Transkript

1

2 Byen langs Mesnaelva innbyggere

3 Hvordan forholder man seg til norm for informasjonssikkerhet? Erfaringer fra Lillehammer

4 Staale Stampeløkken Sykepleier, avdelingssykepleier sjefsykepleier Lillehammer sykehjem IPLOS kontaktperson Systemansvarlig Gerica Systemansvarlig Sampro Tillitsvalgt NFU 21 år

5 I GERICA Lillehammer i dag: 1795 tjenestemotagere 3518 tjenester Ca 1750 notater daglig Ca 40 postjournaler daglig Ca 400 ansatte inne daglig Ca har tilgang til enhver tid

6

7 Kjernepunktet i normen side 11 punkt Helse- og personopplysninger skal Være tilgjenglig for rett medarbeider til rett tid. Behandles i tråd med reglene om taushetsplikt og være beskyttet slik at uvedkommende ikke får kjennskap til opplysningene. Være fullstendige, oppdaterte og korrekte

8 Tilgjenglighet til opplysninger Sikkerhetskopier oteknisk backup i forskjellige intervaller og brannsikker oppbevaring, -men har vi kontrolert at de virker? opapirutskrifter hva er vi avhengige av å ha tilgjenglig dersom kabelen blir gravet av skriftlige rutiner oppfølging av rutiner Nok arbeidsstasjoner, det må oppleves rasjonelt å bruke Nye muligheter -PDA skjerm på hvert rom bærbar trådløs PC

9 Samtykke En gang for alle eller fortløpende Manglende samtykkekompetanse Innsyn utlevering

10 Innsyn/Utlevering, -pasienten har rett til innsyn i journal etter reglene i pasientrettighetsloven 5-1, og helsepersonelloven 41. Pårørende har tilsvarende rettighet til innsyn/utlevering dersom pasienten samtykker til det, eller pasienten er over 16 år og åpenbart ikke kan ivareta sine interesser på grunn av fysiske eller psykiske forstyrrelser, senil demens eller psykisk utviklingshemming. Dersom pårørende ber om å få innsyn/utlevering og pasienten HAR samtykkekompetanse skal det foreligge fullmakt fra pasienten før utlevering/innsyn. Pasient/pårørende skal kvittere for mottak av kopi av journal, eller den kan sendes som rekommandert sending. Innsyn/Utlevering dokumenteres i Gerica. Sammen med journalen skal det utleveres et skriv der det gis tilbud om møte med fagperson, kontaktpersoner i andre tjenesteområder og navn og telefon til personen som er ansvarlig for utleveringen. Det sendes også ut faktura på kopieringskostnader.

11 HVEM GJØR HVA? Gi ansatte tilgang og tildele roller Gi nytt passord Sletting endring i journalen

12 Rolle Beskrivelse Ansvar Systemeier Virksomhetsleder (TO- leder, enhetsleder, virksomhetsleder) med eierskap til den informasjon som behandles i virksomheten. Ansvar for behandling av informasjon iht lover og regelverk Ansvar for sin virksomhets bruk av IKT Ansvarlig for virksomhetens bruk av systemet Ansvar for kompetanseutvikling av virksomhetens personale i forhold til hensiktsmessig bruk av IKT Ansvar for å definere virksomhetens behov i forhold til IKT Ansvarlig for bruk og sikkerhet rundt informasjon som behandles av virksomheten i henhold til sikkerhetshåndbok, meldeplikt og konsesjon, gjennom delegert ansvar Ansvar for egne inngåtte tilleggsavtaler Ansvar for autorisasjon, kan delegeres Ansvar for oppnevning av superbrukere i sin virksomhet

13 Rolle Beskrivelse Ansvar Systemansvarlig Systemforvalter Person som er operativt ansvarlig for et fagsystem i en kommune. Lytte til og formidle brukerkrav Ta initiativ til utvikling av systemet Kontakt med leverandør og driftsoperatør (Ikomm) Ansvarlig for sikkerheten i systemet gjennom administrasjon av tilgangsrettigheter og logger Ansvar for vedlikehold/nye maler, parameter settinger osv. Ansvar for brukerkontakt Sørge for opplæring og kompetanseutvikling på fagsystem. Superbruker Superbruker på et eller flere systemer. Gi brukere hjelp ved behov Rapporterer til systemansvarlig og virksomhetsleder om forbedringsbehov Utnevnes av systemeier

14 Tilgangsstyring hvem skal se og gjøre hva? TEKNISK Den enkeltes ansvar Taushetsplikt Holdninger og kunnskap

15 TEKNISK TILGANGSSTYRING Rolle med filter og sikkerhetsprofil Blålysrolle

16 Taushetsplikt Innbefater også å ikke oppsøke opplysninger Holdninger Kunnskap Bruker hverandres pålogg Elendige passord Glemme å logge seg ut når en forlater arbeidstasjonen Utskrifter som flyter Naive brukere?

17 LOGGFØRING Det føres automatisk logg over hva ansatte har gjort i gerica. Sjekkes i dag sporadisk og på oppfordring Bør bli bedre systematikk blant annet i forhold til blålys innlogginger

18 Dokumentasjon av rutiner Standarden Manualene Avikshåndtering

19

20 Hvordan er forholdet vårt til normen?

21 Utfordringer på veien videre Systemdokumentasjon Forpliktelse til å følge normen Samtykke /brukermedvirkning Teknologisk utvikling?hva med personsensitive opplysninger i skole og barnehage?