Internkontroll ved behandling av helseopplysninger i Sykehusapotek Nord HF. Internrevisjonsrapport nr.: 02/2010

Transkript

1 Internkontroll ved behandling av helseopplysninger i Sykehusapotek Nord HF Internrevisjonsrapport nr.: 02/2010 Dato:

2 INNHOLDSFORTEGNELSE 1 SAMMENDRAG INNLEDNING Definisjoner FORMÅL OG OMFANG Formål med revisjonen Regelverk Omfang og avgrensninger METODER OBSERVASJONER OG VURDERINGER Generelt om internkontroll ved behandling av helseopplysninger Risikovurderinger Tilgangsstyring for elektronisk behandling av helseopplysninger Ivaretakelse av informasjonssikkerhet hos databehandlere og leverandører KONKLUSJON OG ANBEFALINGER Konklusjon i forhold til revisjonens formål Anbefalinger VEDLEGG / 14

3 1 SAMMENDRAG Rapporten er utarbeidet etter internrevisjon ved Sykehusapotek Nord HF i perioden Formålet med revisjonen: Formålet med revisjonen var å kartlegge om Sykehusapotek Nord HF har etablert og vedlikeholdt et opplegg for internkontroll som sikrer at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger. Konklusjon: Basert på de undersøkelser som er foretatt ved Sykehusapotek Nord HF konkluderer Internrevisjonen med at behandlingen av helseopplysninger innenfor enkelte områder ikke er i samsvar med gjeldende regelverk. Sykehusapotek Nord HF sitt opplegg for internkontroll har klare mangler som bør rettes opp for å sikre at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger. Observerte forbedringsområder: De vesentligste svakhetene i Sykehusapotek Nords opplegg for internkontroll er etter Internrevisjonens observasjoner og vurderinger: Det er ikke fastsatt sikkerhetsmål i Sykehusapotek Nord HF, og heller ikke sikkerhetsstrategi. Sykehusapotek Nord HF har ikke en samlet oversikt over alle behandlinger av helseopplysninger i foretaket og formålet/hjemmelen for behandlingen. Meldeplikten til Datatilsynet er ikke ivaretatt for alle behandlingsrettede registre. Enkelte avdelinger melder sjelden avvik som kan benyttes i internt forbedringsarbeid. Sykehusapotek Nord HF har ikke gjennomført sikkerhetsrevisjoner, og heller ikke ledelsens gjennomgang knyttet til personvern/ informasjonssikkerhet. Nivå for akseptabel risiko forbundet med behandling av personopplysninger er ikke fastsatt. Autorisert bruk av FarmaPro logges ikke. Eventuell urettmessig tilegnelse av helseopplysninger kan vanskelig avdekkes. Det er en risiko for at ikke alle sikkerhetsutfordringer i forhold til regelverk og Helse Nords sikkerhetsstrategi blir løst i FarmaPro, versjon 5. Det er ikke gjennomført risikovurderinger knyttet til foretakets bruk av DIPS. Farmasøyters tilgang til og behandling av helseopplysninger i DIPS er ikke regulert via databehandleravtale med aktuelle helseforetak. Sykehusapotek Nord HF har ikke inngått databehandleravtaler med databehandlere og leverandører og iverksatt tiltak for å forsikre seg om at deres sikkerhetsstrategi gir tilfredsstillende informasjonssikkerhet. Anbefalinger: Internrevisjonen anbefaler Sykehusapotek Nord HF å iverksette fem forbedringstiltak knyttet til svakhetene som er nevnt ovenfor. 3 / 14

4 2 INNLEDNING Rapporten er utarbeidet etter internrevisjon ved Sykehusapotek Nord HF i perioden , gjennomført av Internrevisjonen i Helse Nord RHF. Revisjonsprosjektet inngår som en del av vedtatt revisjonsplan for 2009/2010. Tilsvarende revisjon gjennomføres ved alle HF-ene i Helse Nord, samt ved Helse Nord IKT (HNIKT) som databehandler for helseforetakene. HF-ene vil motta kopi av rapporten for HNIKT når denne foreligger. Internrevisjonen har omfattet følgende aktiviteter: Melding om internrevisjon ble sendt ut Oppstartsmøte ble avholdt Intervju av 7 personer ved Sykehusapotek Nord HF i løpet av dagene Se vedlegg 1, Deltakeroversikt. Dokumentgjennomgang. Oversikt over dokumenter som er innhentet i forbindelse med revisjonen er gitt i vedlegg 2, Dokumentoversikt. Verifikasjoner/tester. Se nærmere beskrivelse i kapittel 4, Metoder. Oppsummeringsmøte ble avholdt Definisjoner Følgende definisjoner fra regelverket (se pkt. 3.2) er sentrale i denne revisjonen: helseopplysninger: taushetsbelagte opplysninger i henhold til helsepersonelloven 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson, behandling av helseopplysninger: enhver formålsbestemt bruk av helseopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, behandlingsrettet helseregister: journal- og informasjonssystem eller annet helseregister som har til formål å gi grunnlag for handlinger som har forebyggende, diagnostisk, behandlende, helsebevarende eller rehabiliterende mål i forhold til den enkelte pasient og som utføres av helsepersonell, samt administrasjon av slike handlinger, pasientjournal/journal: samling eller sammenstilling av nedtegnede/registrerte opplysninger om en pasient i forbindelse med helsehjelp, jf. helsepersonelloven 40 første ledd, behandlingsansvarlig/databehandlingsansvarlig: den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes, hvis ikke (data)behandlingsansvaret er særskilt angitt i loven eller i forskrift i medhold av loven, databehandler: den som behandler helseopplysninger på vegne av den (data)behandlingsansvarlige. 4 / 14

5 3 FORMÅL OG OMFANG 3.1 Formål med revisjonen Formålet med revisjonen var å kartlegge om Sykehusapotek Nord HF har etablert og vedlikeholdt et opplegg for internkontroll som sikrer at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger. 3.2 Regelverk Virksomheten er vurdert opp mot følgende regelverk (revisjonskriterier): Lov om helseregistre og behandling av helseopplysninger (helseregisterloven) Lov om behandling av personopplysninger (personopplysningsloven) Forskrift om behandling av personopplysninger (personopplysningsforskriften) Lov om helsepersonell (helsepersonelloven) Lov om pasientrettigheter (pasientrettighetsloven) Forskrift om apotek Forskrift om Reseptregisteret for informasjonssikkerhet i helsesektoren (en) Interne bestemmelser Både helseregisterlovens 17 og personopplysningslovens 14 stiller krav om at den behandlingsansvarlige skal etablere og holde ved like planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av disse lovene. Personopplysningsforskriftens kapittel 2 (Informasjonssikkerhet) og kapittel 3 (Internkontroll) gir nærmere føringer for hvilke tiltak dette skal omfatte. for informasjonssikkerhet i helsesektoren (en) er et omforent sett av krav til informasjonssikkerhet, basert på lovverket. en omfatter alle krav som må tilfredstilles for å oppfylle lov- og forskriftskrav til informasjonssikkerhet i helsesektoren. en kan også stille strengere krav enn det som følger av lovverket. Alle aktører i helsesektoren som er tilknyttet Norsk Helsenett 1 er avtalerettslig forpliktet til å følge en. Kravene om internkontroll skal bidra til å sikre at lovverkets samlede krav blir oppfylt. Velfungerende internkontroll på dette området reduserer risikoen for negativ omtale/tap av anseelse, økonomisk tap, tap av helse og tap av liv. 1 Elektronisk samhandlingsarena (nettverk) for helse- og omsorgssektoren. 5 / 14

6 3.3 Omfang og avgrensninger Prosjektet har omfattet helse- og personopplysninger som behandles helt eller delvis med elektroniske hjelpemidler i forbindelse med pasientbehandling, herunder også pasientadministrasjon og utlevering av legemidler. Det ble gjort undersøkelser av både innhold/omfang og etterlevelse av internkontrollsystemet ved Sykehusapotek Nord, Avdeling Tromsø. Gjennom undersøkelsene har revisjonen først og fremst hatt fokus på: Risikovurderinger Tilgangsstyring Ivaretakelse av informasjonssikkerhet hos databehandlere og leverandører Utvalgte kliniske applikasjoner: FarmaPro og DIPS. Internrevisjonen har i dette prosjektet ikke sett på behandling av helse- og personopplysninger til andre formål enn pasientbehandling, for eksempel i forbindelse med personalregistre og i forskning. Internkontroll i forhold til ivaretakelse av helseopplysninger som behandles kun ved manuelle rutiner er heller ikke omfattet av denne revisjonen. 4 METODER Til sammen 7 ledere og ansatte ved Sykehusapotek Nord HF er intervjuet. Se vedlegg 1, Deltakeroversikt. Tilsendt/framlagt dokumentasjon er gjennomgått. Se vedlegg 2, Dokumentoversikt. Følgende verifikasjon/test er utført: Test 1: Registrerte meldinger i Datatilsynets meldingsdatabase. Det ble undersøkt hvilke meldinger om behandling av helse- og personopplysninger ved Sykehusapotek Nord HF som er registrert i meldingsdatabasen hos Datatilsynet. Test 2: Tilganger i FarmaPro. Registrerte tilganger i FarmaPro ble sammenlignet med oversikt over personer i aktivt ansettelsesforhold ved Sykehusapotek Nord, Avdeling Tromsø. 5 OBSERVASJONER OG VURDERINGER Myndighetene stiller en rekke konkrete krav til hvilke tiltak internkontrollsystemet for behandling av helse- og personopplysninger skal omfatte. Se pkt I dette kapittelet redegjøres det først for Internrevisjonens observasjoner og vurderinger knyttet til sentrale elementer i det generelle internkontrollsystemet ved behandling av helseopplysninger (pkt. 5.1). I de etterfølgende punktene omtales elementer av internkontrollen som Internrevisjonen har hatt særlig fokus på ved denne revisjonen. Vedlegg 3 inneholder en oversikt over de utvalgte krav og elementer, samt Internrevisjonens vurdering av om disse er oppfylt. 6 / 14

7 5.1 Generelt om internkontroll ved behandling av helseopplysninger Sikkerhetsmål, sikkerhetsstrategi og ansvarsfordeling Personopplysningsforskriftens kapittel 2 stiller krav om at det skal fastsettes sikkerhetsmål for virksomheten og en sikkerhetsstrategi for å nå disse målene. Videre kreves det at ansvaret for informasjonssikkerhet skal være definert på alle nivå, dokumentert og kjent i organisasjonen. Sykehusapotek Nord har per i dag ikke fastsatt egne sikkerhetsmål, og heller ikke sikkerhetsstrategi for å nå målene. Helse Nord har definerte sikkerhetsmål, men disse inngår ikke i oversikten over generelle instrukser og reglement som gjennomgås med nyansatte i Sykehusapotek Nord. Sykehusapotek Nord har utarbeidet stillingsbeskrivelser for de fleste stillingskategorier. Av disse framgår det at økonomisjef er tillagt et overordnet systemansvar for IKT i foretaket. Apotekeren har det overordnede ansvaret for avdelingens bruk av IT-systemet, herunder etterlevelse av aktuelle retningslinjer. Apotekeren skal videre bemyndige en person som tillegges det daglige ansvar for driften av apotekets IT-system (systemansvarlig). Økonomisjef ivaretar slikt systemansvar for Avdeling Tromsø. Internkontroll i forhold til personvern/informasjonssikkerhet innebærer imidlertid også plikter som ikke er direkte knyttet til IT-drift. Ansvar for slike plikter er i dag mangelfullt definert i Sykehusapotek Nord. Felles Styringssystem for Informasjonssikkerhet i Helse Nord, med blant annet sikkerhetspolicy, sikkerhetsmål og sikkerhetsstrategi, er under utarbeidelse. En generell beskrivelse av fordeling av ansvar og oppgaver inngår også her. Når styringssystemet er godkjent er dette ment å erstatte deler av de foretaksspesifikke styringssystemer som finnes i dag. Det enkelte helseforetak må likevel definere og dokumentere egen sikkerhetsledelse og eventuelle tilpasninger i ansvars- og oppgavefordeling i forhold til egen organisasjon Meldeplikt / oversikt over behandlinger av helseopplysninger I henhold til Personopplysningslovens kapittel VI, og Personopplysningsforskriftens 7-26 har Sykehusapotek Nord HF meldeplikt til Datatilsynet om behandling av helseopplysninger. En samlet og oppdatert oversikt over alle behandlinger av helseopplysninger i foretaket, og formålet/hjemmelen for behandlingen, er viktig som grunnlag for ivaretakelse av meldeplikten. En slik oversikt vil også gi bidrag til den generelle internkontrollen. Sykehusapotek Nord har ikke en samlet oversikt over behandlinger av helseopplysninger. Gjennom intervju framkom at det i tillegg til behandling av helseopplysninger i apotekets IT-systemer, er etablert flere manuelle, behandlingsrettede registre, blant annet for oppfølging av stomipasienter, pasienter med brystproteser og for pasienter ved UNN der kliniske farmasøyter deltar i oppfølgingen av medikamentell behandling. Test 1 viste at den eneste behandlingen som er meldt til Datatilsynet gjelder pasientjournal i forbindelse med farmasøytisk rekvirering av antiviralia Avviksbehandling Personopplysningsforskriftens 2-6 stiller krav om intern avviksbehandling, samt at avvik som har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal varsles til Datatilsynet. 7 / 14

8 I forkant av denne revisjonen har Internrevisjonen vært i kontakt med Datatilsynet for å undersøke hvordan helsevesenet generelt praktiserer denne rapporteringsplikten. Datatilsynet opplyste i e-post : Erfaringene fra dette er at vi får noen meldinger uoppfordret fra virksomheter og noen meldinger etter oppfordring fra oss eller helsetilsynet i saker som kommer frem i det offentlige lys. Antallet meldinger er ikke høyt, så enten er det underrapportering, lite kjennskap til 2-6 i virksomhetene eller ingen rutine i virksomhetene på dette området. Noen virksomheter er veldig flinke, men andre hører vi aldri noe fra. Det kan tenkes at de ikke har avvik, men vanligvis finnes ikke den virksomheten som ikke har avvik. I samråd med Stein Erik Vetland i Tilsyn- og sikkerhetsavdelingen hos Datatilsynet, nevnes følgende eksempler på kjente hendelser i helsetjenesten som ønskes rapportert til Datatilsynet: Publisering av sensitive personopplysninger på internett. Papirer med sensitive personopplysninger funnet i søppeldunk (også internt på sykehuset). Sensitive opplysninger funnet i tøy på vaskeriet. Mistet ark på kjøpesenter med sensitive personopplysninger. Sensitive personopplysninger levert til feil mottaker (elektronisk eller på papir). Helse Nord RHF har tidligere besluttet at Docmap skal benyttes som verktøy for registrering og behandling av avvik i Helse Nord. Sykehusapoteket har utarbeidet manuelle registreringsskjema som fylles ut av melder. Intensjonen her er videre at avdelingsleder skal registrere meldingene i Docmap. Foreløpig har kun en avdelingsleder kommet i gang med slik registrering. Gjennom intervju kom det fram at enkelte avdelinger sjelden registrerer avvik. Det er ikke meldt noen avvik knyttet til personvern/informasjonssikkerhet Sikkerhetsrevisjoner og ledelsens gjennomgang Personopplysningsforskriftens 2-5 pålegger den behandlingsansvarlige å utføre jevnlige sikkerhetsrevisjoner. I en slås det fast at slike revisjoner som minimum skal gjennomføres årlig, og det stilles en rekke krav til hvilke vurderinger revisjonene skal omfatte. en krever også at ledelsen minimum årlig gjennomgår status for å sikre at informasjonssikkerheten ivaretas i samsvar med mål og strategi. Sykehusapotek Nord HF har ikke gjennomført sikkerhetsrevisjoner eller ledelsens gjennomgang knyttet til personvern/ informasjonssikkerhet Apotekets plikt til å informere om innsending til Reseptregisteret Forskrift om innsamling og behandling av helseopplysninger i Reseptbasert legemiddelregister (Reseptregisteret), 2-1, sier: Apoteket skal informere den registrerte om innsending av opplysninger til Reseptregisteret. I merknadene til forskriften heter det videre: Den databehandlingsansvarlige for Reseptregisteret utarbeider egnet skriftlig informasjonsmateriell som apotekene kan disponere til dette formål. Nasjonalt Folkehelseinstitutt er databehandlingsansvarlig for dette registret. Ved Publikumsavdelingen i Tromsø blir det ikke gitt slik informasjon. De intervjuede kjente ikke til om det finnes tilgjengelig informasjonsmateriell. 8 / 14

9 Observerte forbedringsområder Generelt om internkontroll Det er ikke fastsatt sikkerhetsmål i Sykehusapotek Nord HF, og heller ikke sikkerhetsstrategi. Sykehusapotek Nord HF har ikke en samlet oversikt over alle behandlinger av helseopplysninger i foretaket og formålet/hjemmelen for behandlingen. Meldeplikten til Datatilsynet er ikke ivaretatt for alle behandlingsrettede registre. Enkelte avdelinger melder sjelden avvik som kan benyttes i internt forbedringsarbeid. Sykehusapotek Nord HF har ikke gjennomført sikkerhetsrevisjoner, og heller ikke ledelsens gjennomgang knyttet til personvern/ informasjonssikkerhet. 5.2 Risikovurderinger Personopplysningsforskriftens 2-4 pålegger virksomheten å fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Resultatet av risikovurderingen skal sammenlignes med fastlagte kriterier for akseptabel risiko og benyttes som del av grunnlaget for valg av konkrete sikkerhetstiltak. Ny risikovurdering skal gjennomføres ved endringer som kan påvirke informasjonsbehandlingen, som innføring av nye informasjonsbehandlingssystemer, organisatoriske endringer eller endringer i teknisk utstyr og/eller programvare. Sykehusapotek Nord HF har ikke fastlagt kriterier for akseptabel risiko. Imidlertid forventes dette å inngå i felles Styringssystem for Informasjonssikkerhet i Helse Nord. Foretaket har gjennomført én risikovurdering i forhold til behandling av personopplysninger. Dette var høsten 2008, og gjaldt FarmaPro i Tromsø, sykehusapotekets forretningssystem (se nærmere beskrivelse i pkt ). Vurderingen er fulgt opp med forbedringstiltak på enkelte områder. Det finnes separate installasjoner av FarmaPro også i Bodø og Harstad. Sykehusapoteket opplyser at FarmaPro-installasjonene i foretaket er temmelig like, og at vurderingene som ble gjort i Tromsø derfor er gyldige også for de andre installasjonene. Forbedringstiltakene som ble iverksatt som følge av risikovurderingen er gjennomført også i Bodø og Harstad. Det er ikke utført risikovurdering knyttet til foretakets bruk av DIPS, se pkt Sykehusapoteket er i denne anledning databehandler for Universitetssykehuset HF, men har et selvstendig ansvar for sikkerheten ved behandling av helseopplysninger, herunder gjennomføring av risikovurderinger. I forbindelse med utvikling av ny versjon av FarmaPro, versjon 5, utførte INFOSEC våren 2008 en sikkerhetsgjennomgang på oppdrag fra NAF-Data AS. Hensikten med gjennomgangen var å undersøke om den tekniske løsningen tilfredsstiller krav i lovverk og en. NAF-Data AS har laget en kortversjon av rapporten fra denne gjennomgangen, datert Her har også leverandøren presentert de tiltak som er utført eller planlagt som følge av påpekte svakheter. Rapporten viser at den versjonen som forventes implementert i Sykehusapotek Nord HF i løpet av 2010/2011 fortsatt kan ha uløste sikkerhetsutfordringer i forhold til regelverk og Helse Nords sikkerhetsstrategi. Sykehusapoteket opplyser at de har informert leverandøren om at de forventer at regelverkets krav innfris, samt at de har mottatt bekreftelser fra leverandøren på dette. De påpeker videre at FarmaPro er det eneste tilgjengelige forretningssystemet for apotek i Norge. 9 / 14

10 Informasjonssikkerhetsforum i Helse Nord har, ifølge de møteprotokoller Internrevisjonen har mottatt, ikke blitt orientert om, eller behandlet, spørsmål knyttet til sikkerhet i FarmaPro. Internrevisjonen mener en gjennomgang her, gjerne med deltakelse fra leverandør, vil være hensiktsmessig som del av oppfølging av at sikkerhetsutfordringer blir løst. Observerte forbedringsområder Risikovurderinger Nivå for akseptabel risiko forbundet med behandling av personopplysninger er ikke fastsatt. Det er en risiko for at ikke alle sikkerhetsutfordringer i forhold til regelverk og Helse Nords sikkerhetsstrategi blir løst i FarmaPro, versjon 5. Det er ikke gjennomført risikovurderinger knyttet til foretakets bruk av DIPS. 5.3 Tilgangsstyring for elektronisk behandling av helseopplysninger Hovedregelen når det gjelder helseopplysninger er taushetsplikt. Dette er nedfelt i blant annet helseregisterlovens 15 og helsepersonellovens 21. Videre framgår det av helseregisterlovens 13 a at Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger som behandles etter denne loven uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift. Helseforetakets styring av tilganger til helseopplysninger skal bidra til å sikre at: Tilgang bare gis i den grad det er nødvendig for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt. Jf. helseregisterloven 13. Helsepersonell som yter helsehjelp, med mindre pasienten motsetter seg det, gis tilgang til alle helseopplysninger som er nødvendig for å gi forsvarlig helsehjelp. Jf. lov om helsepersonell 45. Samarbeidende personell, med mindre pasienten motsetter seg det, gis tilgang til taushetsbelagte opplysninger når dette er nødvendig for å kunne gi nødvendig helsehjelp. Jf. lov om helsepers. 25. Bare den databehandlingsansvarlige, databehandlere og den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet, gis tilgang. Jf. helseregisterloven 13. Ved ansettelse i Sykehusapotek Nord HF signerer medarbeidere taushetserklæring. Den enkelte leder gir autorisasjon for behandling av helseopplysninger ved å bestille tilganger til informasjonssystemet og aktuelle applikasjoner. Internrevisjonen har i dette revisjonsprosjektet sett nærmere på tilgangsstyring for behandling av helseopplysninger ved hjelp av applikasjonene FarmaPro og DIPS. 10 / 14

11 5.3.1 FarmaPro FarmaPro, levert av NAF-Data AS, er sykehusapotekets forretningssystem og benyttes til alle deler av driften. Systemet inneholder modulene: Reseptur, Ordre/faktura, Kasse, Forsendelse, Lager og Reskontro. I FarmaPro lagres følgende informasjon om pasienter som får utlevert reseptpliktige medikamenter, eller som ønsker å betale med faktura: Navn og personnummer Utlevert medikament Refusjonskode (ICD-10 eller ICPC-2) Bestilling av tilganger til FarmaPro gjøres muntlig eller via e-post til systemansvarlig. Avdelingsledere og apotekere har også tilgang til brukeradministrasjon i FarmaPro og kan melde inn og ut brukere. Alle som bruker FarmaPro har eget brukernavn og passord. Ingen felles brukerkontoer er avdekket. Internrevisjonen har ikke vurdert passordsikkerhet i applikasjonen. Tilgangsstyringen i applikasjonen er basert på brukergrupper med gitte rettigheter og den ansattes stilling. Imidlertid har alle brukere av FarmaPro lik tilgang til alle registrerte helseopplysninger. Systemet inneholder ingen funksjonalitet for å begrense dette. Autorisert bruk av FarmaPro loggføres ikke. Det er altså ikke mulig å spore hvem som har registrert eller lest hvilke opplysninger. Eventuell urettmessig tilegnelse av helseopplysninger er derfor vanskelig å avdekke. Avdelingsleder er ansvarlig for å trekke tilbake autorisasjoner når medarbeidere slutter eller går ut i permisjon/sykemelding lengre enn fem uker. Gjennom intervju kom det fram at tilbaketrekking av tilganger ikke alltid skjer løpende. Ved Avdeling Tromsø har det blitt kontrollert minimum årlig at tilganger i FarmaPro samsvarer med aktive ansatte. Gjennomgangene er dokumentert. Internrevisjonen har testet tilbaketrekking av tilganger i FarmaPro, Avdeling Tromsø (test 2). Testen viste at alle (44) med tilgang til FarmaPro hadde et aktivt tilsettingsforhold/engasjement ved avdelingen DIPS DIPS er en klinisk applikasjon som benyttes som pasientadministrativt system (PAS) og elektronisk pasientjournal (EPJ) innenfor somatisk og voksenpsykiatrisk behandling i Helse Nord. Ved Sykehusapotek Nord, Avdeling Tromsø er enkelte ansatte autorisert for tilgang til Universitetssykehuset Nord-Norge (UNN) sin DIPS-applikasjon. Dette gjelder kliniske farmasøyter som deltar i vurdering av den enkelte pasients medikamentelle behandling ved spesifikke enheter i UNN. Farmasøytene er autorisert for slik tilgang via aktuell leder for enheten i UNN i henhold til UNNs autorisasjons- og tilgangsregime. Sykehusapotek Nord HF opptrer i denne sammenheng som databehandler for UNN HF. Helseregisterlovens 18 sier: En databehandler kan ikke behandle helseopplysninger på annen måte enn det som er skriftlig avtalt med den databehandlingsansvarlige. 11 / 14

12 Ledelsen ved sykehusapoteket har opplyst at det ikke er inngått skriftlig databehandleravtale som regulerer dette forholdet. Gjennom intervju kom det fram at farmasøytene har etablert flere manuelle, behandlingsrettede registre knyttet til oppfølgingen av medikamentell behandling av pasienter ved UNN. Disse registrene er ikke meldt til Datatilsynet, jf. pkt (eventuelt etter avtale med UNN, til personvernombudet hos dem). Det er UNNs ansvar som databehandlingsansvarlig å sørge for at det inngås skriftlig avtale som klart regulerer ansvars- og myndighetsforhold knyttet til sykehusapotekets tilgang til UNNs DIPS-applikasjon. Se også pkt Internrevisjonen vil følge dette opp ved tilsvarende revisjon ved UNN i løpet av høsten Sykehusapotek Nord HF oppfordres likevel til selv å ta opp dette forholdet med UNN med sikte på etablere skriftlig avtale i henhold til myndighetskravene. Dersom sykehusapoteket har tilsvarende tilganger til helseopplysninger i andre HF gjelder oppfordringen om å bidra til å bringe dette formelt i orden også her. Observerte forbedringsområder Tilgangsstyring Autorisert bruk av FarmaPro logges ikke. Eventuell urettmessig tilegnelse av helseopplysninger kan vanskelig avdekkes. Farmasøyters tilgang til og behandling av helseopplysninger i DIPS er ikke regulert via databehandleravtale med aktuelle helseforetak. 5.4 Ivaretakelse av informasjonssikkerhet hos databehandlere og leverandører Den behandlingsansvarlige er ansvarlig for at helseopplysninger blir behandlet i henhold til gjeldende krav. Dette gjelder selv om databehandlere og leverandører som behandler helseopplysninger eller benytter informasjonssystemet på vegne av den behandlingsansvarlige har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet. Den behandlingsansvarlige skal etablere klare ansvars- og myndighetsforhold overfor databehandlere og leverandører. Dette skal være beskrevet i en særskilt avtale. Den behandlingsansvarlige skal videre forsikre seg om at databehandlere og leverandører sørger for tilfredsstillende informasjonssikkerhet. Jf. helseregisterlovens 16 og 18, samt personopplysningsforskriftens for informasjonssikkerhet i helsesektoren krever eksplisitt at behandlingsansvarlig i forbindelse med sikkerhetsrevisjoner skal gjøre en vurdering av ivaretakelse av informasjonssikkerhet hos kommunikasjonspartnere, databehandlere og leverandører. Det er per i dag ikke inngått databehandleravtale med leverandør av FarmaPro, NAF-Data AS. Leverandøren har imidlertid laget et forslag til slik avtale som planlegges undertegnet i forbindelse med implementering av ny versjon av FarmaPro (2010/2011). I avtaleutkastet reguleres ansvars- og myndighetsforhold mellom partene. 12 / 14

13 NAF-Data AS har anledning til fjerntilgang til servere og maskiner i apoteknettet etter godkjenning fra sykehusapoteket i hvert enkelt tilfelle. Det er opplyst at leverandørens aktiviteter i slike tilfeller har blitt overvåket fra apoteket. Ut over dette har sykehusapoteket ikke vurdert sikkerheten i løsningen. 9. juni 2010 mottok imidlertid systemansvarlig en melding fra NAF-Data AS der de opplyste: Den eksisterende løsningen for fjernstøtte til apotekene tilfredsstiller ikke kravene i en.. Vi har derfor vært nødt til å finne en ny løsning for denne viktige tjenesten. Fra og med mandag 14. juni vil derfor den eksisterende fjernstøtteløsningen der man benytter Vis IP-ikonet gå ut og erstattes av Fjernaksess NAF-Data. HNIKT opptrer som databehandler for Sykehusapotek Nord HF blant annet ved at de gir teknisk brukerstøtte ved foretakets lokasjoner utenfor Bodø og Tromsø. Heller ikke her foreligger det undertegnet databehandleravtale mellom partene. Sykehusapotek Nord opplyser imidlertid at det er planer om å etablere slik avtale når foretaket får egen plattform som del av plattformprosjektet i Helse Nord. Sykehusapotek Nord HF har ikke iverksatt tiltak som gir grunnlag for å vurdere hvorvidt sikkerhetsstrategien hos databehandlere og leverandører gir tilstrekkelig sikkerhet for helseopplysninger som behandles. Se også pkt Observerte forbedringsområder Databehandlere og leverandører Sykehusapotek Nord HF har ikke inngått databehandleravtaler med databehandlere og leverandører og iverksatt tiltak for å forsikre seg om at deres sikkerhetsstrategi gir tilfredsstillende informasjonssikkerhet. 13 / 14

14 6 KONKLUSJON OG ANBEFALINGER 6.1 Konklusjon i forhold til revisjonens formål Basert på de undersøkelser som er foretatt ved Sykehusapotek Nord HF konkluderer Internrevisjonen med at behandlingen av helseopplysninger innenfor enkelte områder ikke er i samsvar med gjeldende regelverk. Sykehusapotek Nord HF sitt opplegg for internkontroll har klare mangler som bør rettes opp for å sikre at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger. 6.2 Anbefalinger Internrevisjonen anbefaler Sykehusapotek Nord HF å iverksette følgende tiltak: 1. Etablere og implementere en helhetlig internkontroll for personvern/informasjonssikkerhet i foretaket basert på sikkerhetsmål, sikkerhetsstrategi og klare ansvars- og myndighetsforhold. Kontrolltiltak som avviksregistrering, sikkerhetsrevisjoner og ledelsens gjennomgang må inngå her. Styrende dokumenter kan gjerne være felles for helseregionen dersom dette er hensiktsmessig. 2. Utarbeide en samlet oversikt over alle behandlinger av helse- og personopplysninger i foretaket og formålet/hjemmelen for behandlingen, samt etablere rutiner som sikrer at oversikten er oppdatert og fullstendig til enhver tid. 3. Sørge for at meldeplikten til Datatilsynet etterleves for alle meldepliktige behandlinger av helse- og personopplysninger. 4. Bidra til at farmasøyters tilgang til, og behandling av, helseopplysninger i DIPS blir regulert via databehandleravtale med aktuelle helseforetak. 5. Etablere skriftlige databehandleravtaler med aktuelle databehandlere og leverandører, og forsikre seg om at deres sikkerhetsstrategi gir tilfredsstillende informasjonssikkerhet. 14 / 14

15 7 VEDLEGG Vedlegg 1 Deltakeroversikt Fra Sykehusapotek Nord HF: Navn Funksjon Avd./enhet Oppstartsmøte Intervju Oppsummeringsmøte Espen Mælen Hauge Direktør Sykehusapotek Nord HF X X X Helge K. Pettersen Økonomisjef Sykehusapotek Nord HF X X Sidsel Kristiansen Apoteker Avdeling Tromsø X X X Lindis Josefsen Farmasøyt Avd. Tromsø, Publikumsavdeling X X X Rita Sørensen Sykepleier Avd. Tromsø, Publikumsavdeling X X X Anne Lise Reiersen Farmasøyt Avd. Tromsø, Farmasifaglig rådgivning X X X Trude Giverhaug Farmasøyt Avd. Tromsø, Farmasifaglig rådgivning X Fra Internrevisjonen i Helse Nord RHF: Navn Funksjon Avd./enhet Oppstartsmøte Intervju Oppsummeringsmøte Hege Knoph Antonsen Internrevisor Helse Nord RHF X X X

16 Vedlegg 2 - Dokumentoversikt Dokumenter innsendt/levert av Sykehusapotek Nord HF i forkant av, eller i forbindelse med, intervju. Styrende dokumenter (retningslinjer, prosedyrer etc.): RL0200 Informasjonssikkerhet - Sikkerhetsmål for Helse Nord RL0748 IT-reglement for Sykehusapotek Nord RL0259 Reglement for bruk av IKT-systemer UNN PR17115 Oppretting og vedlikehold av brukere i FarmaPro FB0577 Instruks for systemansvarlig for FarmaPro RL0872 Opplæring av nyansatte ved Sykehusapotek Nord PR20897 Varsling av kritikkverdige forhold Erklæring om taushets- og diskresjonsplikt FB0575 Stillingsinstruks direktør FB0134 Stillingsinstruks økonomisjef FB0114 Stillingsinstruks apoteker FB0117 Stillingsinstruks avdelingsleder FB0127 Stillingsinstruks spesialsykepleier publikum FB0124 Stillingsinstruks klinisk farmasøyt Tjenesteark Fjernaksess. NAF-Data AS. Utkast til nytt styringssystem for informasjonssikkerhet i Helse Nord, versjon 0.99 Oversikter/planer: Organisasjonskart Sykehusapotek Nord HF Oversikt over alle ansatte ved Sykehusapotek Nord HF, Avdeling Tromsø. Resultatdokumentasjon: ROS-analyse av FarmaPro versjon 4,Tromsø, datert Annet: Melding fra NAF-Data AS, datert : Ny løsning for fjernstøtte til apotek. Utkast til databehandleravtale mellom Sykehusapotek Nord HF og NAF-Data AS. Sikkerhetsgjennomgang av FarmaPro 5, datert , NAF-Data AS. (Kortversjon av rapport fra INFOSEC, april 2008.)

17 [Skriv inn tekst] Helse Nord IKT Vedlegg 3 Oversikt over krav ifm internrevisjonen: Internkontroll ved behandling av helseopplysninger Oversikten inneholder utvalgte krav sett i forhold til revisjonens formål og fokusområder utledet fra: Helseregisterloven (HR) Helsepersonelloven (HP) Personopplysningsforskriften (POL) Journalforskriften (JF) for informasjonssikkerhet i helsesektoren () Nr Krav Regelverk Hjemmel for/meldeplikt om behandlingsrettet helseregister 1. Er det sendt pålagte meldinger til Datatilsynet om behandlingsrettet helseregister? Evt. til Personvernombud dersom virksomheten har dette. 2. Er meldingen(e) til Datatilsynet fornyet siste 3 år? IR for virksomheter som har Personvernombud 3. Er det bare etablert behandlingsrettet helseregister med hjemmel i Helseregisterloven 6 (ikke 6a og 6b) Grunnlag for internkontroll ved behandling av helseopplysninger 4. Er ansvar og oppgaver for informasjonssikkerhet dokumentert i et organisasjonskart/beskrivelse? Ref. Er kravet ivaretatt Kravet er ivaretatt av: Ja Nei HF HNIKT Kommentar IR = ikke undersøkt eller ikke relevant HR 29 X Mangler for flere registre. POL 7-12 HR 29 IR HR 6 X X POL 2-7 X Stillingsbeskr. finnes, men inf.sikkerhet er mangelfullt definert (bare IKT-drift). POL 2-7 X X Det som er definert. 5. Oppfattes og praktiseres ansvars- og oppgavefordeling i samsvar med beskrivelse? 6. Er det fastsatt sikkerhetsmål for virksomheten? POL 2-3 X Bare for Helse Nord. 7. Er det utarbeidet sikkerhetsstrategi for å nå sikkerhetsmålene? POL 2-3 X 8. Er det dokumentert nivå for akseptabel risiko for konfidensialitet, POL 2-4 X tilgjengelighet, integritet og kvalitet? av 4

18 [Skriv inn tekst] Behandlingsansvarlig: Sykehusapotek Nord HF Nr Krav Regelverk Risiko- og sårbarhetsanalyser 9. Er det gjennomført og dokumentert risikovurderinger av alle informasjonsbehandlingssystemer eller registre som inneholder helse- og personopplysninger? 10. Blir det gjennomført og dokumentert risikovurderinger før det iverksettes organisatoriske endringer som kan påvirke informasjonsbehandlingen? 11. Blir det gjennomført og dokumentert risikovurderinger før det iverksettes tekniske endringer i utstyr og/eller programvare som kan påvirke informasjonsbehandlingen? 12. Er resultatet av risikovurderingene sammenlignet med fastlagt nivå for akseptabel risiko? POL POL POL Ref Er kravet ivaretatt Kravet ivaretas av: Ja Nei HF HNIKT X 4.6 IR 13. Følges resultater fra risikovurderingene opp? X X Journalansvar 14. Utpekes det alltid en person som har det overordnede ansvar for den enkelte journal? JF 6 IR 15. Framgår det av journalen hvem som er journalansvarlig? JF 6 IR Tilgangsstyring 16. Er det bare den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet som kan gis tilgang til helseopplysninger? HR 13 X X 17. Autoriseres bruker selvstendig for hver enkelt rolle? X X 18. Har alle personer unike autentiseringskriteria? X X 19. Autoriseres kun teknisk personell med særskilt behov for tilgang for større IR mengder helse- og personopplysninger? 20. Er det iverksatt tiltak slik at mulig misbruk kan avdekkes? X 21. Er det etablert prosedyre for nødrettstilgang? IR Kommentar Gjennomført for FarmaPro, Tromsø, i Mangler for bruk av DIPS. IR IR 2 av 4

19 [Skriv inn tekst] Behandlingsansvarlig: Sykehusapotek Nord HF Nr Krav Regelverk Ref. Er kravet Kravet Kommentar ivaretatt ivaretas av: Ja Nei HF HNIKT 22. Følges all bruk av nødrettstilgang opp som avvik? IR 23. Grunngis og registreres bruk av nødrettstilgang i EPJ-systemet? IR 24. Kontrolleres tilgangsstyring, herunder tildelte autorisasjoner, ved X X organisasjonsendringer, overflytting av personell til annen enhet/avdeling eller endring av arbeidsområde? 25. Kontrolleres tilgangsstyring minimum årlig (gjerne i forbindelse med X X sikkerhetsrevisjon)? Utlevering av helseopplysninger 26. Utleveres eller gis helseopplysninger til annet helsepersonell enn virksomhetens eget personell i samsvar med lovbestemte regler om taushetsplikt? 27. Behandles forespørsel om overføring, utlevering eller tilgang til helse- og personopplysninger i samsvar med betryggende rutiner? 28. Fremgår det av journalen når helseopplysninger er gitt til annet helsepersonell enn virksomhetens eget personell? Informasjonsplikt/pasientens rettigheter 29. Får pasienten informasjon om virksomhetens behandling av helse- og personopplysninger, og sine rettigheter til innsyn i, retting, sletting og sperring av hele/deler av egen journal? HP IR HP X I apotek er det informasjonsplikt om innsending til reseptregisteret 30. Er pasientens rett til sperring av hele eller deler av egen journal ivaretatt? IR Databehandlere og leverandører 31. Har den behandlingsansvarlige oversikt over hvilke databehandlere og leverandører som er involvert i behandling av helseopplysninger i det POL X X Få systemer. enkelte informasjonssystem? 32. Er det inngått avtale med databehandler(e) iht kravene i en? X IR IR 3 av 4

20 [Skriv inn tekst] Behandlingsansvarlig: Sykehusapotek Nord HF Nr Krav Regelverk 33. Har databehandler gjennomført risikovurdering, ved etablering av skille mellom flere virksomheter, når databehandler er databehandler for flere virksomheter? 34. Er det inngått avtale med alle leverandører som har tilgang til helseopplysninger iht kravene i en? 35. Forsikrer den behandlingsansvarlige seg jevnlig om at sikkerhetsstrategien hos databehandlere og leverandører gir tilfredsstillende informasjonssikkerhet? Avviksbehandling 36. Benyttes avvikssystemet iht intensjonen i forhold til behandling av helseopplysninger? 37. Er det etablert prosedyre der det framgår at Datatilsynet skal varsles ved uautorisert utlevering av helseopplysninger? 38. Varsles Datatilsynet ved uautorisert utlevering av helse- og personopplysninger? Ref. Er kravet Kravet Kommentar ivaretatt ivaretas av: Ja Nei HF HNIKT IR X POL 2-15 X POL POL POL Ledelsens kontroll og oppfølging 39. Gjennomføres det sikkerhetsrevisjon minimum årlig? POL X Foreligger det en plan for sikkerhetsrevisjoner? 6.1 X 41. Dokumenteres resultatet av sikkerhetsrevisjonene? POL Gjennomføres det ledelsens gjennomgang av internkontroll for behandling 6.4 X av helse- og personopplysninger minimum årlig? (omf. gj.gang av bl.a. risikovurd., sikkerhetsrev., avviksrapp., konfigurasjonskart, ansvar og organisering og sikkerhetsmål) X X X Ingen slike hendelser er avdekket. IR 4 av 4