjelder både innenfor og utenfor amerikansk territorium, sier han.
EPJ-leverandørene Pridok og Infodok vurderer det annerledes.
– Hvilke vurderinger andre foretar, får de stå for. Men vi vil være helt sikre før vi lanserer produktet, oppsummerer Dundas.
EPJ-everandørene er uenige
Verken Infodoc eller Pridok tolker EU-dommen så strengt som Dips: – Vi ser ikke dette som et problem, så hvorfor Dips skal ha panikk, forstår vi ikke, sier Jørgen Gilberg i Pridok.
Dips’ tolkning av EU-dommen får konsekvenser for 2200 Pridok-brukere. Medgründer Jørgen Gilberg i Pridok håper at Dips snart gir grønt lys for Interactor-løsningen.
– Vi anser dette som en politisk greie. Dersom vi hadde trodd at dommen ville bli et sikkerhetsproblem, at sensitive opplysninger i Pridok kunne bli kompromittert, hadde også vi flyttet lagringen vår, sier han til Dagens Medisin.
Utålmodig leverandør
Verken EPJ-leverandrøen Infodoc eller Pridok tolker EU-dommen så strengt som Dips:
– Vi ser ikke dette som et problem, så hvorfor Dips skal ha panikk, forstår vi ikke, sier Jørgen Gilberg i Pridok.
Dips’ tolkning av EU-dommen får konsekvenser for 2200 Pridok-brukere. Medgründer Jørgen Gilberg i Pridok håper at Dips snart gir grønt lys for Interactor-løsningen.
– Vi anser dette som en politisk greie. Dersom vi hadde trodd at dommen ville bli et sikkerhetsproblem, at sensitive opplysninger i Pridok kunne bli kompromittert, hadde også vi flyttet lagringen vår, sier han til Dagens Medisin.
Ulike tolkninger
Pridok bruker også Microsoft Azure som skylagringsleverandør. Det samme gjør konkurrenten Infodoc.
Daglig leder Bjarne Ottesen i Infodoc skriver i en uttalelse til Dagens Medisin at de vurderer Schrems II-dommen opp mot Datatilsynets uttalelser.
Vi mener dette er en «tissekonkurranse» mellom EU og USA som må landes. Men det kan ta årevis, så Dips må finne en løsning. Jørgen Gilberg, gründer av Pridok
– Schrems II -dommen handler om overføring av personopplysninger utenfor EU-land. Vårt datasenter ligger i Nederland og ingen data overføres ut av EU/EØS. Dette gir således ikke dette noen konsekvenser for vår løsning, uttaler han, og viser til følgende erklæring fra Datatilsynet:
«Du kan overføre personopplysninger innad i EØS, altså EU-landene, Norge, Island og Liechtenstein, uten å tenke på overføringsgrunnlag og EU-domstolens tilleggskrav».
«Tissekonkurranse»
Det er altså amerikanske myndigheter som pålegger amerikanske selskaper å utlevere personopplysninger – også de som opererer i utlandet. Men dette vil ikke EU gå med på. Gilberg mener imidlertid dette kun er en teoretisk mulighet:
– Vi ser ikke dette som et problem, så hvorfor Dips skal ha panikk, forstår vi ikke. Dataene er likevel kryptert, så i så fall vil jeg ønske Microsoft lykke til. Amerikanerne vet ikke hvem som er pasienter i vårt system. Det er forskjell på Hotmail-meldinger og at en persons opplysninger ligger kryptert i en database. På Hotmail har Microsoft en direkteavtale med en bruker, ikke med tilfeldige pasienter i et EPJ, og vår risikoanalyse tilsier at dette ikke er et problem, sier han.
– Vi mener dette er en «tissekonkurranse» mellom EU og USA som må landes. Men det kan ta årevis, så Dips må finne en løsning, legger han til.
Får konsekvenser for sykehusene
Gilberg og hans medgründere har jobbet med utvikling av EPJ-løsningen i syv år, de siste fire av dem med kunder. I dag har de halvannen million journaler i Pridok-systemet og 2200 brukere.
– Alle fastleger har lyst å bruke sykehusene til å analysere prøver. Om dette fortsetter, kan alt havne i private hender fordi fastleger ikke vil bruke tiden sin til å krysse av på papirskjemaer.
Gilberg har også vært i kontakt med Ole Tom Seierstad i Microsoft Norge, og han har blitt forsikret om at det er ekstremt få tilfeller hvor Microsoft leverer ut noen som helst, selv etter pålegg.
Dagens Medisin har forsøkt å få en kommentar fra Microsoft, men uten å lykkes.
Schrems II-dommen
- EU-domstolen har avsagt en ny, prinsipiell dom om overføring av personopplysninger til USA, gjerne kalt Schrems II-dommen.
- Dommen har fått navn fra den østerrikske personvernaktivisten Max Schrems, som krevde at det irske datatilsynet skulle stoppe overføringer av personopplysninger mellom Facebook Irland og Facebook Inc. i USA. Han begrunnet dette med at personopplysningene hans ikke var godt nok beskyttet i USA.
- Kjernen i saken er forholdet mellom europeisk personvern og amerikanske overvåkingslover når personopplysninger blir overført fra Europa til USA.
- Dommen tok stilling til hva som må til for at et selskap får lov til å overføre personopplysninger til USA.
- Kilde: Datatilsynet