Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Sikkerhed i kliniske apps Berit Skjernaa, Alexandra Instituttet A/S
Identitet på nettet i et globalt perspektiv
Alexandra Instituttet A/S
• Almennyttigt, anvendelsesorienteret forskningsinstitut, med fokus på IT – Ca. 100 ansatte
• 10 Labs – Security Lab – Pervasive Healthcare Lab
IT-Sikkerhed - hvorfor
Anonymisering – pas på!
Sundhedsforsikringsdata Offentlig vælgerdatabase ($20)
� Personhenfør-bare data på godt 100.000 patienter
� Ca. 100 forskellige felter pr registrering
� Anonymiserede
Dato for besøg Køn
Procedure Fødselsdato
Medicin Diagnose
Postnummer Pris
� Vælgerlister for Cambridge, Massachusetts
� Offentlige lister – tilgængelige for alle
Køn Navn
Fødselsdato Adresse
Reg.-dato Postnummer
Massachusetts, 2002
• Etisk korrekt! • App-udvikler er registeransvarlig • PIA – Privacy Impact Assessment
– http://itek.di.dk/SiteCollectionDocuments/Vejledninger/DI%27s%20skabelon%20for%20Privacy%20Impact%20Assessment.pdf
• Indhentelse af samtykke – formål, opbevaring, tilbagekaldelse • Specielle regler for børn • Følsomme persondata
– stærk kryptering i transit – Lokation ved opbevaring
• Ny persondataforordning – Strengere krav – Bøder på op til 1 mio €
• http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp202_da.pdf
Persondata-lovgivning
IT-sikkerhed omfatter det hele
• Password-håndtering – for nemt at stjæle • Ikke opgraderet software • Stoler på data fra klienten i browseren/app’en • Mulighed for kommando-indlejring • Manglende sikring i transit • https://www.owasp.org/images/5/52/OWASP
_Testing_Guide_v4.pdf • Få lavet sikkerhedscheck af uafhængige
Typiske sikkerhedsbrist
25/11/2014
Data i skyen
• Overlader driften til professionelle – de har styr på sikkerheden
• Pas på med følsomme persondata – indhent tilladelse/rådfør med advokat
• Vær opmærksom på: – Backup – Mulighed for eksport – Rettigheder over data – Kryptering af data
• Sikkerhedsanalyse • Avancerede sikkerhedstekniske løsninger • Cases indenfor Mobil ID, persondata-
forordningen • InnoBooster – SMV’er • Innovationstjek.dk – SMV’er, gratis, identificerer
udviklingspotentialer • Pervasive Healthcare Lab: XDS, CDA, Continua
Health Alliance
Hvad kan Alexandra tilbyde?
• It-sikkerhed omfatter det hele
• Vær opmærksom på persondata-lovgivningen
• Brug gerne cloud-løsninger – men pas på med følsomme data
• Brug mulighederne for ekspert-rådgivning
• Hold jer opdateret
Opsummering
25/11/2014 Side 10
Berit Skjernaa, [email protected]
Tak for jeres opmærksomhed