Helseopplysninger i MTU rammer og sikring Helge Veum
- Slides: 25
Helseopplysninger i MTU, - rammer og sikring Helge Veum, overingeniør Landsmøtet MTF, Stavanger 25. april 2006
Utgangspunkt • Datatilsynet har hatt få henvendelser rundt MTU! • Opplysningene kan normalt ikke knyttes til pasienten (utover at utstyret er direkte tilkoplet vedkommende)? • Opplysningene slettes, eller overføres journal når utstyret koples ifra pasienten? • Enkelte løsninger trenger nettverkstilkoplinger for å virke? • Samme regelverk som for øvrige behandlinger av helseopplysninger! • En arena i utvikling; og det er feller å gå i. • Datatilsynet forventer å bli konsultert ved behov. 20. 09. 2021 2
Om Datatilsynet • Ca 30 medarbeidere • Uavhengig forvaltningsorgan • Informasjon – Tilsyn – Påvirkning • Nesten alle sektorer har en side mot personvern • • Personopplysningsloven Helseregisterloven Personopplysningsforskriften EU-direktiv 20. 09. 2021 3
Rammer for behandling av helseopplysninger i MTU
Helseregisterloven • Lov om helseregistre og behandling av helseopplysninger • • • Def. Helseopplysninger • • Helseregisterloven Trådte i kraft 1. Januar 2002 Behandling av helseopplysninger i helseforvaltningen og helsetjenesten Adgangen til å etablere lokale, regionale, og sentrale helseregistre helseopplysninger: taushetsbelagte opplysninger i henhold til helsepersonelloven § 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson. Anonyme opplysninger – kan ikke føres tilbake til enkeltperson Avidentifiserte heleopplysninger Behandling av helseopplysninger 20. 09. 2021 5
Roller • Databehandlingsansvarlig • • Databehandler • • Behandler helseopplysninger på vegne av den databehandlingsansvarlige Selvstendig plikt til å sørge for tilfredstillende informasjonssikkerhet Databehandleravtale Leverandører • • Helseforetaket Ingen plikter etter regelverket. Avtaler og kontroll! Kommunikasjonspartnere • 20. 09. 2021 De vi kommuniserer med 6
Journalen • Lovgrunnlag – journalføringsplikten • Tilgang til journalen begrenses til den behandlingsansvarliges virksomhet • • Helseregisterlovens § 13: ” Bare den databehandlingsansvarlige, databehandlere og den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet, kan gis tilgang til helseopplysninger. …” Journalen begrenses til helseforetak (el. tilsv) • • Det er ingen nasjonale eller regionale behandlingsrettede registre RHF kan ikke være behandlingsansvarlig – SH-dir brev av 13. Mai • Lagring av helseopplysninger i MTU må anses som en del av journalen • • PAS, EPJ, Radiologi, fødejournal, MTU, etc – For å yte helsehjelp Forskning og kvalitetsregistre – Andre formål 20. 09. 2021 7
Kommunikasjon av helseopplysninger • Helseopplysninger som lovlig kan kommuniseres på papir eller muntlig, kan også kommuniseres elektronisk • God kommunikasjon er meldingsbasert • • Å – – – la andre hente opplysninger vha tilgang er problematisk Regelverket Ansvar Kontroll Behov for informasjonssikkerhet • • 20. 09. 2021 For det som kommuniseres For andre opplysninger i informasjonssystemet 8
Oppsummering - rammer • Journalverdige opplysninger bør gjøres tilgjengelige via journalen med de kontrollmekanismer som ligger i denne • Det er ikke åpning i regelverket for regionale journaler – heller ikke begrenset til MTU-data • Om vi ikke trenger å knytte opplysninger til enkeltperson– er det godt personvern å unngå dette • Men ivareta integritetskravet – fare forveksling • Opplysningene slettes fra utstyret når det ikke lengre er behov for de • Om identifiserbare helseopplysninger lagres i MTU, må disse sikres som om de var i et journalssystem • 20. 09. 2021 Middels erfaringer fra radiologisystemer 9
Sikring av helseopplysninger i MTU
Regelverket • Helseregisterlovens § 16 stiller krav om tilfredstillende informasjonssikkerhet i forhold til • • Konfidensialitet Integritet Kvalitet Tilgjengelighet Gjennom planlagte og systematiske tiltak • Utfyllende bestemmelser i personopplysningsforskriftens 2. Kapittel. • • • 20. 09. 2021 Ansvar Styringssystem Risikovurderinger 11
Informasjonssikkerhet – styringssystem • • • Mål og strategi Klart ansvar Akseptabel risiko Risikovurderinger Dokumentasjon • • • Konfigurasjon Rutiner Avvik 20. 09. 2021 12
Risikovurdering Risiko = Sannsynlighet for en uønsket hendelse X Konsekvens av en uønsket hendelse
Informasjonssikkerhet – konkret 1 • • Tilgangsstyring • • I utgangspunktet underbygge taushetsplikten Optimal tilgangsstyring – det man reelt trenger, og ikke noe mer Beslutningsstyrt tilgangsstyring Opplever ofte støttesystemer som svakere enn journalsystemer • Autoriserte brukere er en forutsetning Bevare integritet til journalen • • 20. 09. 2021 Hva er journalverdig? Bør det ligge i EPJ eller i dedikert utstyr? Og hvordan sikrer vi konfidensialiteten og tilgjengeligheten? Eks radiologi 14
Informasjonssikkerhet – konkret 2 • Sikring av en kommunikasjon kan deles i to: 1. Overføringssikkerhet • • 2. Det ”enkle” Krypteringskrav Tilkoplingssikkerhet • • 20. 09. 2021 Eks. ”En tidligere fysisk isolert helseinstitusjon knytter seg til Internett for å benytte en ’sikker nok’ tjeneste” Hvilken risiko representerer tilkoplingen for de øvrige data ved institusjonen? – Uautorisert utlevering – Angrep og skadelig innhold Hvilken kontroll har vi med avsendere/mottakere autoriserte og uautoriserte? Hvor stort hull lager vi inn til virksomheten? 15
Informasjonssikkerhet – konkret 3 • Logging • • 20. 09. 2021 Kan ikke erstatte tilgangsstyring Men er et nødvendig verktøy Krav etter personopplysningsforskriften Forutsetter dedikerte brukere av informasjonssystemet 16
Informasjonssikkerhet – konkret 4 • Leverandørers tilgang • • Som for journal Krav til, og kontroll med leverandører – Hva vet vi om leverandørens sikkerhetsnivå? – Risiko for resten av informasjonssystemet • Hvilken tilgang er det behov for – Hva kan løses lokalt – Får man tilgang til noe mer enn utstyret? • Den behandlingsansvarlige er fremdeles ansvarlig • Direkte identifiserende eller avidentifiserte opplysninger? • • Leverandør som tilbyder i helsenettet? Tilkopling under kontroll av databehandlingsansvarlig 20. 09. 2021 17
Informasjonssikkerhet – konkret 5 • Leverandører forts. • • 20. 09. 2021 Innenfor EU eller til tredje land – Særskilte avtaler Personopplysningsforskriftens § 2 -15 - sikkerhet hos andre virksomheter – Skal tilfredstille kravene til informasjonssikkerhet etter personopplysningsforskriften 18
Informasjonssikkerhet – konkret 6 • Opprinnelsesmarkering • • Ingen konkrete krav Men signeringsplikt i journalforskriften Risikovurdering med hensyn på integritet og kvalitet Overføringsformater • • • 20. 09. 2021 Ingen konkrete krav Men standarder er grunnleggende for å lykkes Risikovurdering med hensyn på integritet og kvalitet 19
Oppsummering informasjonssikkerhet • Konkrete spørsmål • • • Normalt er risikobaserte løsninger svaret Krav om styringssystem Krav om kryptering • • Krav i forhold til begrenset tilgang Taushetsplikten (helsemyndighetene) • Styringssystem og rutiner • Datatilsynet kan overprøve den behandlingsansvarliges valg i forhold til hva som er tilfredstillende sikkert • Norm for informasjonssikkerhet i helsesektoren 20. 09. 2021 20
• • • Et sidespor i forhold til tema internkontroll Helseregisterlovens § 17. Personopplysningsforskriftens 3. kapittel Planlagte- og systematiske tiltak for å sikre forsvarlig behandling av helseopplysninger Deles normalt i • • • Styrende Gjennomførende Kontrollerende Bør ses i sammenheng Internkontroll etter andre regelverk Mer enn informasjonssikkerhet, men også det Ansvar, organisering og kontroll sentralt. 20. 09. 2021 21
Styrende Gjennomførende Kontrollerende 20. 09. 2021 22
Prosess • Involver helseforetakene overordnet i forhold til juridiske og sikkerhetsmessige spørsmål • De plikter å ha oversikt og sørge for akseptable løsninger • Søk råd hos myndighetene i forhold til regelverket • Datatilsynet er i dialog med bransjen og helsemyndighetene rundt løsninger • • Juss og sikkerhet Se muligheter innfor det regelverket vi har med tanke på samhandling – fremfor å utfordre regelverket 20. 09. 2021 23
Til slutt • Ikke lagre mer opplysninger enn nødvendig • Hva som er nødvendig er en helsefaglig vurdering • • • Ivareta journalens integritet Det er ingen regionale behandlingsrettede registre Utleveringer er greit hvor dette er lov, men da kontrollerte forsendelse fremfor ”tilgang på tvers” • Helsevirksomheter plikter å ha kontroll på opplysningene 20. 09. 2021 24
Spørsmål? Takk for oppmerksomheten! 20. 09. 2021 25
- Helge veum
- Rmmer
- Sikring mod nedstyrtning
- Sikring
- Risikobekendtgørelsen
- Paskvilbeslag
- Hva er kjerneservice innen persontransport
- Citech scada
- Canvas michigan tech
- Tcpdump mtu
- Tamanho do mtu
- Ban web mtu
- Mtu
- Mtu ee
- Mtu math learning center
- Mtu hass list
- Mtu mse
- Wireshark mtu
- Helge voss
- Helge löbler
- Helge tönsing
- Helge reinhardt
- Helge drange
- Helge bahmann
- Helge meter
- Helge binder