Internkontroll ved behandling av helseopplysninger i Nordlandssykehuset HF. Internrevisjonsrapport nr.: 01/2010

Transkript

1 Internkontroll ved behandling av helseopplysninger i Nordlandssykehuset HF Internrevisjonsrapport nr.: 01/2010 Dato:

2 INNHOLDSFORTEGNELSE 1 SAMMENDRAG INNLEDNING Definisjoner FORMÅL OG OMFANG Formål med revisjonen Regelverk Omfang og avgrensninger METODER OBSERVASJONER OG VURDERINGER Generelt om internkontroll ved behandling av helseopplysninger Risikovurderinger Behandling av helseopplysninger Ivaretakelse av informasjonssikkerhet hos databehandlere og leverandører KONKLUSJON OG ANBEFALINGER Konklusjon i forhold til revisjonens formål Anbefalinger VEDLEGG / 17

3 1 SAMMENDRAG Rapporten er utarbeidet etter internrevisjon ved Nordlandssykehuset HF (NLSH) i perioden Formålet med revisjonen: Formålet med revisjonen var å kartlegge om Nordlandssykehuset HF har etablert og vedlikeholdt et opplegg for internkontroll som sikrer at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger. Observasjoner og vurderinger: Internrevisjonens vesentligste observasjoner og vurderinger knyttet til sentrale elementer i internkontrollsystemet ved behandling av helseopplysninger: Personvernombudets oversikt over behandlinger av helseopplysninger i HF-et er mangelfull. Det er ikke klart definert hvordan foretakets samlede journalsystem er organisert. For somatisk virksomhet framgår det ikke av journalen (i DIPS) hvem som er journalansvarlig person. Det er ikke iverksatt systematiske tiltak som gjør det mulig å avdekke eventuelt misbruk av tilganger. Det eksisterer gjensidige tilganger, som ikke er i samsvar med gjeldende lovverk, til å hente røntgeninformasjon på tvers av HF-grensene. Miljøpersonell på vakt benytter felles autentiseringskriteria for pålogg til Bupdata. Det gis tilgang i Bupdata til personer som ikke er underlagt behandlingsansvarliges instruksjonsmyndighet. Det har ikke vært gjennomført systematisk brukeropplæring i DIPS, og det eksisterer i liten grad felles prosedyrer for bruk av DIPS i foretaket. NLSH har ikke iverksatt tiltak for jevnlig å forsikre seg om at sikkerhetsstrategien hos databehandlere og leverandører gir tilfredsstillende informasjonssikkerhet. Konklusjon: Basert på de undersøkelser som er foretatt ved Nordlandssykehuset HF konkluderer Internrevisjonen med at behandlingen av helseopplysninger innenfor enkelte områder ikke er i samsvar med gjeldende regelverk. Nordlandssykehuset HF sitt opplegg for internkontroll inneholder svakheter som bør forbedres for å sikre at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger. Anbefalinger: Internrevisjonen anbefaler Nordlandssykehuset HF å iverksette en rekke forbedringstiltak knyttet til blant annet: tilgang til røntgeninformasjon på tvers av HF-ene, tilganger i Bupdata, dokumentasjon av journalansvarlig person, oversikt over behandling av helseopplysninger, regelmessige kontrolltiltak og gjennomføring av risikovurderinger. 3 / 17

4 2 INNLEDNING Rapporten er utarbeidet etter internrevisjon ved Nordlandssykehuset HF i perioden , gjennomført av Internrevisjonen i Helse Nord RHF. Revisjonsprosjektet inngår som en del av vedtatt revisjonsplan for 2009/2010. Tilsvarende revisjon gjennomføres ved alle HF-ene i Helse Nord, samt ved Helse Nord IKT (HNIKT) som databehandler for helseforetakene. HF-ene vil motta kopi av rapporten for HNIKT når denne foreligger. Internrevisjonen har omfattet følgende aktiviteter: Melding om internrevisjon ble sendt ut Oppstartsmøte ble avholdt Intervju av 16 personer ved NLSH i løpet av dagene Se vedlegg 1, Deltakeroversikt. Dokumentgjennomgang. Oversikt over dokumenter som er innhentet i forbindelse med revisjonen er gitt i vedlegg 2, Dokumentoversikt. Verifikasjoner/tester. Se nærmere beskrivelse i kapittel 4, Metoder. Oppsummeringsmøte ble avholdt Definisjoner Følgende definisjoner fra regelverket (se pkt. 3.2) er sentrale i denne revisjonen: helseopplysninger: taushetsbelagte opplysninger i henhold til helsepersonelloven 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson, behandling av helseopplysninger: enhver formålsbestemt bruk av helseopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, behandlingsrettet helseregister: journal- og informasjonssystem eller annet helseregister som har til formål å gi grunnlag for handlinger som har forebyggende, diagnostisk, behandlende, helsebevarende eller rehabiliterende mål i forhold til den enkelte pasient og som utføres av helsepersonell, samt administrasjon av slike handlinger, pasientjournal/journal: samling eller sammenstilling av nedtegnede/registrerte opplysninger om en pasient i forbindelse med helsehjelp, jf. helsepersonelloven 40 første ledd, behandlingsansvarlig/databehandlingsansvarlig: den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes, hvis ikke (data)behandlingsansvaret er særskilt angitt i loven eller i forskrift i medhold av loven, databehandler: den som behandler helseopplysninger på vegne av den behandlingsansvarlige. 4 / 17

5 3 FORMÅL OG OMFANG 3.1 Formål med revisjonen Formålet med revisjonen var å kartlegge om Nordlandssykehuset HF har etablert og vedlikeholdt et opplegg for internkontroll som sikrer at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger. 3.2 Regelverk Virksomheten er vurdert opp mot følgende regelverk (revisjonskriterier): Lov om helseregistre og behandling av helseopplysninger (helseregisterloven) Lov om behandling av personopplysninger (personopplysningsloven) Forskrift om behandling av personopplysninger (personopplysningsforskriften) Lov om helsepersonell (helsepersonelloven) Forskrift om pasientjournal (journalforskriften) Lov om spesialisthelsetjenesten (spesialisthelsetjenesteloven) Lov om pasientrettigheter (pasientrettighetsloven) Norm for informasjonssikkerhet i helsesektoren (Normen) Interne bestemmelser Både helseregisterlovens 17 og personopplysningslovens 14 stiller krav om at den behandlingsansvarlige skal etablere og holde ved like planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av disse lovene. Personopplysningsforskriftens kapittel 2 (Informasjonssikkerhet) og kapittel 3 (Internkontroll) gir nærmere føringer for hvilke tiltak dette skal omfatte. Norm for informasjonssikkerhet i helsesektoren (Normen) er et omforent sett av krav til informasjonssikkerhet, basert på lovverket. Normen omfatter alle krav som må tilfredstilles for å oppfylle lov- og forskriftskrav til informasjonssikkerhet i helsesektoren. Normen kan også stille strengere krav enn det som følger av lovverket. Alle aktører i helsesektoren som er tilknyttet Norsk Helsenett er avtalerettslig forpliktet til å følge Normen. Kravene om internkontroll skal bidra til å sikre at lovverkets samlede krav blir oppfylt. Velfungerende internkontroll på dette området reduserer risikoen for negativ omtale/tap av anseelse, økonomisk tap, tap av helse og tap av liv. 5 / 17

6 3.3 Omfang og avgrensninger Prosjektet har omfattet helse- og personopplysninger som behandles helt eller delvis med elektroniske hjelpemidler i forbindelse med pasientbehandling, herunder også pasientadministrasjon og utlevering av legemidler. Det ble gjort undersøkelser av både innhold/omfang og etterlevelse av internkontrollsystemet ved Nordlandssykehuset Bodø. Gjennom undersøkelsene har revisjonen først og fremst hatt fokus på: Risikovurderinger Journalansvar Tilgangsstyring Ivaretakelse av informasjonssikkerhet hos databehandlere og leverandører Utvalgte kliniske applikasjoner: DIPS, røntgensystemer og Bupdata. Internrevisjonen har i dette prosjektet ikke sett på behandling av helse- og personopplysninger til andre formål enn pasientbehandling, for eksempel i forbindelse med personalregistre og i forskningssammenheng. Internkontroll i forhold til ivaretakelse av helseopplysninger som behandles kun ved manuelle rutiner ble heller ikke omfattet av denne revisjonen. 4 METODER Til sammen 16 ledere og ansatte ved NLSH er intervjuet. Se vedlegg 1, Deltakeroversikt. Tilsendt/framlagt dokumentasjon er gjennomgått. Se vedlegg 2, Dokumentoversikt. Følgende verifikasjoner/tester er utført: Test 1: Journalføring av journalansvarlig person i DIPS. Det ble undersøkt om den enkelte journal inneholdt opplysninger om hvem som var utpekt som journalansvarlig person i feltet Pasientopplysninger/Roller overfor pasienten (F5-bildet) og i epikrisen. 20 journaler i DIPS for somatisk virksomhet ble valgt ut fra forhåndsdefinerte kriterier. Test 2: Journalføring av journalansvarlig person i Bupdata. Det ble undersøkt om den enkelte journal inneholdt opplysninger om hvem som var utpekt som journalansvarlig person i bildet Pasientopplysninger og i epikrisen. 10 journaler Bupdata ble valgt ut forhåndsdefinerte kriterier. Test 3: Tilbaketrekking av tilganger i DIPS. Oversikt over personer i aktivt ansettelsesforhold ved en gitt enhet, inkludert faste vikarer, ble sammenlignet med registrerte tilganger i DIPS for aktuell enhet. Dette ble gjort for: a) Akuttenheten b) Bildediagnostisk avdeling, Bodø 6 / 17

7 Test 4: Bestilling av tilganger i DIPS. 15 bestillinger av tilgang til DIPS ble undersøkt med tanke på: - hvem som bestilte tilgangen - hvilke opplysninger som ble gitt om brukeren - hvilke opplysninger som ble gitt om vedkommendes behov for tilgang. Oppslagene i PAS/EPJ (DIPS og Bupdata) ble utført og dokumentert av personell underlagt den behandlingsansvarliges instruksjonsmyndighet. Dokumentasjon knyttet til utførte tester er oversendt NLSH separat. 5 OBSERVASJONER OG VURDERINGER Myndighetene stiller en rekke konkrete krav til hvilke tiltak internkontrollsystemet for behandling av helse- og personopplysninger skal omfatte. Se pkt I dette kapittelet redegjøres det først for Internrevisjonens observasjoner og vurderinger knyttet til sentrale elementer i det generelle internkontrollsystemet ved behandling av helseopplysninger (punkt 5.1). I de etterfølgende punktene omtales elementer av internkontrollen som Internrevisjonen har hatt særlig fokus på ved denne revisjonen. Vedlegg 3 inneholder en oversikt over utvalgte krav og Internrevisjonens vurdering av om disse er oppfylt. 5.1 Generelt om internkontroll ved behandling av helseopplysninger Sikkerhetsmål, sikkerhetsstrategi og ansvarsfordeling Personopplysningsforskriftens kapittel 2 stiller krav om at det skal fastsettes sikkerhetsmål for virksomheten og en sikkerhetsstrategi for å nå disse målene. Videre kreves det at ansvaret for informasjonssikkerhet skal være definert på alle nivå, dokumentert og kjent i organisasjonen. De overordnede mål for informasjonssikkerhetsarbeidet ved Nordlandssykehuset framgår av innledningen i RL0341 Informasjonssikkerhet brukerinstruks for NLSH sine medarbeidere. Instruksen gjøres imidlertid ikke rutinemessig kjent for nytilsatte. I RL0277 Informasjonssikkerhet i Nordlandssykehuset HF policydokument (datert ) er ansvarsfordeling knyttet til informasjonssikkerhet beskrevet. Beskrivelsen samsvarer ikke med dagens organisering, ansvarsfordeling (informasjonssikkerhetsansvarlig, PVO og IKT-sjef) og ledelsesbetegnelser Meldeplikt / oversikt over behandlinger av helseopplysninger NLSH har utpekt et uavhengig personvernombud (PVO), og er unntatt fra meldeplikt til Datatilsynet etter personopplysningsloven 31. Personopplysningsforskriftens 7-12 pålegger imidlertid PVO å føre en oversikt som inneholder opplysninger tilsvarende som for kravene til meldepliktens innhold. PVO har i intervju opplyst at det har vært gjennomført kartlegginger av hvilke behandlinger av helse- og personopplysninger som foretas i HF-et, sist i Disse kartleggingene har dannet grunnlaget for den avdelingsvise oversikten PVO i dag har over kliniske systemer som behandler helseopplysninger. For 7 / 17

8 behandlinger som er meldepliktige benyttes standardisert meldeskjema, Melding om behandling av personopplysninger til personvernombudet. Internrevisjonen har mottatt kopi av alle utfylte meldeskjema til personvernombudet (totalt fem skjema). Ingen av meldingene er eldre enn tre år. En gjennomgang av PVOs samlede oversikt over behandlinger av helseopplysninger viser at denne er mangelfull. Meldeskjema for pasientjournal i NLSH mangler. Det framgår heller ikke av oversikten over kliniske systemer at det finnes konsesjonspliktige register. Oversikten Internrevisjonen har mottatt indikerer videre at det trolig gjenstår noe kartlegging av HF-ets informasjonsbehandling utenfor Bodø Avviksbehandling Personopplysningsforskriftens 2-6 stiller krav om intern avviksbehandling, samt at avvik som har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal varsles til Datatilsynet. I forkant av denne revisjonen har Internrevisjonen vært i kontakt med Datatilsynet for å undersøke hvordan helsevesenet generelt praktiserer denne rapporteringsplikten. Datatilsynet opplyste i e-post : Erfaringene fra dette er at vi får noen meldinger uoppfordret fra virksomheter og noen meldinger etter oppfordring fra oss eller helsetilsynet i saker som kommer frem i det offentlige lys. Antallet meldinger er ikke høyt, så enten er det underrapportering, lite kjennskap til 2-6 i virksomhetene eller ingen rutine i virksomhetene på dette området. Noen virksomheter er veldig flinke, men andre hører vi aldri noe fra. Det kan tenkes at de ikke har avvik, men vanligvis finnes ikke den virksomheten som ikke har avvik. I samråd med Stein Erik Vetland i Tilsyn- og sikkerhetsavdelingen hos Datatilsynet, nevnes følgende eksempler på hendelser i helsetjenesten som ønskes rapportert til Datatilsynet: Publisering av sensitive personopplysninger på internett. Papirer med sensitive personopplysninger funnet i søppeldunk (også internt på sykehuset). Sensitive opplysninger funnet i tøy på vaskeriet. Mistet ark på kjøpesenter med sensitive personopplysninger. Sensitive personopplysninger levert til feil mottaker (elektronisk eller på papir). I Helse Nord er det besluttet at Docmap skal benyttes som verktøy for registrering og behandling av avvik. Det vises i denne sammenheng til Oppdragsdokumentet 2009, pkt. 3.2: Nordlandssykehuset HF skal ta i bruk og videreutvikle Docmap som system for forebygging og oppfølging av avvik (felles prosjekt i kvalitetsnettverket). I NLSH benyttes avviksmodulen i Docmap bare innenfor en begrenset del av organisasjonen. I hovedsak benyttes manuelt avviksskjema. Internrevisjonen ble orientert om at det nylig er utarbeidet en plan for videre implementering av Docmaps avviksmodul i NLSH. Intervju avdekket at saksgang og rutiner i forbindelse med avviksmeldinger mellom NLSH og HNIKT er uklar. Internrevisjonen har mottatt alle registrerte avviksmeldinger fra 2008 og 2009 innenfor området informasjonssikkerhet/personvern. Dette utgjorde totalt 12 meldinger. Alle meldingene hadde innhold som etter Internrevisjonens vurdering var egnet til bruk i forbedringsarbeid. Meldingenes form var varierende, men flere av disse var utskrift fra løpende dialog via e-post. Det framgikk bare av noen få av meldingene hvem som var ansvarlig for videre oppfølging, eller bekreftelse på at behandlingen var avsluttet. Generelt bør avviksmeldinger ikke lukkes før det er bekreftet at besluttede tiltak er implementert (og har ønsket effekt). 8 / 17

9 Av de mottatte avviksmeldingene framgår det at det er avdekket hendelser der enkeltpersoner har brutt taushetsbestemmelsene eller urettmessig har tilegnet seg taushetsbelagt informasjon. Disse hendelsene har blitt fulgt opp på generelt grunnlag i aktuelle enheter. Videre framgår det av avviksmeldingene noen tilfeller der det er utlevert sensitiv informasjon til feil pasient. De intervjuede var klar over rapporteringsplikten til Datatilsynet ved uautorisert utlevering av helseopplysninger, men ingen slike hendelser er rapportert fra NLSH. Internrevisjonen kan ikke fastslå om noen av de registrerte hendelsene burde vært rapportert, men foreslår at virksomheten selv gjør en grundigere vurdering av dette spørsmålet ved framtidige hendelser Sikkerhetsrevisjoner Personopplysningsforskriftens 2-5 pålegger den behandlingsansvarlige å utføre jevnlige sikkerhetsrevisjoner. I Normen slås det fast at slike revisjoner som minimum skal gjennomføres årlig, og det stilles en rekke krav til hvilke vurderinger revisjonene skal omfatte. Det har ved NLSH vært gjennomført enkelte revisjonsaktiviteter innenfor temaet informasjonssikkerhet i 2007 og Disse undersøkelsene har i hovedsak hatt fokus på resultat av opplæring (kunnskap om informasjonssikkerhet) og overholdelse av prosedyrer og regelverk (praksis). Normen krever mer omfattende sikkerhetsrevisjoner. Det framgår ikke av mottatt dokumentasjon at ledelsen har fulgt opp resultatene fra undersøkelsene med felles tiltak i HF-et, men den enkelte leder er ansvarliggjort i forhold til oppfølging av resultater i egen enhet. I 2009 ble ingen revisjonsaktiviteter utført. NLSHs interne revisjonsplan for 2010 omfatter avgrensede problemstillinger rundt informasjonssikkerhet/personvern, men ikke egne sikkerhetsrevisjoner i henhold til Normens krav. Helse Nord RHFs revisjonsprosjekt om internkontroll ved behandling av helseopplysninger betraktes i all hovedsak også som NLSHs sikkerhetsrevisjon inneværende år Ledelsens gjennomgang Det gjennomføres regelmessige møter mellom direktør, andre representanter fra helseforetakets ledelse og informasjonssikkerhetsansvarlig/rådgiver (ledelsens gjennomgang). Her gjennomgås status i forhold til myndighetskrav og halvårlige handlingsplaner. Forventet ressursbruk og oppgavefordeling godkjennes. Slike gjennomganger inngår i kravene Normen stiller til den behandlingsansvarlige (pkt. 6.4). Observerte forbedringsområder Generelt om internkontroll Virksomhetens sikkerhetsmål er lite tilgjengelige, og ikke forankret i Helse Nords sikkerhetsmål. Beskrivelse av fordeling av ansvar og oppgaver i forbindelse med informasjonssikkerhet samsvarer ikke med dagens organisering (policydokumentet). Informasjonssikkerhet brukerinstruks gjøres ikke kjent for nytilsatte rutinemessig. Personvernombudets oversikt over behandlinger av helseopplysninger er mangelfull. Rapportering og oppfølging av avviksmeldinger dokumenteres ikke alltid på en systematisk og oversiktlig måte. Avviksmodulen i Docmap benyttes i begrenset grad ved NLSH. Det mangler systematikk for gjensidig rapportering og oppfølging av avvik mellom NLSH og HNIKT. Gjennomført revisjonsaktiviteter tilfredsstiller ikke Normens krav til årlige sikkerhetsrevisjoner. 9 / 17

10 5.2 Risikovurderinger Personopplysningsforskriftens 2-4 pålegger virksomheten å fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Resultatet av risikovurderingen skal sammenlignes med fastlagte kriterier for akseptabel risiko og benyttes som del av grunnlaget for valg av konkrete sikkerhetstiltak. Ny risikovurdering skal gjennomføres ved endringer som kan påvirke informasjonsbehandlingen, som innføring av nye informasjonsbehandlingssystemer, organisatoriske endringer eller endringer i teknisk utstyr og/eller programvare. NLSH har ikke fastlagt kriterier for hva som er akseptabel risiko. Arbeidsgruppen som gjennomfører vurderingene anbefaler risikoreduserende tiltak ut fra en kvalifisert vurdering av kostnader og forventet effekt. Rapport med forslag til tiltak blir oversendt klinikksjef for beslutning og oppfølging. Det finnes ingen samlet oversikt over besluttede tiltak. Intervjuene avdekket ett tilfelle der avdelingsleder ikke var kjent med rapport fra risikovurdering ved egen avdeling gjennomført fire måneder tidligere. NLSH gjennomgikk i 2009 en omfattende organisatorisk endring da klinikkmodellen ble implementert. Internrevisjonen legger til grunn at en slik organisasjonsendring har betydning for informasjonsbehandlingen. Dette ble imidlertid ikke vurdert ved NLSH, og ingen risikovurderinger med fokus på informasjonsbehandling ble gjennomført. I foretaksmøte høsten 2009 ble NLSH pålagt å gjennomføre nødvendige risikovurderinger av kliniske systemer innen Foretaket har i brev til Helse Nord RHF datert redegjort for de overordnede risikovurderinger som er foretatt, samt hvilke kliniske systemer det er utført mer inngående risikovurdering av. NLSH har til hensikt å risikovurdere ytterligere kliniske system som en del av det løpende internkontrollarbeidet, og Internrevisjonen er kjent med eksisterende plan for videreføring av dette arbeidet. Observerte forbedringsområder Risikovurderinger Nivå for akseptabel risiko forbundet med behandling av personopplysninger er ikke fastsatt. Det er ikke gjennomført risikovurdering med fokus på informasjonsbehandling før omfattende organisatoriske endringer. Det er ikke etablert et system som sikrer at gjennomførte risikovurderinger blir fulgt opp. 10 / 17

11 5.3 Behandling av helseopplysninger Journalforskriften sier i 5: Det skal opprettes en journal for hver pasient. Det skal som hovedregel anvendes en samlet journal for den enkelte pasient selv om helsehjelp ytes av flere innen virksomheten. Bestemmelser om muligheter for å fravike hovedregelen framgår av samme paragraf. Det vises også til definisjon av elektronisk pasientjournal utledet av KITH (Kompetansesenter for IT i helse- og sosialsektoren AS) på kith.no Utvalgte kliniske applikasjoner Revisjonen har omfattet helseopplysninger som behandles med elektroniske hjelpemidler. NLSH benytter mange kliniske applikasjoner i forbindelse med slik behandling. Dette revisjonsprosjektet har sett nærmere på applikasjonene: DIPS, ulike røntgenapplikasjoner og Bupdata DIPS DIPS er den kliniske applikasjonen som benyttes som pasientadministrativt system (PAS) og elektronisk pasientjournal (EPJ) innenfor all somatisk og voksenpsykiatrisk behandling ved NLSH. Systemadministrasjon, inkludert implementering av NLSHs organisasjonsoppsett, brukeradministrasjon, roller, tilgangskoder, maler og administrasjon av leverandørens tilgang ivaretas av HNIKT. Internrevisjonen har fått opplyst at det ikke har vært gjennomført systematisk brukeropplæring i DIPS i Bodø, og at det i liten grad eksisterer felles brukerprosedyrer. Praksis knyttet til bruk av DIPS varierer innenfor foretaket. Det sikres ikke at nye funksjoner tas i bruk gjennomgående. Ut fra Internrevisjonens vurdering medfører dette risiko for at ulike rapporteringer ikke er basert på pålitelig datagrunnlag. Dette er forhold som foretaket er kjent med, og som det nå arbeides med tiltak i forhold til, blant annet planer om gjennomføring av strukturert, elektronisk opplæring i bruk av DIPS Røntgensystemer Røntgenavdelingene benytter flere fagsystemer i forbindelse med pasientadministrasjon og dokumentasjon av diagnostisk virksomhet. De systemene som har hatt fokus ved denne internrevisjonen ved NLSH Bodø er: DIPSRIS en integrert del av DIPS/EPJ. Håndterer pasientadministrasjon, røntgenrekvisisjoner, digital diktering og distribusjon av røntgensvar. Agfa Impax PACS verktøy for granskning, vurdering og beskrivelse av røntgenbilder. Håndterer lagring og transport av bilder. Arcidis system for sikker overføring av røntgenbilder og radiologisk informasjon mellom sykehus og mellom helseforetak. Systemadministrasjon og administrasjon av leverandørens tilgang ivaretas av HNIKT Bupdata Barne- og ungdomspsykiatrisk avdeling (BUPA) benytter programvaren Bupdata som verktøy i forbindelse med pasientadministrasjon og dokumentasjon av behandling. Internrevisjonens undersøkelser ble utført ved Barne- og ungdomspsykiatrisk poliklinikk Ytre Salten Bodø (BUP YS). 11 / 17

12 HF-et ivaretar selv administrasjon av Bupdata, inkludert brukeradministrasjon, roller og maler. HNIKT ivaretar teknisk drift og administrasjon av leverandørens tilgang Pasientjournal Spesialisthelsetjenestelovens 3-2 pålegger helseforetaket å sørge for at journal- og informasjonssystemene i virksomheten er forsvarlige. NLSH har et stort journalutvalg (25 medlemmer) som ledes av fagdirektør, men dette utvalget har ikke vært aktivt siste halvannet år. I stedet har journalutvalgets arbeidsutvalg (cirka seks personer) hatt regelmessig aktivitet. Utvalget arbeider med etablering av ny struktur for intern forvaltning av PAS/EPJ som tenkes å erstatte dagens journalutvalg. Av andre saker som har vært på dagsorden kan nevnes opplæring i bruk av kliniske systemer, problemstillinger knyttet til klinikkorganiseringen og tilgangsproblematikk Bodø, Lofoten, Vesterålen. På bakgrunn av opplysninger i intervju er Internrevisjonens vurdering at foretaket ikke i tilstrekkelig grad har diskutert og definert hvordan det samlede journalsystemet er organisert. Representanter fra foretaksledelse/stab ga uttykk for at den enkelte pasient i dag har én samlet journal ved NLSH. Foretakets adskilte DIPS-applikasjoner (Bodø, Lofoten og Vesterålen) ble trukket fram som en utfordring i denne anledning. Internrevisjonen konstaterer at en slik tolkning også har utfordringer relatert til barneog ungdomspsykiatrisk virksomhet, hvor papirjournal er juridisk gjeldende versjon av pasientjournalen. BUPA er organisert i sju enheter. Selv om Bupdata inneholder en samlet oversikt over journaldokumentasjon i BUPA, føres og arkiveres pasientjournal ved den enkelte enhet, adskilt fra hverandre. Videre konstaterer Internrevisjonen at det er ulike oppfatninger om hvorvidt andre fagsystemer betraktes som en del av journalen i sin opprinnelige form (tilleggsjournal), eller om det gjøres nødvendige overføringer til/nedtegninger i hovedjournalen. Det framgår ikke av pasientens journal om det finnes journaldokumentasjon om vedkommende i flere journalsystemer ved NLSH, og hvilken informasjon som finnes hvor. Jf. journalforskriften 5. Eventuelle interne henvisninger/epikriser mellom enheter som har adskilte systemer er eneste indikasjon om dette Journalansvar Av journalforskriftens 6 framgår det at det skal utpekes en person som skal ha det overordnede ansvaret for den enkelte journal (journalansvarlig person) og at det skal framgå av journalen hvem som er journalansvarlig. NLSH har utarbeidet nærmere retningslinjer for oppnevning av journalansvarlig person, RL0342 Pasientansvarlig lege/psykolog, informasjonsansvarlig person og journalansvarlig person ved avdelingene i NLSH. Det framgår her at avdelingssjef er ansvarlig for oppnevningen, og at oppnevnt person skal føres i pasientens journal og epikrise. Både DIPS og Bupdata har funksjonalitet for registrering av journalansvarlig person. For at en person skal kunne registreres som journalansvarlig må det på forhånd være oppgitt i vedkommendes tilgangsprofil at han/hun kan tildeles en slik rolle. HNIKT (brukeradministrator for DIPS) opplyser at slik informasjon ikke gis systematisk fra alle aktuelle enheter. Det ble undersøkt om den enkelte journal inneholdt opplysninger om hvem som var utpekt som journalansvarlig person i feltet beregnet for slik informasjon, samt i epikrise. Undersøkelsen ble gjennomført både i DIPS (test 1) og i Bupdata (test 2). 12 / 17

13 Test 1 viste at ingen av de utvalgte journalene i DIPS inneholdt navn på journalansvarlig person i menyen pasientopplysninger. 2 av 20 undersøkte epikriser inneholdt slik informasjon. Ved BUP Ytre Salten inneholdt alle de undersøkte journaler informasjon om journalansvarlig person i Bupdata (test 2). Det er etablert en rutine på at det for poliklinikk er saksansvarlig/ansvarlig behandler som ivaretar rollen som journalansvarlig person. Imidlertid inneholdt bare to av de aktuelle epikrisene navn på ansvarlig behandler Tilgangsstyring Hovedregelen når det gjelder helseopplysninger er taushetsplikt. Dette er nedfelt i blant annet spesialisthelsetjenestelovens 6-1, helseregisterlovens 15 og helsepersonellovens 21. Helseforetakets styring av tilganger til helseopplysninger skal bidra til å sikre at: Tilgangen bare gis i den grad de er nødvendig for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt. Jf. helseregisterloven 13. De som yter helsehjelp gis mulighet til å registrere i pasientens journal. Jf. lov om helsepersonell 39 og 40. Helsepersonell som yter helsehjelp, med mindre pasienten motsetter seg det, gis tilgang til alle helseopplysninger som er nødvendig for å gi forsvarlig helsehjelp. Jf. lov om helsepersonell 45. Pasientens rett til å sperre helseopplysninger for helsepersonells innsyn kan ivaretas. Bare den databehandlingsansvarlige, databehandlere og den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet, gis tilgang. Jf. helseregisterloven Autorisasjon og oppretting av tilgang for nye medarbeidere Ved ansettelse signerer medarbeidere taushetserklæring. Den enkelte leder gir autorisasjon for behandling av helseopplysninger ved å bestille tilganger til informasjonssystemet og aktuelle applikasjoner. Brukere som har flere roller/ansettelsesforhold autoriseres selvstendig for den enkelte rolle. Bestilling av tilganger sendes via e-post til HNIKT/brukeradministrator Bupdata. Det benyttes ikke standardiserte skjema. Denne praksis avviker fra interne rutinebeskrivelser Tilgangsstyring i DIPS Tilgangsstyringen i DIPS er basert på brukerroller og maler for de vanligste stillingskategoriene. Beslutningsstyrt tilgang er ikke implementert. Hovedtilgangen styres av avdelingstilhørighet og at pasienten er aktiv/relevant ved den aktuelle enheten. Brukeradministrator har opplyst at det er behov for en gjennomgang av tilgangsmatrisen for somatisk virksomhet for å sikre at denne er oppdatert og i samsvar med tjenestelige behov. Internrevisjonen har ikke vurdert om den enkelte brukerrolle har riktige tilganger. Systemadministrator ved HNIKT oppretter tilganger etter bestilling fra leder ved aktuell enhet. Internrevisjonen har gjennomgått 15 bestillinger av tilgang til DIPS (test 4). Testen bekrefter at bestillinger er sendt fra leder. Ettersom det ikke benyttes standardiserte skjema eller lignende ved bestilling er det risiko for at vesentlige opplysninger om brukeren eller hvilke tilganger som bestilles mangler. Testen viste at bare 3 av 15 bestillinger inneholdt opplysninger om brukerens personnummer. Tre bestillinger manglet også fødselsdato, to av disse var imidlertid bestilling om endring i eksisterende tilganger. Alle leger har nødrettstilgang (blålystilgang) som gir anledning til å lese journalopplysninger for pasienter som ellers ikke er aktive for dem. Slik tilgang har også personell i Mottakelsen og enkelte på Skrivestuen. 13 / 17

14 Bruk av blålys skal begrunnes i journalen i hvert enkelt tilfelle. Det ble opplyst at slik begrunnelse ikke alltid blir gitt på tilfredsstillende måte, og at det ikke er etablert rutiner som gjør at dette blir fulgt opp. Bruk av nødrettstilgang (blålys) følges ikke opp via regelmessig gjennomgang av logg Tilgang til røntgeninformasjon Det er opprettet tilganger som gjør at ansatte ved Røntgenavdelingen, UNN Tromsø, som er autorisert for dette kan logge seg inn i røntgenbildearkivet i Bodø, søke fram aktuell pasient og hente røntgenbilder. Tilsvarende har ansatte ved røntgenavdelingen i Bodø som er autorisert for det anledning til å hente røntgenbilder fra Helse Finnmark HF (Hammerfest og Kirkenes), UNN HF (Tromsø, Harstad, Narvik) og Helgelandssykehuset HF (Sandnessjøen). Muligheten for å hente bilder direkte benyttes i hovedsak i forbindelse med overføring av pasienter. Denne måten å hente helseopplysninger på er ikke tillatt i henhold til gjeldende regelverk. Praksisen har vært kjent for regionens ledelse over lengre tid. For å legge til rette for lovlig overføring av røntgenbilder og radiologisk informasjon mellom HF-ene ble Arcidis implementert i NLSH opplever at funksjonaliteten i programvaren ikke er tilfredsstillende, og har av denne grunn valgt å videreføre eksisterende tilganger på tvers av HF-ene Tilgangsstyring i Bupdata Systemadministrator ved BUPA oppretter tilganger i Bupdata etter bestilling fra enhetens leder. Rollemaler for aktuelle funksjoner/roller er utarbeidet og benyttes ved opprettelse av nye tilganger. Dersom enkeltpersoner gis tilganger som avviker fra aktuell rollemal kommenteres dette i brukerens profil. Miljøpersonalet ved døgnenhetene i BUPA har i henhold til gjeldende tilgangsmatrise begrensede tilganger. De har blant annet ikke tilgang til å registrere pasientopplysninger om nye pasienter. I vaktsituasjoner utenom ordinær arbeidstid må imidlertid miljøpersonell utføre slike oppgaver. Tilgangsbehovet er løst ved at vaktpersonell benytter en felles påloggings-id som gir dem rettighetene i Bupdata som behøves i forhold til arbeidsoppgavene på vakt. Dette gir også vaktpersonell ubegrenset lesetilgang til tidligere pasienter/dokumenter. Som et resultat av denne praksisen har man ikke sporbarhet i forhold til hvem som gjør oppslag/legger inn opplysninger i Bupdata i vaktsituasjoner. Barn/ungdom har krav på undervisning når de er innlagt i helseinstitusjon, jf. pasientrettighetsloven 6-4. Nordlands Fylkeskommune driver pasientskole ved NLSH. For å kunne gi tilpasset undervisning til pasienter ved BUPA trenger lærerne opplysninger om den enkeltes helse. BUPA har valgt å løse dette behovet ved å autorisere utvalgte lærere for tilgang til begrenset informasjon i Bupdata. Lærerne registrerer også miljødokumentasjon om den enkelte elev direkte i Bupdata. Internrevisjonen har etterspurt avtale som regulerer dette forholdet uten at dette er blitt framskaffet. Internrevisjonen vurderer de etablerte tilganger for lærere som brudd på helseregisterlovens 13 ettersom de ikke er underlangt behandlingsansvarliges instruksjonsmyndighet Tilbaketrekking av autorisasjon og tilganger Den enkelte leder er ansvarlig for å trekke tilbake autorisasjoner når medarbeidere slutter, går ut i permisjon eller går over i ny stilling. Ved midlertidige ansettelser legges det inn sluttdato i systemet. Disse følges opp av brukeradministrator og blir avsluttet når ansettelsesforholdet opphører. Det blir ikke alltid gitt varsel til brukeradministrator om fast ansatte som slutter. NLSH gjennomfører ikke regelmessige gjennomganger for å sjekke om tilganger samsvarer med aktive ansatte/tjenestelige behov. 14 / 17

15 Internrevisjonen har testet tilbaketrekking av tilganger i DIPS (test 3). Testen viste at det var registrert 13 personer med tilganger som ansatt ved Akuttmottaket (3 a) uten at aktivt tilsettingsforhold var oppgitt fra leder av enheten. Tilsvarende tall for Radiologisk enhet Bodø (3 b) var 27 personer. I dette tallet inngår trolig radiologer. Korrigert for dette er det ca 11 personer uten bekreftet ansettelsesforhold ved enheten som har tilgang til DIPS Kontrolltiltak for å avdekke urettmessig tilegnelse av helseopplysninger Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger som behandles etter denne loven uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift, jf. helseregisterloven 13 a. NLSH har ikke iverksatt rutinemessige tiltak for å avdekke eventuelt misbruk av tilganger. Nødrettstilgang (blålystilgang) følges heller ikke opp for å verifisere tjenestelige behov. Fra flere ledere ble det påpekt at HF-et mangler en felles praksis for hvordan slike tilgangskontroller eventuelt skal gjennomføres og hvilke konsekvenser eventuelle brudd på lovverket skal medføre Ivaretakelse av pasientens rett til å skjerme helseopplysninger for innsyn DIPS har funksjonalitet som gjør det mulig å sperre både enkeltdokumenter og enkelte personer (personell) fra innsyn. Bupdata mangler funksjonalitet for å sperre enkeltdokumenter. NLSH har ikke skriftlige rutiner om sperring av journalopplysninger. Av intervjuene kom det fram at det også er lite erfaring med krav om sperring av journalopplysninger i organisasjonen. Likevel ble det gitt uttrykk for at man mener de få henvendelsene som er mottatt har blitt håndtert tilfredsstillende. Ikke alle enheter gir rutinemessig informasjon om pasientens rett til sperring av journalopplysninger. Observerte forbedringsområder Behandling av helseopplysninger Det er ikke klart definert hvordan foretakets samlede journalsystem er organisert. Det framkommer ikke i pasientjournalen om det finnes journaldokumentasjon om vedkommende flere steder. For somatisk virksomhet framgår det ikke av journalen (i DIPS) hvem som er journalansvarlig person. Det er ikke samsvar mellom rutinebeskrivelse og praksis for autorisasjon og bestilling av tilganger. Det gjennomføres ikke regelmessige kontroller for å sjekke om tilganger samsvarer med tjenestelige behov. Det er ikke iverksatt systematiske tiltak som gjør det mulig å avdekke eventuelt misbruk av tilganger. Bruk av nødrettstilgang (blålys) følges ikke opp ved gjennomgang av logg. Det foreligger ikke skriftlige rutiner om sperring av journalopplysninger. Det eksisterer gjensidige tilganger, som ikke er i samsvar med gjeldende lovverk, til å hente røntgeninformasjon på tvers av HF-grensene. Miljøpersonell på vakt benytter felles autentiseringskriteria for pålogg til Bupdata. Det gis tilgang i Bupdata til personer som ikke er underlagt behandlingsansvarliges instruksjonsmyndighet. Det har ikke vært gjennomført systematisk brukeropplæring i DIPS, og det eksisterer i liten grad felles prosedyrer for bruk av DIPS i foretaket. 15 / 17

16 5.4 Ivaretakelse av informasjonssikkerhet hos databehandlere og leverandører Den behandlingsansvarlige er ansvarlig for at helseopplysninger blir behandlet i henhold til gjeldende krav. Dette gjelder selv om databehandlere og leverandører som behandler helseopplysninger eller benytter informasjonssystemet på vegne av den behandlingsansvarlige har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet. Den behandlingsansvarlige skal etablere klare ansvars- og myndighetsforhold overfor databehandlere og leverandører. Dette skal være beskrevet i en særskilt avtale. Den behandlingsansvarlige skal videre forsikre seg om at databehandlere og leverandører sørger for tilfredsstillende informasjonssikkerhet. Jf. helseregisterlovens 16 og 18, samt personopplysningsforskriftens Normen krever eksplisitt at behandlingsansvarlig i forbindelse med sikkerhetsrevisjoner skal gjøre en vurdering av ivaretakelse av informasjonssikkerhet hos kommunikasjonspartnere, databehandlere og leverandører. Databehandleravtalen mellom NLSH og HNIKT omtaler HNIKTs plikter og NLSHs oppfølging. Det framgår her at NLSH har ansvar for å påse at HNIKTs informasjonssikkerhet er tilfredsstillende. Avtalen slår videre fast at NLSH skal ha tilgang til dokumentasjon hos HNIKT og har rett til å gjennomføre sikkerhetsrevisjoner, eventuelt via tredjepart, hos HNIKT. PVOs oversikt over behandlinger av helseopplysninger (se pkt ) inneholder opplysninger om databehandlere, samt hvem som er driftsansvarlig og leverandør for det enkelte system. Det framgår imidlertid ikke om leverandøren har fjerntilgang til NLSHs nettverk (og helseopplysninger). Ettersom PVOs oversikt er mangelfull (se pkt ) inneholder den heller ikke fullstendige opplysninger om NLSHs databehandlere. Gjennom intervju kom det fram at det i forbindelse med pasientjournal er etablert minst én databehandleravtale som ikke er nevnt i denne oversikten (gjelder skrivetjeneste). Internrevisjonen har mottatt kopi av avtalen. Ingen av de intervjuede kunne bekrefte eller avkrefte om NLSH benytter flere databehandlere, og om det eventuelt er inngått databehandleravtale med disse. NLSH har i sine sikkerhetsrevisjoner (se pkt ) ikke vurdert ivaretakelse av informasjonssikkerhet hos kommunikasjonspartnere, databehandlere og leverandører. Internrevisjonen har fått opplyst at før inngåelse av databehandleravtale knyttet til skrivetjeneste ble det gjennomført særskilt vurdering av risikoforhold i forbindelse med behandling av helseopplysninger hos databehandler. Ut over dette har NLSH ikke iverksatt tiltak som gir grunnlag for å vurdere hvorvidt sikkerhetsstrategien hos databehandlere og leverandører gir tilstrekkelig sikkerhet for helseopplysninger som behandles. Observerte forbedringsområder databehandlere og leverandører NLSHs oversikt over behandlinger av helseopplysninger inneholder ikke oversikt over alle foretakets databehandlere og leverandører med tilgang til kliniske applikasjoner. NLSH har ikke iverksatt tiltak for jevnlig å forsikre seg om at sikkerhetsstrategien hos databehandlere og leverandører gir tilfredsstillende informasjonssikkerhet. 16 / 17

17 6 KONKLUSJON OG ANBEFALINGER 6.1 Konklusjon i forhold til revisjonens formål Basert på de undersøkelser som er foretatt ved Nordlandssykehuset HF konkluderer Internrevisjonen med at behandlingen av helseopplysninger innenfor enkelte områder ikke er i samsvar med gjeldende regelverk. Nordlandssykehuset HF sitt opplegg for internkontroll inneholder svakheter som bør forbedres for å sikre at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger. 6.2 Anbefalinger Internrevisjonen anbefaler Nordlandssykehuset HF å iverksette følgende tiltak: 1. Sørge for at utveksling av røntgeninformasjon på tvers av HF-ene samsvarer med gjeldende lovverk (eventuelt i samarbeid med andre aktører i Helse Nord), og fjerne tilgangene for ansatte ved andre HF til å hente røntgeninformasjon fra NLSH. 2. Gi ansatte ved BUPA som yter helsehjelp de tilganger i Bupdata som er nødvendige for å yte forsvarlig helsehjelp og registrere i pasientens journal, via pålogg med unike autentiseringskriteria, og fjerne alle muligheter for pålogging til Bupdata via felles bruker-id. 3. Finne alternative samarbeidsformer i forbindelse med pedagogisk virksomhet for pasienter ved BUPA som ivaretar behov for informasjon og dokumentasjon innenfor gjeldende regelverk, og fjerne tilgangene til Bupdata for personer som ikke er underlagt NLSHs eller databehandlers instruksjonsmyndighet. 4. Kartlegge mangler i personvernombudets oversikt over behandlinger av helseopplysninger, og etablere rutiner som sikret at oversikten kontinuerlig er oppdatert og fullstendig, inkludert informasjon om databehandlere. 5. Fastsette nivå for akseptabel risiko forbundet med behandling av personopplysninger og videreføre arbeidet med risikovurderinger, herunder: etablere et system som sikrer at gjennomførte risikovurderinger blir fulgt opp og sørge for at det gjennomføres nye risikovurderinger før iverksetting av endringer som kan påvirke informasjonsbehandlingen. 6. Definere hvordan foretakets samlede journalsystem er organisert og etablere rutiner som sikrer at informasjon i den enkelte pasientjournalen samsvarer med dette. 7. Innføre felles rutiner for registrering av journalansvarlig person i DIPS. 8. Iverksette systematiske tiltak som gjør det mulig å avdekke eventuelt misbruk av tilganger. 9. Iverksette tiltak for jevnlig å forsikre seg om at sikkerhetsstrategien hos databehandlere og leverandører gir tilfredsstillende informasjonssikkerhet. 10. Videreutvikle helseforetakets internkontrollrutiner med sikte på forbedring av øvrige svakheter Internrevisjonen har påpekt i denne rapporten 17 / 17

18 7 VEDLEGG Vedlegg 1 Deltakeroversikt Navn Funksjon Avd./enhet Oppstartsmøte Intervju Oppsummeringsmøte Eivind Solheim Direktør Jørn G. Stemland Ass. direktør Otto Mathisen Fagdirektør Fagavdelingen Eystein Presteng Larsen Informasjonssikkerhetsansvarlig Fagavdelingen, KVAM Alf Leinan Personvernombud/IS-rådgiver Fagavdelingen, KVAM Kristian Pedersen IKT-sjef Kerstin Thoresen Personalsjef Personalavdelingen Per-Ingve Norheim Seksjonsleder Fagavdelingen, KVAM Trond A. Grøtheim Avdelingsleder Akuttmottaket Lill Angelsen Avdelingsleder Diagnostisk klinikk, Bildediagn.avd. Elin Kosmo Enhetsleder Diagnostisk klinikk, kontortjeneste Randi Brendberg Radiolog Diagnostisk klinikk, Bildediagn.avd. Jon Thomas Finnson Enhetsleder BUPA, BUP Ytre Salten Hilde Furnes Enhetsleder Psykisk helsevern/rus, kontor Terje Jonassen Klinisk sosionom BUPA, BUP Ytre Salten Per-Willy Antonsen Avdelingsleder/avd.overlege BUPA, BUP Ytre Salten Vera Nygård DIPS-administrator Helse Nord IKT Terje Svendsen Kvalitetsleder Fagavdelingen, KVAM Fra Internrevisjonen i Helse Nord RHF: Navn Funksjon Avd./enhet Oppstartsmøte Intervju Oppsummeringsmøte Hege Knoph Antonsen Internrevisor Helse Nord RHF Tor Solbjørg Leder av internrevisjonen Helse Nord RHF

19 Vedlegg 2 - Dokumentoversikt Dokumenter innsendt/levert av revidert enhet i forkant av, eller i forbindelse med, intervju. Styrende dokumenter (retningslinjer, prosedyrer etc.): RL0277 Informasjonssikkerhet i Nordlandssykehuset HF policydokument, versjon 2 PR6159 Ledelsens gjennomgang, versjon 1.1 PR11826 Sikkerhetsrevisjon informasjonssikkerhet, versjon 1 PR6161 Risikovurderinger Informasjonssikkerhet, versjon 1 PR6269 Avviksbehandling informasjonssikkerhet, versjon 2 RL0341 Informasjonssikkerhet brukerinstruks for NLSH sine medarbeidere, versjon 2 RL0553 Oppbevaring av manuelle registre, versjon 1 PR6167 Partnere og leverandører Informasjonssikkerhet (med vedlegg), versjon 1 PR10683 Tilgangs og adgangs kontroll (autorisasjon), versjon 2 PR10553 Innføring i ansattguide, versjon 1 RP0342 Pasientansvarlig lege/psykolog, informasjonsansvarlig person og journalansvarlig person ved avdelingene i NLSH, versjon 1 PR21500 Rutine for tilgang til Bupdata, versjon 1 PR12120 Vakthavende legers tilgang til Bupdata og godkjenning av diktat, versjon 1.3 Rutine for innmelding av nye brukere av Bupdata (udatert) RL0366 Pasientansvarlig behandler ved BUPA, versjon 1 RL0237 Tilsetting - reglement Utkast til nytt styringssystem for informasjonssikkerhet i Helse Nord, versjon 0.98 Oversikter/planer: Organisasjonskart Nordlandssykehuset HF Oversikt over forvaltningsgruppestruktur for PAS/EPJ under innføring Plan for internrevisjon NLSH OL0941 Brukerroller og tilgangsmatrise DIPS, NLSH Bodø, Psykiatri, versjon 1 (nyere versjon overlevert ifm intervju) Brukerroller og tilgangsmatrise DIPS, somatikk Bodø Brukerroller og tilgangsmatrise, Bupdata Inngåtte avtaler: Databehandleravtale mellom Nordlandssykehuset HF og Helse Nord IKT Driftsavtale (SLA) mellom Nordlandssykehuset HF og Helse Nord IKT Kontraktfestet avtale mellom Nordlandssykehuset og IT-Con A.S (IS-rådgiver/personvernombud) Databehandleravtale mellom Lena s Helsepersonell AS og Nordlandssykehuset HF.

20 Resultatdokumentasjon: Oversikt over elektroniske informasjonsbehandlingssystemer/register/utstyr som behandler personopplysninger. Utfylte meldeskjema til personvernombudet - melding om behandling av personopplysninger. Rapport fra ledelsens gjennomgang Rapport fra intern revisjon ved Salten Psykiatriske Senter, B-posten, datert Rapport fra intern revisjon ved Kirurgisk- og gynekologisk avdeling, datert Rapport fra Questback-undersøkelse om informasjonssikkerhet mars 2008 og dokumentasjon fra oppfølging av denne. Avviksmeldinger fra 2008 og 2009 som gjelder personvern/informasjonssikkerhet. Brev til Helse Nord RHF datert : Vedrørende pålegg om nødvendige risiko- og sårbarhetsanalyser. Oversikt over gjennomførte risikovurderinger vedlagt. Eksempel på ledelsesrapport etter gjennomført ROS-analyse. Mal for tilbudsbrev og arbeidsavtale fra Personalavdelingen med tilhørende informasjonsskriv. Innkallinger til møter i journalutvalgets arbeidsutvalg

21 [Skriv inn tekst] Behandlingsansvarlig: Nordlandssykehuset HF Vedlegg 3 Oversikt over krav ifm internrevisjonen: Internkontroll ved behandling av helseopplysninger Oversikten inneholder utvalgte krav sett i forhold til revisjonens formål og fokusområder utledet fra: Helseregisterloven Helsepersonelloven Personopplysningsforskriften Journalforskriften Norm for informasjonssikkerhet i helsesektoren Nr Krav Ref. Er kravet Kravet er Kommentar ivaretatt ivaretatt av: Ja Nei HF HNIKT Hjemmel for/meldeplikt om behandlingsrettet helseregister 1. Er det sendt pålagte meldinger til Datatilsynet om behandlingsrettet 29 Mangler for pasientjournal helseregister? Evt. til Personvernombud dersom virksomheten har dette Er meldingen(e) til Datatilsynet/Personvernombud fornyet siste 3 år? Er det bare etablert behandlingsrettede helseregister med hjemmel i 6 Helseregisterloven 6 (ikke 6a og 6b) Grunnlag for internkontroll ved behandling av helseopplysninger 4. Er ansvar og oppgaver for informasjonssikkerhet dokumentert i et 2-7 organisasjonskart/beskrivelse? 5. Oppfattes og praktiseres ansvars- og oppgavefordeling i samsvar med beskrivelse? 2-7 Ikke oppdatert iht organisering 6. Er det fastsatt sikkerhetsmål for virksomheten? Er det utarbeidet sikkerhetsstrategi for å nå sikkerhetsmålene? Er det dokumentert nivå for akseptabel risiko for konfidensialitet, tilgjengelighet, integritet og kvalitet? av 4

22 [Skriv inn tekst] Behandlingsansvarlig: Nordlandssykehuset HF Nr Krav Ref. Er kravet ivaretatt Kravet ivaretas av: Ja Nei HF HNIKT Risiko- og sårbarhetsanalyser 9. Er det gjennomført og dokumentert risikovurderinger av alle 2-4 informasjonsbehandlingssystemer eller registre som inneholder helse- og 4.6 personopplysninger? 10. Blir det gjennomført og dokumentert risikovurderinger før det iverksettes 2-4 organisatoriske endringer som kan påvirke informasjonsbehandlingen? 11. Blir det gjennomført og dokumentert risikovurderinger før det iverksettes tekniske endringer i utstyr og/eller programvare som kan påvirke informasjonsbehandlingen? Kommentar Flere er gjennomført. Plan for videreføring av arbeidet foreligger. 12. Er resultatet av risikovurderingene sammenlignet med fastlagt nivå for akseptabel risiko? 4.6 Akseptabel risiko ikke fastlagt 13. Følges resultater fra risikovurderingene opp? Ikke av HF-ledelse Journalansvar 14. Utpekes det alltid en person som har det overordnede ansvar for den enkelte journal? Framgår det av journalen hvem som er journalansvarlig? 6 Tilgangsstyring 16. Er det bare den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet som kan gis tilgang til helseopplysninger? 13 Gjelder Bupdata og røntgeninformasjon 17. Autoriseres bruker selvstendig for hver enkelt rolle? Har alle personer unike autentiseringskriteria? Fellespassord i Bupdata 19. Autoriseres kun teknisk personell med særskilt behov for tilgang for større mengder helse- og personopplysninger? Vil bli undersøkt hos HNIKT 20. Er det iverksatt tiltak slik at mulig misbruk kan avdekkes? Er det etablert prosedyre for nødrettstilgang? av 4