Sådan vil Region H sikre Sundhedsplatformen mod amerikansk overvågning efter Schrems II

Foto : Rigshospitalet

Sådan vil Region H sikre Sundhedsplatformen mod amerikansk overvågning efter Schrems II

Arbejdet med at leve op til GDPR-reglerne efter Schrems II-dommen er kommet ét skridt længere, efter at Region Hovedstaden har holdt møde om Sundhedsplatformen med den amerikanske leverandør, Epic.
Risikoen for, at danskeres sundhedsdata ender i hænderne på amerikanske efterretningstjenester, er meget lille, mener Region Hovedstaden.
Vil du have fuld adgang til ComplianceTech?

ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder. Vi udgiver løsningsorienterede artikler om data compliance og konkrete værktøjer til, hvordan din organisation overholder reglerne og er compliant på den mest effektive måde - uanset om det handler om GDPR, cookies, NIS-loven eller ISO-standarder.

Prøv ComplianceTech

ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder. Vi udgiver løsningsorienterede artikler om data compliance og konkrete værktøjer til, hvordan din organisation overholder reglerne og er compliant på den mest effektive måde - uanset om det handler om GDPR, cookies, NIS-loven eller ISO-standarder.

Klik her

Nævnte firmaer

Anna Olga Aaskilde Laursen
Anna Olga Laursen

Anna Olga Laursen, chef for informationssikkerhed og CISO i Region Hovedstaden.

Illustration: CIMT

Anna Olga Aaskilde Laursen er sektionschef og Chief Information Security Officer i Region Hovedstaden. Hun er uddannet cand.mag. i filosofi og dansk fra Roskilde Universitet.

Region Hovedstadens ekstra foranstaltninger

Region Hovedstaden har fremlagt flere forslag til yderligere supplerende foranstaltninger for at øge beskyttelsens af borgernes data, hvis de bliver overført til Epics supportfunktion i USA. Forslagene er ifølge en mail fra Region H til Epic:

  1. Databehandleren skal vurdere, om tredjelandets myndigheder kan skaffe adgang til de overførte personoplysninger.
     

  2. Databehandleren skal bekræfte, at den ikke med vilje har udviklet bagdøre eller arbejdsgange, som gør det muligt at give adgang til systemer eller personoplysninger - og at lovgivningen i databehandlerens land ikke kræver, at databehandleren gør netop det.
     

  3. En kanariefugl-ordning eller 'Warrant Canary'-metode, hvor databehandleren f.eks. én gang i døgnet sender en krypteret besked til den dataansvarlige om, at myndighederne i tredjelandet ikke har bedt databehandleren om at udlevere personoplysninger. Hvis det sker, holder databehandleren op med at sende beskederne.
     

  4. Databehandleren forpligter sig til at undersøge lovligheden af en anmodning om personoplysninger, hvis myndighederne sender sådan en anmodning - og udfordre anmodningen, hvis den kommer.
     

  5. Databehandleren forpligter sig til at informere den anmodende myndighed om, at anmodningen ikke er kompatibel med GDPR.
     

Kilde: Region Hovedstaden.