Sikkerhetskulturarbeidet i helsesektoren. Seniorrådgiver Jan Gunnar Broch, Helsedirektoratet

Transkript

1 Sikkerhetskulturarbeidet i helsesektoren Seniorrådgiver Jan Gunnar Broch, Helsedirektoratet

2 Overordnede mål Helsepersonell skal ha enkel og sikker tilgang til pasient- og brukeropplysninger Innbyggerne skal ha tilgang på enkle og sikre digitale tjenester Data skal være tilgjengelig for kvalitetsforbedring, helseovervåkning og forskning

3 Teknologi

4 Trusler

5 og sikkerhetskulturen?

6

7 Colourbox.com Det handler om tillit til at helse- og omsorgstjenesten og forvaltningen behandler opplysninger på en sikker måte.

8 Nasjonale innsatsområder Kvalitetsindikatorer Administrative registre Kjernejournal E-resept esaks helsenorge.no «En journal» Meldingsutbredelse Informasjonssikkerhet (Strategi, NORMEN, PKI/eID, HelseCSIRT) Sikkert helsenett Standardisering Statlige felleskomponenter (ID-porten, Folkeregisteret osv)

9 Noen klipp fra andre strategier og meldinger Styrket samordning og Personvern bør inkluderes i hele prosessen ved utvikling tilgangsstyring og logging i sektoren felles skal styrkes, og situasjonsforståelse av nye systemer (såkalt sektoren «privacy skal by påvirkes design») til å bidra Tilgang mer til positivt systemer til bør dette Robust og sikker IKTinfrastruktur eget utvalg mulighet som i hele skal til utrede å ha individets oversikt samfunnet behovet og for kontroll klientbasert med opplysninger logging og retten om seg til innsyn selv i disse loggene i de større skal Sterk offentlige styrkes, evne og til å private det håndtere skal legges uønskede registrene bedre IKT-hendelser til rette for at individet Elektronisk kan benytte innsyn for sine den rettigheter Høy registrerte kompetanse i egne og logges. Det skal settes ned et opplysninger bør vurderes sikkerhetsbevissthet

10 HVORDAN BYGGE SIKKERHETSKULTUR?

11 Utfordringer for virksomhetene De teknologiske mulighetene utnyttes ikke Mange selvstendige aktører Mange systemer, lite integrasjon Status og veien videre

12 Colourbox.com Utfordringer for å nå ledere? TILSYNSRAPPORT TILSYNSRAPPOR Rapport fra tilsyn med Slagbehandling ved

13 Utfordringer for å nå helsepersonell? Kjartan Olafsson, Legeforeningen, Normkonferansen 2012

14 Kjartan Olafsson, Legeforeningen, Normkonferansen 2012

15 Kjartan Olafsson, Legeforeningen, Normkonferansen 2012

16 Så, hva fungerer egentlig? Forankring Ambassadører og ildsjeler er viktig Budskap tilpasset målgruppen Ledere Helsepersonell IKT-ansatte Ta utgangspunkt i verdier som helsepersonellet er opptatt av Taushetsplikt Pasientens stemme Eksempler og humor Tidsbruk

17 EKSEMPEL # 1 PÅ SIKKERHETSKULTUR- BYGGER I SEKTOREN: NORMEN

18 Eksempel: Normen Bransjenorm for helse-, omsorgs- og sosialsektoren Juridisk bindende ved avtale Arena for sikkerhetsarbeid i sektoren Fordeler Brukermedvirkning/Forankring Fleksibilitet Utnytte tolkningsrommet Favne «hele» lovverket/detaljere Benytte sektorens språk

19 Bransjenormer Tittel Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren År 2006 Bransjenorm for behandling av personopplysninger i den norske inkassobransjen 2008 European code of conduct of FEDMA for the use of personaldata in direct marketing 2010 Bransjenorm for e-billettering 2011 Norm for idrettens databehandling

20 Fra evaluering av Normen og Normarbeidet v/ PwC høsten 2012 «I sektoren tegnes det et entydig bilde av at en ikke ville hatt samme kvalitative informasjonssikkerhet uten Normen» /

21 Datatilsynets oppfatning Fra foredrag Normkonferansen 2012 Helge Veum, avd. dir, Datatilsynet /

22 Styringsgruppen Helsedirektoratet (leder + sekretariat) Den norske Legeforening Sykepleierforbundet Norges Apotekforening Den norske Tannlegeforening Den offentlige tannhelsetjeneste NAV Norsk Helsenett Private laboratorier Farmasøytene De regionale Helseforetak KS Fysioterapiforbundet Psykologforeningen DIFI (observatør) Datatilsynet (observatør) HOD (observatør) Observatører har tale- og forslagsrett

23 Normen med støttedokumenter Juridisk bindende ved avtale: Normen: Normen ( Code of conduct ) og en del faktaark / veiledere er oversatt til engelsk Veiledende: Støttedokumenter: Kursmateriell: Veiledere / malverk Faktaark

24 Veiledere Veileder for apotek Veileder for fjernaksess Veileder for forskning Veileder for kommuner på helsenettet Veileder for kommuners helse- og sosialtjenester Veileder for legekontor Veileder for tannhelsetjenesten Veileder i bruk av sosiale medier i helse-, omsorgs- og sosialsektoren

25 Veileder i bruk av sosiale medier i helse-, omsorgs- og sosialsektoren

26 Helsepersonell og sosiale medier f

27 Bruk av veilederen Ment å være praktisk verktøy når virksomheten skal utforme retningslinjer for bruk av sosiale medier Tre deler: Overordnede problemstillinger ledelsen må ta stilling til Tekstforslag Råd for bruk av sosiale medier for deg som jobber i <virksomheten> Tekstforslag Gode råd for bruk av sosiale medier for pasienter / brukere og deres pårørende Tilpasses den enkelte virksomhet!

28 Colourbox.com Under arbeid: Veileder video-, lyd- og bildeopptak av pasient / bruker Ulike formål, f.eks Dokumentasjon av helsehjelp Veiledning, undervisning Mal samtykkeskjema Informasjonssikkerhet sikkerhetsnormen@helsedir.no /

29 Faktaark Omhandler ulike temaer og angir forslag til løsninger Angir eksakte krav og veiledninger ISACA julemøte Erfaringer med Normen

30 Utadrettet virksomhet Alle dokumenter på normen.no Nyhetsbrev Forslagskasse og svartjeneste Årlig normkonferanse Foredragsvirksomhet

31 Kursvirksomhet Ca 200 av landets 430 kommuner har deltatt på instruktørkurs i Normen. 21 instruktører har kurset ca 3000 tannleger i Tannlegeforeningens lokalforeninger E-læring planlegges i regi av Apotekforeningen Legeforeningen Tannlegeforeningen

32 EKSEMPEL # 2 PÅ SIKKERHETSKULTUR- BYGGER I SEKTOREN: KOMP-IS

33 Et felles tiltak for kompetanseheving innen informasjonssikkerhet: Komp-iS Programmet er utviklet og eies av Helse Sør Øst Det er laget for helsepersonell, for å øke bevisstheten rundt informasjonssikkerhet KFE undersøkelse, før og etter gjennomført program Norsk Helsenett skal nasjonalt bre programmet ut til alle kommunene mål for 2013 = 200 kommuner Programmet består av verdifilm/ humorfilmer og åtte kjernebudskap. Det legges til rette for diskusjoner og refleksjoner på arbeidsplassen.

34 VERDIFILMEN

35 Kjernebudskap

36 Humorfilmer «Skjer dette dette hos oss? Vil vi ha det sånn? Eller..?» Hvilke styrker og svakheter har du på arbeidsplassen, for å få til god informasjonssikkerhet

37 Har Komp-iS effekt? Kunnskap, forståelse og etterlevelse undersøkelse, ble gjennomført hos pilotkommunene. Før og etter gjennomføring av kompetanseprogrammet. Kjennskap til regler Aksept av regler Evne til å utføre/ teknologi Vilje til å etterleve regler Handling ADFERD

38 Projekt KPI Jeg logger alltid av Mitt gode passord får du aldri Jeg vet hva jeg kan og ikke kan lese Jeg har full kontroll på alle dokumenter Samlet Etter Samlet Før Jeg har aldri pasientinformasjon på minnepinner og Projekt KPI Hva og med hvem jeg kan dele informa Min e-post inneholder ikke pasientinformasjon 69 Jeg jobber i helsevesenet og vet hvordan --- internett Samlet Etter Samlet Før Bunntekst 38

39 På tross av høy viten og kunnskap, viste us at mange ansatte ikke følger seg forpliktet til å etterleve de regler som finnes. Fordi: Det ikke er noen tydelig oppfattelse av kommunenes oppfølging og kontroll med sikkerhet/informasjonssikk erhet. Avvik har liten eller ingen konsekvenser

40 Informasjon om programmet:

41 SPØRSMÅL? Colourbox.com