Sikkerhed i kliniske apps Berit Skjernaa, Alexandra Instituttet A/S

Identitet på nettet i et globalt perspektiv

Alexandra Instituttet A/S

• Almennyttigt, anvendelsesorienteret forskningsinstitut, med fokus på IT – Ca. 100 ansatte

• 10 Labs – Security Lab – Pervasive Healthcare Lab

IT-Sikkerhed - hvorfor

Anonymisering – pas på!

Sundhedsforsikringsdata Offentlig vælgerdatabase ($20)

� Personhenfør-bare data på godt 100.000 patienter

� Ca. 100 forskellige felter pr registrering

� Anonymiserede

Dato for besøg Køn

Procedure Fødselsdato

Medicin Diagnose

Postnummer Pris

� Vælgerlister for Cambridge, Massachusetts

� Offentlige lister – tilgængelige for alle

Køn Navn

Fødselsdato Adresse

Reg.-dato Postnummer

Massachusetts, 2002

• Etisk korrekt! • App-udvikler er registeransvarlig • PIA – Privacy Impact Assessment

– http://itek.di.dk/SiteCollectionDocuments/Vejledninger/DI%27s%20skabelon%20for%20Privacy%20Impact%20Assessment.pdf

• Indhentelse af samtykke – formål, opbevaring, tilbagekaldelse • Specielle regler for børn • Følsomme persondata

– stærk kryptering i transit – Lokation ved opbevaring

• Ny persondataforordning – Strengere krav – Bøder på op til 1 mio €

• http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp202_da.pdf

Persondata-lovgivning

IT-sikkerhed omfatter det hele

• Password-håndtering – for nemt at stjæle • Ikke opgraderet software • Stoler på data fra klienten i browseren/app’en • Mulighed for kommando-indlejring • Manglende sikring i transit • https://www.owasp.org/images/5/52/OWASP

_Testing_Guide_v4.pdf • Få lavet sikkerhedscheck af uafhængige

Typiske sikkerhedsbrist

25/11/2014

Data i skyen

• Overlader driften til professionelle – de har styr på sikkerheden

• Pas på med følsomme persondata – indhent tilladelse/rådfør med advokat

• Vær opmærksom på: – Backup – Mulighed for eksport – Rettigheder over data – Kryptering af data

• Sikkerhedsanalyse • Avancerede sikkerhedstekniske løsninger • Cases indenfor Mobil ID, persondata-

forordningen • InnoBooster – SMV’er • Innovationstjek.dk – SMV’er, gratis, identificerer

udviklingspotentialer • Pervasive Healthcare Lab: XDS, CDA, Continua

Health Alliance

Hvad kan Alexandra tilbyde?

• It-sikkerhed omfatter det hele

• Vær opmærksom på persondata-lovgivningen

• Brug gerne cloud-løsninger – men pas på med følsomme data

• Brug mulighederne for ekspert-rådgivning

• Hold jer opdateret

Opsummering

25/11/2014 Side 10

Berit Skjernaa, berit.skjernaa@alexandra.dk

Tak for jeres opmærksomhed