Krav til informasjonssikkerhet

Transkript

1 Krav til informasjonssikkerhet

2 Innhold Informasjonssikkerhet vs personvern Eksempler på sårbarheter MTU og Normen Krav til informasjonssikkerhet i Normen

3 Informasjonssikkerhet - begrep Behandler helse- og personopplysninger om pasient og bruker Plikt til å føre journal Forpliktelse ift pasienten kontinuitet i ytelse av helsehjelp Konfidensialitet Integritet Tilgjengelighet

4 Personvern vs informasjonssikkerhet Personvern Privatlivets fred Regulere bruk av personopplysninger Informasjonssikkerhet Virkemidler for å sikre personvernet Konfidensialitet Integritet Tilgjengelighet Rett Plikt

5 Eksempler på sårbarheter Helseopplysninger er ufullstendige Uautorisert tilgang og innsyn i helseopplysninger Tyveri av utstyr med helseopplysninger Tap av lagringsmedia eller bærbar PC med helseopplysninger Ødeleggelse av lagringsmedia eller datautstyr

6 Eksempler på sårbarheter forts. Ny versjon av programvare installeres, men virker ikke helt eller delvis Trådløst nettverk er ikke sikret Avtale med leverandør dekker ikke personvern og informasjonssikkerhet

7 MTU og Normen Lagringsenhet for elektromedisinsk utstyr som behandler helse- og personopplysninger skal plasseres i avlåst rom eller i bemannet område Elektromedisinsk utstyr som behandler helse- og personopplysninger skal inkluderes i virksomhetens arbeid med informasjonssikkerhet, herunder i risikovurderinger, tilgangsstyring og prosedyrer for bruk, på linje med andre informasjonssystemer

8 Behandling i PVF «behandling» enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring

9 MTU og Normen Oversikten kan f.eks. utarbeides som en database med oversikt over de systemer og registre for behandling av helse- og personopplysninger som til enhver tid er i bruk i virksomheten. Dette kan omfatte IT-systemer, databaser, prosjekter (forskningsprosjekter etc.), elektromedisinsk utstyr og manuelle registre mv

10 Autorisasjon til helse- og personopplysninger Tilgang kun ift. tjenstlig behov Skille mellom lese, registrere, redigere, rette, slette, sperre (K) Tilgangsstyring (K) Unik autentisering av den enkelte bruker (rolle + brukernavn og passord) (K, I) Fellesbruker for nettverkspålogging er OK

11 Tilgang til helse- og personopplysninger Logging av (K, I) Autorisert bruk Forsøk på uautorisert bruk Autorisasjon av teknisk personell (K,I,T) Årlig kontroll av tildelte autorisasjoner (K, I)

12 Tilgang mellom virksomheter autorisasjon for tilgang til helseopplysninger i annen virksomhet skal beskrive rettigheter og plikter som følger av autorisasjonen være i samsvar med helsepersonellovens regler om taushetsplikt dokumenteres i virksomhetens autorisasjonsregister tidsbegrenses alltid vurderes og eventuelt endres når det oppstår endringer i ansvarsområder eller ansettelsesforhold

13 Tilgang mellom virksomheter kun gi tilgang til opplysninger som er relevante og nødvendige for å yte, administrere eller kvalitetssikre helsehjelp til pasienten

14 Forsøk på uautorisert bruk Tilgangsstyring - prinsipper Virksomhet Organisatorisk enhet Formålet med tilgangen Bruker i en rolle Autorisering Autorisasjonsregister Autentisering Tilgang til helseopplysninger Autorisert bruk Logger sikkerhetsnormen@ehelse.no / 14

15 Autentisering Autentisering skal: sikre identifisering av den enkelte bruker sikre identifisering i korrekt rolle ved behov kreve ulike autentiseringskriteria for hver rolle Ulike ansettelsesforhold skal identifiseres og gis ulike autentiseringskriteria Autentiseringen skal være tilstrekkelig ift risikovurdering

16 Sikker autentisering Med sikker autentiseringsløsning menes i Normen en autentiseringsløsning som for eksempel er basert på personlig kvalifisert sertifikat eller annen autentiseringsløsning som gjennom en risikovurdering viser at den har tilstrekkelig sikkerhet

17 Autorisasjonsregister Databehandlingsansvarlig skal sørge for at det oppettes et autorisasjonsregister Skal som minimum inneholde informasjon om hvem som er tildelt autorisasjon til hvilken rolle autorisasjonen er tildelt formålet med autorisasjonen tidspunkt for når autorisasjonen ble gitt og eventuelt tilbakekalt informasjon om hvilken virksomhet den autoriserte er knyttet til helsepersonellets autorisasjon for tilgang til helseopplysninger i annen virksomhet Skal oppbevares i minimum 5 år Fra det tidspunkt autorisasjonen tas ut av bruk 17

18 Logging Plikt til logging i systemer Autorisert bruk og alle forsøk på uautorisert bruk All bruk av nødrettstilgang med begrunnelse Plikt til logging i infrastruktur Operativsystem Sikkerhetsbarrierer Oppbevaring av logger Til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem? Sikres mot uautorisert tilgang og sletting Rett tidsstempel 18

19 Logger autorisert bruk Skal minimum inneholde entydig identifikator for den autoriserte brukeren rollen den autoriserte brukeren har ved tilgangen virksomhetstilhørighet organisatorisk tilhørighet til den som er autorisert hvilke type opplysninger det er gitt tilgang til hvem som har fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer grunnlaget for tilgangen tidspunkt og varighet for tilgangen Skal oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for det analyseres (ukentlig) for å identifisere sikkerhetsbrudd

20 Logging forsøk uautorisert bruk Kan følgende logges brukeridentiteten som ble benyttet tidspunkt (dato og klokkeslett) IP-adresse eller annen identifikasjon av PC/arbeidsstasjon som ble benyttet (for eksempel MAC-adresse eller NAT-adresse) Oppbevaring?

21 Logger ved tilgang mellom virksomheter Skal dokumenteres automatisk Skal i tillegg inneholde person og organisatorisk tilhørighet til den som har hentet frem opplysningene hvorfor opplysningene er hentet frem hvilke tidsperioder vedkommende har hentet frem opplysningene

22 Kontroller ved tilgang mellom virksomheter Partene skal samarbeide om kontroll av tilganger Den som autoriserer helsepersonell for tilgang, skal løpende kontrollere hvem i egen virksomhet som elektronisk har hentet frem helseopplysninger fra annen virksomhet hvorfor dette er gjort tidsperioden opplysningene er hentet frem Viser kontrollen urettmessigheter skal virksomheten opplysningene er hentet fra og pasienten opplysningene gjelder, varsles

23 , jeg trodde jeg hadde innsynsrett

24 Innsyn Pasienten/brukeren og den ansatte har rett til innsyn i registrerte opplysninger Henvendelse skal besvares innen 30 dager Om innsyn er besluttet skal minimum følgende meddeles: Navn, rolle og organisatorisk tilhørighet til den som har hatt tilgang Tidspunkt Hvilke opplysninger det ble gitt tilgang til Registreringsdato for den enkelte opplysning Ved tilgang mellom virksomheter person og organisatorisk tilhørighet til den som har hentet frem opplysningene hvorfor opplysningene er hentet frem hvilke tidsperioder vedkommende har hentet frem Rett på forklaring og utskift 24

25 Tekniske sikkerhetsløsninger Kryptering av ekstern kommunikasjon - NSM (K, I) To uavhengige tekniske tiltak mot eksterne nettverk (K, I) Skille behandling av helseopplysninger og eksterne nettverk - teknisk løsning med sikkerhetsbarrierer (K, I) Hindre uautorisert tilgang Antivirus hindre uautorisert endring All kommunikasjon skal starte innenfra eget nettverk Teknisk løsning fra Norsk helsenett er innenfor kravene for skille (K, I)

26 Tekniske sikkerhetsløsninger Skytjenester (fjernlagring, synkronisering, kontorstøtte, osv) Risikovurdering av behandling av helse- og personopplysninger Databehandleravtale norsk rett gjelder Virksomheten og databehandler har ansvaret

27

28 Sikkerhets- og tilbakekopiering Dokumenterte rutiner (K, I, T) Periodisk Ansvar Sikkerhetskopi skal oppbevares (K, I, T) Avlåst Brannsikkert Adskilt fra driftsutstyret (server) Jevnlig test at sikkerhetskopiene (T) er korrekte kan tilbakeføres Nødrutiner skal utarbeides hva gjør virksomheten om journalopplysninger ikke er tilgjengelige? (T) Ekstern oppbevaring av sikkerhetskopi anbefales (T)

29 Databehandler Med databehandler menes den som behandler helse- og personopplysninger på vegne av den databehandlingsansvarlige En databehandler er en ekstern person eller virksomhet utenfor den databehandlingsansvarliges virksomhet Eksempel: leverandør drifter RIS for helseforetaket Mal for databehandleravtale finnes på normen.no

30 Service på utstyr / avhending av utstyr Fjernes utstyr som inneholder helse- og personopplysninger fra virksomheten må det opprettes en databehandleravtale med serviceyter (K) Service på stedet er å anbefale, men ikke et krav Ved utrangering av utstyr/lagringsmedia skal lagringsmedia slettes forsvarlig eller destrueres (K)

31 Utskrifter / faks (papirdokumenter) Rutiner for behandling av utskrifter (K) Sikring Arkivering Makulering Bruk av faks for helse- og personopplysninger (K) Anonymiseres Samtykke fra pasienten

32 Minnepinner og andre flyttbare Merkes tydelig (K) Skal krypteres (K, I) lagringsmedier Slettes forsvarlig destrueres ved utrangering (K) Oppbevares avlåst (K, I, T) Sendes som rekommandert post (K, I, T)*

33 SMS og e-post (K) Skal aldri brukes til helseopplysinger Skal aldri inneholde 11-sifferet fødselsnummer Mottas helseopplysninger via SMS eller e-post svarer virksomheten at Henvendelser med helseopplysninger blir ikke besvart. Bruk telefon eller fremmøte SMS krever samtykke fra pasient/bruker

34 Fysisk sikring Sikring av server og kommunikasjonsutstyr (K, I, T) Bemannet eller avlåst område Sikring av PC (K, I, T) Soneprinsippet ifm. resepsjoner, behandlingsrom, mv. (K, I, T) Hjelp for å ivareta den aktiv taushetsplikten

35 Plassering av skjerm og skiver/faks (K) Plasser skjerm og skriver skjermet for innsyn og adgang Gjør en gjennomgang av virksomhetens lokaler Viktig å ta hensyn til ved flytting

36 Aktiv taushetsplikt (K) Skjermsparer med passord manuell / automatisk Plassering av utstyr Låse kontor Låse ned dokumenter og notater Makulere Reelle data som testdata Utrangering av teknisk utstyr (multifunksjonskriver)

37 Hjemmekontor Arbeidsgivers utstyr (K, I, T) Sikker teknisk løsning (K, I, T) Autentisering som for stasjonært utstyr(k, I) Fysisk sikring av utstyr (K, I, T) Rutiner for bruk (K, I) Utskrift er ikke å anbefale (K) Hvis utskrift; sikring, arkivering, makulering Hindre uautorisert tilgang og innsyn (K, I) Kryptering av lagringsenhet på bærbart utstyr er tilstrekkelig (K, I)

38 Andre krav i Normen Taushetsplikt (K) Kontroll av tilgangsstyring ved sikkerhetsbrudd (K, I, T) Nødrettstilgang skal grunngis og følges opp som avvik (K, I) Helseopplysninger skal knyttes til rett identifisert person (I, T) være fullstendige og ajourført i forhold til behandlingen av opplysningene (I) føres i henhold til kodeverket (bl.a. ICD-10) (I) Krav til systemer (se Faktaark 38) (K, I, T)

39