DISCLAIMER HVEM ER JEG OG HVOR BOR JEG

DISCLAIMER

HVEM ER JEG OG HVOR «BOR» JEG?

INFORMASJONSSIKKERHET • Konfidensialitet – Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang • Integritet – Sikre informasjon mot utilsiktet eller uautorisert endring eller sletting • Tilgjengelighet – Sikre at informasjon er tilgjengelig ved behov, innenfor definerte krav • Kvalitet – Sikre at informasjon er korrekt, oppdatert, relevant og tilstrekkelig «Informasjonssikkerhet er ikke et mål i seg selv, men et middel for å oppnå tilfredsstillende kvalitet på virksomhetens tjenester»

RAMMER • Lover – – – Personopplysningsloven Helseregisterloven Helsepersonelloven Pasientrettighetsloven Spesialisthelsetjenesteloven Helseforskningsloven • Forskrifter – Personopplysningsforskriften – Forskrift om pasientjournal • Annet – Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren. En samling krav og retningslinjer som skal bidra tilfredsstillende informasjonssikkerhet. • Faktaark • Veiledere • Forskrift på vei…. – Helseinformasjonssikkerhetsforskriften

NORMEN • Etablert etter initiativ fra Sosial- og helsedirektoratet • Formål – Bidra tilfredsstillende informasjonssikkerhet • Stiller krav og supplerer gjeldende regelverk • Etterlevelse av krav oppfyller tilfredsstillende informasjonssikkerhet • Juridisk bindende ved avtale • Styringsgruppe • Sekretariat • Referansegrupper

NORMEN Styrende del Gjennomførende del Kontrollerende del Styringssystem Taushetsplikt Sikkerhetsrevisjon Sikkerhetsmål Tilgangsstyring Risikovurdering Sikkerhetsstrategi Behandling av helse- og personopplysninger Avvikshåndtering Nivå for akseptabel risiko Sikring av områder og utstyr Ledelsens gjennomgang Oversikt over helse- og personopplysninger Drift Kontroll av tilganger Risikovurdering Kompetanse Datakommunikasjon Avtaler

HELSEINFORMASJONSSIKKERHETSFORSKRIFTEN

HVA HAR VI GJORT? • • Kartlagt alle behandlingsretta helseregister* Levert oversikt til HOD Kontrollert etterlevelse i henhold til forskrift Søkt om dispensasjon

• Skulle trådt i kraft 1. 1. 2013, men er utsatt til nærmere ikke angitt tidspunkt. .

«FORSKRIFTEN» • Men hva er det som skaper – så mye debatt – så mye arbeid – så mye uro – så mye av alt….

«FORSKRIFTEN»

• Da er det bedre at vi jobber sammen om en felles forståelse og at vi alle bidrar til å etablere den beste balansen mellom god pasientsikkerhet og godt personvern.

• Det er viktig at regelverket blir fulgt på en lojal måte. Det må være rom for dialog om ønsket utvikling fremfor at aktører bevisst velger å «utfordre» eksisterende regelverk.

HELSEINFORMASJONSSIKKERHETSFORSKRIFTEN

BAKGRUNN • Vedtatt 24. juni 2011 • Trer i kraft ? • Målgruppe – Systemutviklere – Kravspesifikasjon ved anskaffelser – IKT ansvarlige ved administrering av tilgang – Opplæring og kompetansebygging

FORMÅL Ved elektronisk tilgang til helseopplysninger i behandlingsrettede helseregistre • Helseregisterloven § 13 – Endret for å fjerne regelverksmessige hinder for effektiv og trygg kommunikasjon av helseopplysninger i helsetjenesten, samtidig som pasientens rett til konfidensialitet og vern om personlige integritet ivaretas • Helseinformasjonssikkerhetsforskriften – Regulere nødvendig tilgang til helseopplysninger og bidra tilfredsstillende informasjonssikkerhet slik at helsehjelp kan tilbys på en forsvarlig og effektiv måte samtidig som personvernet ivaretas

DEFINISJONER • Databehandlingsansvarlig – Den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes • Databehandler – Den som behandler helseopplysninger på vegne av den databehandlingsansvarlige • Autorisasjon – Bestemte rettigheter til å lese, registrere, redigere, rette, slette, sperre eller på annen måte behandle helseopplysninger

DEFINISJONER • Autentisering – Bekrefte identitet (passord, kort, fingeravtrykk, osv. . ) • Strukturerte helseopplysninger – Helseopplysninger som er inndelt slik at tilgang kan begrenses til de opplysningene som vurderes som relevante og nødvendige for å yte helsehjelp til den enkelt pasient • Personlig kvalifisertifikat (PKI) – Nøytral og tiltrodd tredjepart er utsteder – Fungerer som legitimasjonsbevis – Kan være et smartkort og pinkode. – Ved utlevering må man vise godkjent legitimasjon – Referanse til <kravspesifikasjon for PKI i offentlig sektor>

KRAVSPESIFIKASJON FOR PKI I OFFENTLIG SEKTOR

INNHOLD • • • Tilgang på tvers Logging Tilgang Kontroll Sperring

TILGANG PÅ TVERS • • Helseregisterloven § 13 – En og en pasient – Autorisere for tilgang fra eget sykehus eller annet sykehussystem – Autentisering fra eget eller annet sykehussystem – Samtykke Helseinformasjonssikkerhetsforskriften – § 6 Begrensninger i autorisasjon • ekstern tilgang kun ved intern tilgang og tidsbegrenset – § 11 Avtale – § 12 Skrivetilgang (dersom nødvendig for helsehjelp, må avtalefestes) – § 13 Unntak fra uttrykkelig samtykke • Hvis pasientens fysiske eller psykiske tilstand ikke muliggjør samtykke og det antas at pasienten ville gitt samtykke dersom vedkommende hadde vært i stand til dette • Unntak skal dokumenteres og begrunnes – § 14 Behandling av forespørsel om tilgang • kan bare omfatte en person om gangen

LOGGING • Helseregisterloven § 13 – Logg • Pasientens innsynsrett i logg om hvem som har hatt tilgang • Kravet innebærer at system må ha funksjonalitet for logging av alle oppslag, både internt og ved tilgang på tvers • Rett til innsyn i logg gjelder også annet enn helsehjelp, som forskning og kvalitetssikring • Helseinformasjonssikkerhetsforskriften § 16 – Innhold logg • Navn, rolle og organisatorisk tilhørighet til den som har fått tilgang • Grunnlag for tilgang • Tidspunkt for tilgang – Pasienten har rett til utskrift etter eget ønske om sortering – Svar innen 30 dager, vederlagsfritt

TILGANG • § 4 Beslutningsstyrt tilgang med dokumentasjon på hvilken hjemmel som er anvendt – Organisatorisk del (stillingsbeskrivelser) – Teknisk del (kontroll av bruk ved varslingssystem, tilgangskontroll, osv. ) – Risikovurdering (urettmessig tilegnelse av helseopplysninger) – § 16 Tilgang må hjemles* (helsehjelp, forskning, kvalitetssikring, administrative støttefunksjoner, rapportering til myndigheter, osv. ) – § 10 Strukturerte opplysninger ( «norgesjournal» ) • Autorisert tilgang for kun nødvendige og relevante helseopplysninger • Konkret beslutning som skal dokumenteres (kan fravikes dersom det på annen måte kan sikres at det ikke gis tilgang til flere opplysninger enn det som er nødvendig)

TILGANG • § 5 Autorisasjon – Formål er å yte forsvarlig helsehjelp til en pasient – Kan også gis til helsepersonells medhjelper eller administrativt personell – Knyttes til entydig identifisert person i bestemt rolle (kan ha flere roller) • Tilgangsstyring/differensiering – § 6 Tilgang kun til opplysninger som er nødvendig, gjenstand for vurdering og endring – § 10 Struktur for å «styre» tilgang

KONTROLL • § 17 Kontroll av autorisasjoner – Databehandlingsansvarlig skal jevnlig kontrollere hvem som har hatt elektronisk tilgang til helseopplysninger – Varsling til Datatilsynet og Statens helsetilsyn • § 7 Opplæring – Før autorisasjon utstedes – «Ikke dispensasjon» • § 8 Autorisasjonsoversikt – Utstedte, begrunnelse, hvem, hvilken rolle, formål, tidspunkt, varighet, tilbakekalt • § 9 Autentisering – Ved bruk av personlig kvalifisertifikat (eller annen tilsvarende sikker løsning)

SPERRING • § 15 Sperring – Innhold • Alle helseopplysninger er sensitive, men noen kan fremstå som mer sensitive enn andre – Tilgang • Bestemte personer • Alle bortsett fra • Bare tilgjengelig ved samtykke • Blanding • Det skal fremgå av journal at det er registrert opplysninger som er sperret • Retten til å reservere seg er ikke absolutt

UTFORDRINGER • «forskriften» skiller ikke mellom de minste (1 bruker) og de største (x tusen brukere) • Veilederen • Ingen system oppfyller pr. i dag alle krav – Hvordan komme dit? – Hvordan møte kravene for nye system? • Hvordan skape forståelse? • Samhandling God sikkerhet er og god pasientbehandling - Tillit -

HVA GJØR VI I DAG OG I MORGEN…? • Presenterer «forskriften» i ulike miljø • Utformet krav til bruk i anskaffelser – 4 prosjekt pr. i dag • Avklare funksjonalitet hos leverandører av medisinsk utstyr • Tema i regionalt sikkerhetsutvalg • Venter…