Sikkerhetshåndbok for legekontor XXX

Transkript

1 Sikkerhetshåndbok for legekontor XXX I samarbeid med Midt-norsk helsenett Versjon 0.3 Dato

2 Innhold Innhold... I Kapittel 1 Ansvar og organisering... II 1.1 Ansvarlig person II 1.2 Organisering II Sikkerhetsleder...III 1.3 Lover og forskrifter III 1.4 Meldeplikt og konsesjonsplikt III Kapittel 2 Mål og strategi...v 2.1 Målsetning V 2.2 Strategi V Sikkerhetsleverandør...V Risikovurderinger...V Retningslinjer og prosedyrer...v Teknologi...V Kapittel 3 Oversikt over legekontorets informasjonssystem..vi 3.1 Oversikt over registre og systemer VI 3.2 Oversikt over konfigurasjoner VI Legekontorets interne nettverk...vi Tilknytning til sikkerhetsleverandøren...vii 3.3 Tjenester VIII Dataoverføring (filoverføring og EDI)...VIII Web-tilgang...VIII E-post...VIII Kapittel 4 Retningslinjer og rutiner...ix 4.1 Fysisk sikkerhet IX Retningslinjer for tilgangskontroll og passord...ix 4.2 Virus X 4.3 Rutine for sikkerhetskopiering X 4.4 Sletting og avhending XI 4.5 Web-rutiner XII 4.6 E-post rutiner XII 4.7 Egenkontroll og ledelsesgjennomgang XIII 4.8 Risikovurdering XIII 4.9 Avviksbehandling XIII 4.10 Beredskapsplanlegging XIV 4.11 Dokumentasjon XIV Vedlegg A... XV A.1 Avtale med Midt-Norsk Helsenett XV A.2 Avtale med EDB Teamco XV A.3 Skjema for avviksrapport XV A.4 Skjema for risikovurdering XV

3 Kapittel 1 Ansvar og organisering Sikkerhetshåndboken er ment som et rammeverk for legekontor som skal knyttes til Midt-norsk helsenett. Den tar utgangspunkt i veiledninger for mindre virksomheter som er utarbeidet av Samarbeidsforum (på oppdrag fra Sosial- og helsedepartementet). Håndboken må tilpasses lokale forhold, og vi har spesielt prøvd å skrive informasjon som må oppdateres/tilpasses i kursiv, men dette betyr ikke at dette er den eneste informasjonen som må tilpasses. Se Administrativ veiledning for tips om hvordan arbeidet bør legges opp. 1.1 Ansvarlig person Den personen som har den daglige ledelse av virksomheten, har også ansvaret for at sikkerheten er på plass. Et legekontor kan delegere deler av den praktisk utøvende funksjonen til en sikkerhetsleverandør eller til en medarbeider ved kontoret. Selv om virksomheten benytter en leverandør til å utføre en del av de praktiske tiltakene, ligger det overordnede ansvaret for oppfølging fortsatt hos den som har det daglige ansvaret. Dersom legekontoret ikke har en daglig leder, bør det utnevnes en sikkerhetskoordinator som ansvarlig person. 1.2 Organisering Område Sikkerhetsleder/koordinator Praktisk utføring (driftsansvarlig) Navn på person Virksomhetens daglige leder Laboratorieansvarlig, sekretær Midt-norsk helsenett v/ ansvarlig person Leverandører EDB Teamco v/ ansvarlig person Ansvarlig person hos evt. leverandøren av driftstjenester Tabell Organisering og personer For mange legekontor/senter vil den daglige ledelsen være delt mellom flere leger som driver hver sin selvstendige legepraksis. I dette tilfelle anbefales det at legesenteret peker ut en person som er sikkerhetskoordinator. Men dette fratar ikke den enkelte lege ansvaret i forhold til egen praksis. Nedenfor har vi satt opp hvilket ansvar de ulike rollene har.

4 Sikkerhetsleder/koordinator Er ansvarlig for at virksomheten følger lover og forskrifter mht. informasjonssikkerhet Sørger for at rollene ovenfor er avklart Sørger for at sikkerhetshåndboken opprettes, revideres og etterleves Gjennomgår avviksrapporter Gjennomgår rapporter for årlig egenkontroll Den som står for den praktiske utføringen Utfører alle praktiske oppgaver i sikkerhetshåndboken Har kontakt med leverandører Rapporterer til sikkerhetslederen Sikkerhetsleverandør Kan ha ansvar for deler av sikkerhetshåndboken Har driftsansvar for deler av sikkerhetsløsningen 1.3 Lover og forskrifter Sensitive personopplysninger behandles og registreres i pasientens (elektroniske) journal på legekontoret med hjemmel i lov om helsepersonell m.v. (helsepersonelloven). Personopplysningsloven og tilhørende forskrift regulerer hvordan tilfredsstillende informasjonssikkerhet oppnås i forbindelse med behandlingen av personopplysninger. Disse bestemmelsene gjelder også for legekontoret som ikke er knyttet til eksterne nettverk, og kravene vil således også gjelde for legekontor som ikke er tilknyttet Midt-norsk helsenett. 1.4 Meldeplikt og konsesjonsplikt Legekontorets behandling av personopplysninger er meldingspliktig i henhold til personopplysningsloven, og melding om at slik behandling foregår er sendt Datatilsynet den (Det er unntak fra konsesjonsplikten for behandling av pasientopplysninger hos helsepersonell. (Se forskrift til personopplysningsloven 7-24.) Unntaket gjelder imidlertid bare i forbindelse med behandling og oppfølging av den enkelte pasient, for arbeid som oppnevnt sakkyndig eller for utarbeidelse av statistikk. Hva som vurderes å være "behandling og oppfølging av den enkelte pasient", er knyttet begrepet "helsehjelp" slik det er regulert i helsepersonelloven og plikten til

5 å føre journal. (Se helsepersonelloven 39.) Dersom virksomhetens behandling av personopplysninger er unntatt konsesjonsplikt, skal den likevel meldes i henhold til personopplysningsloven 31. Personopplysningslovens øvrige regelverk gjelder uavhengig av konsesjons- eller meldeplikt. )

6 Kapittel 2 Mål og strategi 2.1 Målsetning Legekontoret skal innen (xxx/dato) ha etablert en tilfredsstillende informasjonssikkerhet som ivaretar personopplysningenes konfidensialitet, integritet og tilgjengelighet (se definisjoner under) i henhold til personopplysningsloven og tilhørende forskrift. Integritet, det vil si å sikre at informasjon og tjenester/ressurser beholdes korrekte og ikke blir forandret av personell uten lovlig tilgang eller ved feil i utstyr og programvare Tilgjengelighet, det vil si å sikre at informasjon og tjenester/ressurser er tilgjengelige til rett tid for det personellet som har behov for tilgang Konfidensialitet, det vil si å sikre at informasjon beskyttes slik at uvedkommende ikke får innsyn 2.2 Strategi Sikkerhetsleverandør Legekontoret har gjennom en avtale med Midt-norsk helsenett valgt å knytte til seg en ekstern sikkerhetsleverandør EDB Teamco, som også utfører enkelte driftstjenester. Risikovurderinger Etableringen av informasjonssystemet samt vesentlige endringer i dette skal være basert på risikovurderinger. For de tekniske løsningene vil risikovurderingene hovedsakelig gjøres av sikkerhetsleverandøren, men dette suppleres med vår egen vurdering i forhold til lokale forhold. Retningslinjer og prosedyrer Denne sikkerhetshåndboken inneholder retningslinjer og prosedyrer som er vesentlige for å etablere tilfredsstillende informasjonssikkerhet for legekontoret. Teknologi Hele legekontoret betraktes som en sikker sone hvor det foregår behandling av sensitive personopplysninger, og det etableres en sikkerhetsbarrierer mot Midtnorsk helsenett. I Midt-norsk helsenett er det etablert sikkerhetsbarrierer mot eksterne nettverk.

7 Kapittel 3 Oversikt over legekontorets informasjonssystem 3.1 Oversikt over registre og systemer Tabellen under gir en oppdatert oversikt over hvilke systemer og registre som finnes på legekontoret. (Tilpass tabellen med de systemer dere bruker). System/register Formål Klassifisering Profdoc ver 5.1 Infodoc 4.2 WinMed 1.5 Timebok Journal LAB Timebok Journal LAB Timebok Journal LAB Sensitive personopplysninger Sensitive personopplysninger Sensitive personopplysninger RUSdata 2.0 Klient-administrasjon Sensitive personopplysninger Ca. antall pasienter/ klienter) 2) Hvor installert? Server på datarom 1300 Server i lab Dr. Normans maskin på kontoret 500 Server i låst arkivrom 1) Antall pasienter/klienter: Skriv inn ca. omfang som totalt er registrert i systemet. 3.2 Oversikt over konfigurasjoner Legekontorets interne nettverk Legekontoret må her ta med tegning(er) med beskrivelse av hvilke maskiner (tjenere og klienter) og komponenter (skrivere, UPS, periferiutstyr) som inngår i nettverket. Oversikten skal vise sammenhengen mellom maskiner, programvare og sikkerhetsløsninger. Tegningen med beskrivelse skal også vise eksterne forbindelser (f.eks tilknytning til MNH) og strukturen i sikkerhetsløsningen. I små virksomheter kan det være leverandøren som utarbeider slike oversikter, men det er virksomhetens ansvarlige som skal påse at det faktisk gjøres. I dette heftet er de tekniske forholdene ikke omtalt. Vi viser til heftet «Tekniske sikkerhetsløsninger for mindre virksomheter» som er utgitt av Sosial- og helsedepartementet.

8 3.2.2 Tilknytning til sikkerhetsleverandøren Den tekniske oppkoblingen til sikkerhetsleverandøren for legekontoret i MNH har en struktur som innrettes for å beskytte de sensitive opplysningene som legekontoret forvalter. Det er installert en ISDN-ruter på legekontoret. Denne kommuniserer med en ruter i MNH, som via en brannmur gir tilgang til tjenester i MNH, samt utgang til Internett via nok en brannmur. All kommunikasjon initieres fra legekontoret og inn mot MNH. Det er ikke mulig å initiere kommunikasjon den andre veien. Ruteren i MNH aksepterer kun anrop fra nummer som på forhånd er godkjente for tilgang til de aktuelle tjenestene i MNH. Legekontor Journal- / filserver Driftsleverandør / Teamco Brannmur Terminalserver for WWW DNS MNH tjeneste-nett Proxy Brannmur Internett / Ekstert nett

9 3.3 Tjenester Dataoverføring (filoverføring og EDI) Legekontoret kommuniserer følgende EDI-meldinger til eksterne parter: (tabellen fylles ut av legekontoret, evt i samarbeid med leverandør) Melding Kommunikasjonspart Omfang Beskyttelse Utfyllende informasjon Labmelding Sykehuslaboratorium på RiT Kryptert Epikrise RiT Ca 5/dag Kryptert + Signert Ca 10 overføringer/uke Røntgenmelding Røntgeninstitutt ca 10/uke kryptert 56-bit DES Kryptering For at mottak av epikriser, og senere mottak og sending av andre typer rapporter er det installert en EDI-tjener, Multikom. Denne programvaren kommuniserer med en e-post-tjener i Midt-Norsk Helsenett og henter og sender elektroniske dokumenter etter behov. Den er installert på én PC i lokalnettet på legesenteret. Data med personsensitivt innhold som overføres fra legekontoret krypteres før de sendes ut av virksomheten. Ved utsendelse av data fra et av virksomhetens kliniske systemer (journal eller klientsystem) skal det alltid skje i henhold til bestemmelser om teknologiske innretninger for slik utsending (jf. «Tekniske sikkerhetsløsninger for mindre virksomheter»). Det er satt opp et modem som gir kan gi journalleverandøren tilgang til å utføre vedlikehold eller feilretting i journalsystemet. Dette modemet skal normalt være avslåt el. frakoblet, og bare aktiveres på når man har avtalt med leverandøren at vedlikehold skal skje. Etter endt bruk skal modemet slåes av. Det er ikke tillatt å koble egne modem til maskinene for annet bruk. Alle forbindelser fra virksomheten skal skje gjennom virksomhetens godkjente og kontrollerte kommunikasjonsløsninger Web-tilgang Web-aksess til MNH og Internett etableres over en terminalserver i MNH. På legekontoret installeres det en tynn terminalklient, som kan kjøre fra samme arbeidsstasjoner som legene benytter for tilgang til journalsystemet. Det er ikke mulig å få direkte tilgang til Internett uten bruk av terminalløsningen E-post Ikke avklart enda hvordan dette teknisk skal realiseres.

10 Kapittel 4 Retningslinjer og rutiner 4.1 Fysisk sikkerhet På legekontoret er tjener(e) med sensitive opplysninger plassert på rom. Dette rommet skal være låst og er for øvrig sikret med normal bygningsmessig sikkerhet. Er det vinduer i rommet? Alternativet her er å anskaffe et mindre jernskap som skrus fast til en vegg. Døren til skapet må utstyres med en sylinderlås. Alle skrivere er plasseres slik at det ikke er noen fare for at uautoriserte personer enkelt kan få tilgang til utskrifter. Med tilgang menes at en person enten kan lese informasjonen ved innsyn eller fysisk kan berøre utskriften. Arbeidsstasjoner er plassert slik at det ikke er fare for innsyn fra publikumsområder, korridorer, vinduer og lignende. Det benyttes skjermsparere på alle datamaskiner som automatisk slår seg på etter x minutter inaktivitet. Alle utskrifter og all korrespondanse eller annen skriftlig informasjon som foreligger enten på papir eller film, skal alltid oppbevares slik at uautorisert personell ikke får tilgang til informasjonen. Arbeidsplasser skal ryddes for pasientinformasjon etter endt konsultasjon eller arbeidsøkt. Backup-taper er plassert i brannsikkert skap på.rom. Er det alarm på legekontoret? Tilknyttet vaktselskap? Videokamera? Retningslinjer for tilgangskontroll og passord Generelt gjelder det at alle brukere skal ha egen bruker-id med godkjent passord. Det er ikke tillatt med felleskontoer. Autorisasjon og tilgang ved ansettelse Det er den sikkerhetsansvarlige (el. koordinator) som autoriserer hvem som skal ha hvilken tilgang til virksomhetens systemer. Opprettelse av ID og passord skal foretas av operatøren (lege, sekretær, leverandør). Alle passord skal ha en lengde på minst 8 tegn, og de skal byttes minst hvert halvår. God forvaltning under arbeidsforholdet Det er ikke tillatt å notere ned passord eller ID på papir og oppbevare dem usikret (f.eks på lapper). Alle ID-er og passord er personlige og skal ikke lånes ut til en kollega eller en tredjepart. Om arbeidsforholdet endrer karakter, skal en eventuell tilgang nedgraderes eller fjernes. Om arbeidsforholdet gjør at medarbeideren skal ha flere tilganger til personsensitive systemer, skal dette vurderes av den daglige lederen før tilgangen opprettes. Fjerning av tilgang når autorisasjonen opphører, eller når vedkommende slutter i jobben Når en medarbeider slutter, skal all tilgang fjernes umiddelbart. Dersom brukeren har eventuelle filer på privatområder, skal det i hvert enkelt tilfelle vurderes om disse filene har betydning for virksomhetens arbeid. I slike tilfeller kan det tas kopier. Filer som er av åpenbar personlig eller privat karakter, er det ikke tillatt å

11 åpne. Eventuelle e-postkontoer skal ikke åpnes og verifiseres, men skal slettes i sin helhet. Dersom en medarbeider går ut i permisjon, skal vedkommendes kontoer settes i midlertidig låst status. 4.2 Virus Legekontoret benytter følgende antivirusprogramvare:. Antivirusprogramvaren er installert på alle datamaskiner (klienter og tjenere) som benyttes av legekontoret (også bærbare maskiner eller hjemmemaskiner). Antivirusprogrammet aktiveres automatisk og skal alltid være aktivt. Disketter og CD-er skal alltid kontrolleres før de benyttes. Virusprogramvaren oppdateres på følgende måte (slett det som ikke er riktig, og tilpass til egen virksomhet): Automatisk nedlasting fra leverandørens nettsider til den enkelte klient når nye virussignaturer foreligger. Driftsansvarlig (el. tilsvarende) for legekontoret er ansvarlig for å laste ned og installere nye virussignaturer på datamaskinene hver.dag (minimum ukentlig). Dersom ikke driftsansvarlig er tilstede skal. utføre denne oppgaven. Dersom virus oppdages skal dette rapporteres som avvik. 4.3 Rutine for sikkerhetskopiering Det skal jevnlig tas sikkerhetskopier av alle filer på serveren(ne) etter retningslinjene i dette avsnittet. Dersom arbeidet med sikkerhetskopiering blir utført av en leverandør, må prosedyren som er beskrevet nedenfor, inngå i kontrakten. Uansett må prosedyren tilpasses hvordan sikkerhetskopieringen faktisk utføres. Installasjon og konfigurasjon av sikkerhetskopieringen ble utført av følgende firma:. Prosedyre for sikkerhetskopiering Legekontor Hvor? Hvem? Når? Hvordan? Journalserveren <navn> i datarommet Det er nn s oppgave å kjøre sikkerhetskopiering. Det skal tas sikkerhetskopier daglig etter siste arbeidsøkt, med automatisk oppstart. Bruk instruksen som er oppslått bak maskinen.

12 Merking av backup-medier Merking av taper Bytting av taper Sirkulasjon av backup-medier Oppbevaring Destruksjon Logging Kontroll Alle backup-medier skal merkes med maskin, dato og klokkeslett. Alle taper skal merkes med maskin og dato. Alle taper skal byttes daglig i sirkulasjon. Alle taper som har vært i produksjon i ett år, skal tas ut av sirkulasjon og destrueres. Det skal brukes x taper i sirkulasjon. Den siste sikkerhetskopien annenhver måned skal tas ut og arkiveres i 2 år. Utstyret må renses med jevne mellomrom. Alle taper skal oppbevares atskilt og i tilstrekkelig avstand fra maskinen i tilfelle brann, inntrenging av vann eller tyveri. Hver fredag skal dagens tape oppbevares i bankboks i banken nn (eller på annet sikkert sted). Alle taper som tas ut av bruk, skal destrueres i tråd med slettekapitlet i sikkerhetshåndboken. Ved siden av maskinen er det en loggbok, som operatøren skal fylle ut: sikkerhetskopiering, dato, signatur og status (OK eller feil). Hver morgen skal den ansvarlige operatøren kontrollere om sikkerhetskopieringen ble korrekt utført. Problemer eller feil med sikkerhetskopieringen (f.eks glemt å bytte tape) rapporteres som avvik. 4.4 Sletting og avhending Både papir og datamedier med personsensitiv informasjon og annen konfidensiell informasjon må slettes eller destrueres før de kastes. Retningslinjene nedenfor gjelder for virksomheten på dette området. Det er ikke tillatt å avhende eller på noen annen måte sende datamedier med sensitive opplysninger ut av virksomhetens område. Disketter Disketter som inneholder sensitiv informasjon, og som ikke skal brukes mer, skal deles eller atskilles i minst fire deler. Disker Med disker menes faste eller flyttbare disker. For alle disker som tas ut av maskiner som inneholder personsensitive opplysninger, gjelder: 1. Disker skal ikke sendes ut av virksomhetens område for reparasjon.

13 2. Postens blå sikkerhetstape (eller annen type forselgingstape) skal omslutte mediet. 3. Det skal festes en merkelapp til mediet, med opplysninger om opprinnelse og dato. 4. Mediet skal oppbevares i samme rom og med samme krav som gjelder for servere 5. Mediet skal fysisk destrueres før de sendes ut av virksomhetens område. Taper Alle taper med sensitiv informasjon som ikke skal brukes mer, skal brennes. Inntil brenning kan foretas, skal punktene 2 4 under «Disker» ovenfor følges. Papirutgaver Alle papirutskrifter som inneholder personsensitiv informasjon og som skal kastes, skal alltid makuleres. 4.5 Web-rutiner Tilgangen til Internett skal kun benyttes i forbindelse med tjenstlige behov Det skal ikke lastes ned programvare til legekontorets interne nettverk (fyll ut med egne rutiner!) 4.6 E-post rutiner E-post skal kun benyttes for kommunikasjon av ikke-sensitiv informasjon. Dersom legekontoret mottar sensitiv informasjon fra/om pasienter skal denne lagres i journalsystemet, og slettes fra epost-systemet. Det samme gjelder dersom informasjon (ikke sensitiv) sendes til pasienten. Pasienten skal også varsles om at denne informasjonen er mottatt og arkivert, men pasienten skal opplyses om at dette ikke er en sikker måte å kommunisere på. Det er vårt ansvar å opplyse pasientene om at (ukryptert) e-post ikke er en sikker måte å kommunisere på. Vi skal ikke (direkte eller indirekte) oppfordre pasienter eller andre til å sende sensitiv informasjon per e-post. Vær spesielt varsom ved sending av e-post med vedlegg, slik at ikke feil vedlegg legges ved e-posten. Husk at du ikke kan være sikker på at avsender eller mottaker av en melding er den han virkelig utgir seg for å være. Husk at e-postmeldinger kan leses/endres av andre underveis.

14 4.7 Egenkontroll og ledelsesgjennomgang Arbeidet med sikkerhet en kontinuerlig prosess. Det er en del av denne prosessen å legge opp til en jevnlig kontroll og gjennomgang av den sikkerheten som er bygd opp. Det skal også løpende vurderes om det er behov for endringer. Virksomheten bør legge opp egenkontrollen slik at den blir utført løpende gjennom en periode. Når det har gått ett kalenderår, skal de samlede resultatene fra egenkontrollen, eventuelle risikomomenter og hvilke tiltak som skal gjennomføres, beskrives. Det skal også vurderes om det er behov for å gjøre endringer i denne sikkerhetshåndboken. Metoden i egenkontrollen er innebygd i to dokumenter i tilknytning til dette heftet I vedlegg x er det tatt med egenkontrollskjema og risikovurderingsskjema som benyttes i forbindelse med egenkontrollen. Skjemaene fylles ut og arkiveres sammen med denne sikkerhetshåndboken. I «Tilleggspakke praktiske verktøy» er det også tatt med et formular som kan benyttes som oppsummeringsrapport om egenkontrollen. 4.8 Risikovurdering Legekontoret har gjort risikovurderinger før tilknytningen til MNH. Disse er dokumentert i vedlegg X. Vi kom da fram til at tilknytningen til MNH gir en akseptabel risiko for legekontoret. Legekontoret skal gjøre risikovurderinger før nye tjenester tas i bruk eller ved endringer som har betydning for informasjonssikkerheten. MNH og sikkerhetsleverandøren EDB Teamco vil dessuten gjøre risikovurderinger ved endringer i tjenestetilbudet eller andre endringer med betydning for informasjonssikkerheten. 4.9 Avviksbehandling Som nevnt i forrige avsnitt, er arbeidet med informasjonssikkerhet en kontinuerlig prosess. Det er derfor viktig å fange opp alle avvik eller brudd av betydning for informasjonssikkerheten. Her er en liste med typiske avvik som det er naturlig å utarbeide en avviksrapport på: Det har vært innbrudd i virksomheten, og det er stjålet utstyr eller papirer. Uvedkommende har kommet seg inn i journalen fra en ubetjent arbeidsstasjon. Pasienter eller andre rapporterer om at personopplysninger er kommet på avveie. Utskrifter er kastet i søppelkurven og er kommet ut av virksomhetens område. Utskrifter med sensitive opplysninger er blitt liggende ved skriveren. Det avdekkes at passord skrives opp på gule lapper. Det avdekkes at sensitive personopplysninger er kommet på avveie. Dette skal rapporteres til Datatilsynet. Det skal alltid brukes avviksskjema i sikkerhetspermen.

15 4.10 Beredskapsplanlegging Vurder om det er behov for alternative rutiner ved avbrudd i normal drift av informasjonssystemet. I tilfellet bør slike rutiner dokumenteres her. Vurder om forsikringsdekning i forhold til tap av datautstyr og elektronisk innformasjon, samt tilhørende følgeskader er tilstrekkelig Dokumentasjon Ved oppdateringer eller revisjoner av denne sikkerhetshåndboken eller tilhørende dokumenter, skal det tildeles nye versjonsnummer og det gamle dokumentet må tas vare på for fremtidige referanser i minimum 5 år. Referanser: Informasjonssikkerhet Administrativ veiledning for mindre virksomheter, Sosial- og helsedepartementet, jan 2001 ( Informasjonssikkerhet Tekniske sikkerhetsløsninger for mindre virksomheter, Sosial- og helsedepartementet, jan 2001 (

16 Vedlegg A A.1 Avtale med Midt-Norsk Helsenett A.2 Avtale med EDB Teamco A.3 Skjema for avviksrapport A.4 Skjema for risikovurdering A.5 Egenkontrollrapport