Revisjonsdato: 18. desember 2014 Rapportdato: 6. mars 2015 (utkast), 25. mars 2015 (endelig, godkjent versjon)

Transkript

1 Rapport fra intern revisjon av nasjonale medisinske kvalitetsregistre ved St. Olavs Hospital HF tilknyttet Hjerte- og karregisteret ved Folkehelseinstituttet Revisjonsdato: 18. desember 2014 Rapportdato: 6. mars 2015 (utkast), 25. mars 2015 (endelig, godkjent versjon) 1. Deltakere Fra St. Olavs Hospital HF Navn Rolle Bent Indredavik Faglig leder, Norsk hjerneslagregister Eva Kjøl Slind Koordinator, Norsk hjertesviktregister Hanne Karlsaune Koordinator, Norsk hjerteinfarktregister Hild Fjærtoft Enhetsleder, registerenheten John-Petter Skjetne Produktansvarlig, MRS 1, HEMIT Martin Altreuther Faglig leder, Norsk karkirurgisk register (NORKAR) Morten Grundtvig Faglig leder, Norsk hjertesviktregister Ole Morten Grodås Norsk Helsenett 2 Randi Skogseth-Stephani Koordinator, Norsk hjerneslagregister Rune Mo Overlege, Norsk hjertesviktregister Wenche Rønning Koordinator, Norsk karkirurgisk kvalitetsregister (NORKAR) Øyvind Røset Personvernombud, St. Olavs Hospital HF Fra Folkehelseinstituttet Navn Berit Svellingen Hilde Tamburplass Ingvei Seliussen Janne Dyngeland Marta Ebbing Ragnhild Holst Angell Rolle Sikkerhetsleder/personvernombud, Avdeling for kvalitet Kvalitetssjef helseregistre, Avdeling for kvalitet IT-prosjektleder, Avdeling for helseregistre Registerkoordinator, Avdeling for helseregistre Avdelingsdirektør, Avdeling for helseregistre Jurist, Avdeling for forskningsadministrativ støtte og juridiske tjenester 2. Bakgrunn og revisjonsgrunnlag Det er ved helseregisterloven 3 og ved forskrift 4 etablert et nasjonalt register over hjerte- og karlidelser med Folkehelseinstituttet (FHI) som databehandlingsansvarlig. St Olavs Hospital HF er 1 Medisinsk registreringssystem, brukes av de fire nasjonale kvalitetsregistrene ved St. Olavs Hospital HF 2 Norsk Helsenett drifter servere og annet teknisk utstyr og sørger for oppetid og sikkerhet ihht. Service Level Agreement med St. Olavs Hospital HF. HelseCERT er del av Norsk Helsenett. 1

2 databehandler for fire nasjonale medisinske kvalitetsregistre med hjemmel i denne forskriften, der det er inngått databehandleravtaler 5 mellom FHI og St. Olavs Hospital HF. De fire er: o o o o Norsk hjerneslagregister Norsk hjerteinfarktregister Norsk hjertesviktregister Norsk karkirurgisk register (NORKAR) FHI benyttet seg av sin rett og plikt til å utføre sikkerhetsrevisjon av de fire registrene. Det vises til pkt. 10 i databehandleravtalene og til personopplysningsforskriften 6 kap. 2. Formålet med revisjonen var gjennom samarbeid og dialog å styrke informasjonssikkerheten og personvernet samt kvaliteten i registrene. Dette i forhold til de krav lover, forskrifter og Normen for informasjonssikkerhet i helsesektoren setter. Det er vedtatt en ny helseregisterlov som gjelder fra 1. januar Hjerte- og karregisterforskriften vil fortsette å gjelde inntil den blir revidert. 3. Revisjonens form For å få en effektiv revisjon med begrenset bruk av tid ved møtet på St Olavs Hospital ble det i forkant av revisjonen sendt ut brev med nøkkelspørsmål FHI ønsket besvart, og FHI hadde mottatt svar fra alle fire registre før møtet (omtales som «svarbrev fra St. Olavs Hospital HF»). Revisjonen foregikk deretter under et møte med varighet 3 timer ved St Olavs Hospital. Under dette møtet konsentrerte partene seg om følgende problemstillinger i ny helseregisterlov: Om kryptering i 21. Sikring av konfidensialitet, integritet og tilgjengelighet Om innsyn, logging og sporing i 24. Rett til informasjon og innsyn Om interkontroll i 22. Internkontroll FHI ble godt mottatt av representanter fra St. Olavs Hospital HF / kvalitetsregistrene og representanter fra HEMIT og Norsk Helsenett i følge oversikt. 4. Sammendrag og konklusjon Svar på tilsendte spørsmål fra FHI ble gjennomgått med særlig fokus på hvordan de nye kravene til sporing og logging og rett til innsyn i slik logg for de registrerte som følger av ny helseregisterlov 7 er løst. Det fremkom at de fire kvalitetsregistrene ved St. Olavs Hospital HF er godt samkjørte og har etablert felles prosedyrer. Dette vurderes som positivt. Videre ble det tydelig at databehandlingsansvarlig og databehandler opplever mange av de samme utfordringene, og at det er nyttig å utveksle erfaringer og drøfte løsninger. Det ble ikke funnet avvik eller anmerkninger. Det ble identifisert tiltak (se kapittel 8) for å sikre at kravene til internkontroll ivaretas på en optimal måte, og for å sikre kontinuitet i samarbeidet mellom FHI og St Olavs Hospital HF. 3 fra Databehandleravtalene finnes tilgjengelig på 6 Referanse til personopplysningsforskriften

3 FHI ønsker regelmessighet og forutsigbarhet i oppfølgingen av databehandleravtalene, og vil innføre en rutine med stedlig revisjon av minst ett av de tre helseforetakene (St. Olavs Hospital HF, Helse Bergen HF og Oslo universitetssykehus HF) med kvalitetsregistre hvert år. Dette medfører at neste planlagte revisjon med oppmøte ved St. Olavs Hospital HF blir i I de to mellomliggende årene (2015 og 2016), vil det bli foretatt brevlig revisjon hvor FHI sender et spørreskjema 8 til St. Olavs Hospital HF som ønskes besvart. 5. De viktigste revisjonspunktene Følgende spørsmål og svar var de mest sentrale å få belyst i revisjonen, de er derfor tatt med i revisjonsrapporten. For utfyllende opplysninger vises til brev fra FHI datert 1. desember 2014 og svarbrev fra St Olavs Hospital HF mottatt ved FHI før møtet 11. desember 2014 vedlagt. Intern kryptering Svar fra St. Olavs Hospital HF for alle fire registre: Fødselsnummer er kryptert med Aes128 og lagret i en egen database separat fra de medisinske opplysningene. Logging og sporing Svar fra St. Olavs Hospital HF for alle fire registre: St. Olavs Hospital HF har løst kravet til logging og ved at søk lagres, men ikke resultatet av søk. Loggene inngår i databasen, og kan dermed hentes frem i ettertid. På forespørsel fra de registrerte om innsyn i logg må resultat av søket gjenskapes, noe som er en manuell jobb som kan ta lang tid. Se svarbrev fra St. Olavs Hospital HF for mer informasjon. Svaret fra St. Olavs Hospital HF på spørsmål om logging og sporing anses som tilfredsstillende. St. Olavs Hospital HF ble bedt om å oppdatere prosedyren for over logging og sporing i de fire kvalitetsregistrene. FHI har fått presisert muntlig fra Helse- og omsorgsdepartementet at søk i forbindelse med koblinger er unntatt fra kravet til logging og sporing. For øvrig ble det opplyst at Norsk Helsenett har eget prosjekt vedrørende logging og sporing og logganalyse. Internkontroll St. Olavs Hospital HF har etablert internkontroll-rutiner som er samkjørte og i stor grad felles for de fire kvalitetsregistrene. Dette anser FHI som positivt da det tyder på at registrene samarbeider godt. Kvalitetsregistrene benytter St. Olavs Hospital HF sitt system for avvikshåndtering. Dette ble demonstrert. Se svarbrev fra St. Olavs Hospital HF for mer informasjon. Svaret fra St. Olavs Hospital HF på spørsmål om logging og sporing anses som tilfredsstillende. 8 Liknende skjema brukes i FHIs internrevisjon av øvrige sentrale helseregistre som FHI er databehandlingsansvarlig for. 3

4 Funn ved revisjonen Avvik Ingen. Anmerkninger Ingen. 6. Andre punkter ROS analyser FHI ber om at St. Olavs Hospital HF gjennomfører en risiko- og sårbarhetsanalyse (ROS) etter at den tekniske driften for registrene er flyttet til Norsk Helsenett, dvs. innen sommeren 2015, og oversender rapporten fra analysen til FHI. FHI ber St. Olavs Hospital HF utføre årlig ROS analyse for all databehandling i tråd med databehandleravtalen og sender resultatet fra analysen til FHI. Håndtering av forespørsler om innsyn i egne data Svar på spørsmål fra St. Olavs Hospital HF: Forespørsler fra den registrerte om innsyn i egne data skal videresendes FHI, jf. databehandleravtalen punkt 5. FHI sin praksis ved utlevering av data til den registrerte fra basisregisteret, er å gi ut akkurat de data som er registrert, for eksempel ICD-10 koder, sammen med kodeverksforklaring. Det gis ingen fortolkning av det som er registrert. Utveksling av informasjon om hvem som har bedt om innsyn i HKR basisregisteret og eventuelle kvalitetsregistre skal ikke skje ved utveksling av fødselsnummer per e-post, men over telefon. FHI kommer tilbake med en nærmere spesifikasjon av hvordan utlevering av data til den registrerte fra flere registre skal håndteres. Håndtering av krav om retting/sletting av data fra Hjerte- og karregisteret Svar på spørsmål fra St. Olavs Hospital HF: Eventuell retting eller sletting av opplysninger skal skje i de lokale kvalitetsregistrene der opplysningene har oppstått, og ikke i det nasjonale registeret. 4

5 Tiltaksliste Følgende tiltak er avtalt: Nr. Beskrivelse av tiltak Ansvarlig Frist 1 Sende FHI kopi av oppdatert databehandleravtale som er inngått mellom St. Olavs Hospital HF og Norsk Helsenett St. Olavs Snarest 2 Oppdatere prosedyre for logging og sporing og sende til FHI St. Olavs 20. juni Gjennomføre ROS etter at den tekniske driften er flyttet til Norsk Helsenett, og oversende resultat til FHI 4 Gjennomføre årlig ROS i tråd med databehandleravtalens pkt 10, og oversende resultat til FHI 5 Utforme vedlegg til databehandleravtalene med korrekte henvisninger etter ny helseregisterlov 6 Revidere databehandleravtalene når ny Hjerte- og karregisterforskrift er vedtatt 7 Innfører at fødselsnummer ikke sendes per e-post, selv om de står alene uten andre opplysninger 8 Gjennomføre brevlig revisjon (spørreskjema) og stedlig revisjon (oppmøte) i tre-års syklus St. Olavs St. Olavs 1. oktober 2015 Årlig FHI Vår 2015 FHI FHI FHI Avhenger av ny forskrift Snarest Fra vår Vedlegg: Brev fra FHI til St. Olavs Hospital HF datert 1. desember 2014 Svarbrev fra St Olavs Hospital HF mottatt ved FHI 11. desember

6 Revisjon av nasjonale medisinske kvalitetsregistre tilknyttet Hjerte- og karregisteret ved St. Olavs Hospital 18. desember 2014 Vi viser til tidligere samtaler og e-post korrespondanse om saken. Det er ved gjeldende helseregisterlov 1 og ved forskrift 2 etablert et nasjonalt register over hjerte- og karlidelser med Folkehelseinstituttet (FHI) som databehandlingsansvarlig. St Olavs Hospital er databehandler for fire nasjonale medisinske kvalitetsregistre med hjemmel i denne forskriften, der det er inngått databehandleravtaler 3 mellom FHI og St. Olavs Hospital. De fire er: o Norsk hjerneslagregister o Norsk hjerteinfarktregister o Norsk hjertesviktregister o Norsk karkirurgisk register (NORKAR) FHI ønsker å benytte oss av vår rett og plikt til å utføre sikkerhetsrevisjon av de fire registrene. Vi viser til pkt. 10 i databehandleravtalene og til personopplysningsforskriftens kap 2. Formålet med revisjonen er å styrke informasjonssikkerheten og personvernet samt kvaliteten i registrene. Dette i forhold til de krav lover, forskrifter og Normen for informasjonssikkerhet i helsesektoren setter. Dette mener vi best gjøres gjennom samarbeid og dialog. For at vi alle skal kunne forberede oss og gjøre revisjonen så målrettet og effektiv som mulig ønsker vi tilsendt svar på spørsmålene nedenfor innen 11. desember Ta gjerne kontakt før det ved spørsmål og uklarheter Forskrift om innsamling og behandling av helseopplysninger i Nasjonalt register over hjerte- og karlidelser (Hjerte- og karregisterforskriften) av Databehandleravtalene finnes tilgjengelig på 1

7 Noen spørsmål om intern kryptering, logging og sporing I gjeldende og ny helseregisterlov 4 som antas å gjelde fra 1. januar 2015, settes krav til intern kryptering, og i ny helseregisterlov settes dessuten krav til logging og sporing av tilgang til eller utlevering av direkte personidentifiserbare helseopplysninger. Vi ønsker særlig å se på følgende områder: 1. Om kryptering i 21. Sikring av konfidensialitet, integritet og tilgjengelighet «I registre som er etablert med hjemmel i 10 eller 11, skal direkte personidentifiserende kjennetegn lagres kryptert.» Spørsmål til St. Olavs Hospital: o Hvordan er kravet om intern kryptering løst i de fire registrene? 2. Om innsyn, logging og sporing i 24. Rett til informasjon og innsyn «Rett til informasjon og innsyn følger av personopplysningsloven 18 flg. Den registrerte har rett til innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer, fra helseregistre etter 8 til 11. Departementet kan i særlige tilfeller gi den databehandlingsansvarlige en tidsbegrenset dispensasjon fra plikten til å gi innsyn etter dette leddet.» Spørsmål til St. Olavs Hospital: Hvordan er kravet om informasjon og innsyn, logging og sporing, løst i de fire registrene? Vi ønsker svar på følgende: o Hvilken rutine er etablert for de registrertes innsyn i egne data? o Hvor mange personer med hvilke funksjoner har tilgang til direkte personidentifiserbare opplysninger (helseopplysninger tilknyttet fødselsnummer, evt. navn) i de fire registrene? o Kan dere ved forespørsel svare på hvem som har gjort oppslag på direkte personidentifiserbare opplysninger og når oppslaget ble gjort? o Logges også søk hvor personidentifiserbare opplysninger inngår i et større utvalg, for eksempel søk/oppslag på alle behandlete pasienter på en gitt dato? o Hvor lenge oppbevares loggene? o Hvilke rutiner er etablert for de registrertes innsyn i logg for hvem som har hatt tilgang til eller fått utlevert direkte personidentifiserbare opplysninger? FHI har utarbeidet et skjema for enkel og komplett oversikt over hvordan vi etterlever logging og sporingskravene for de sentrale helseregistrene vi er databehandlingsansvarlige og databehandlere for. Utfylt skjema for Hjerte- og karregisterets basisdel er vedlagt

8 Vi ønsker tilsvarende skjema utfylt for hvert av kvalitetsregistrene og ber dere gjøre dette. Noen spørsmål om internkontroll I gjeldende og ny helseregisterlov settes krav til internkontroll. Vi ønsker særlig å se på følgende områder: 3. Om interkontroll i 22. Internkontroll «Den databehandlingsansvarlige skal etablere og holde ved like planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven. Den databehandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den databehandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene.» Spørsmål til St. Olavs Hospital: Om dokumenterte rutiner kvalitetsregistrene følger for å oppfylle krav knyttet til informasjonssikkerhet og personvern: o Gi en kort beskrivelse av de rutiner som kvalitetsregistrene følger for å oppfylle kravene, samt en vurdering av hvordan kvalitetsregistrene etterlever den enkelte rutine. o Hvis det er registrert avvik fra rutinene, gis en kort beskrivelse av dette. Om dokumenterte rutiner for avvikshåndtering og opplysninger om hvem som er ansvarlig: o Gi en kort beskrivelse av de rutiner som kvalitetsregistrene følger for å oppfylle kravene, samt en vurdering av hvordan kvalitetsregistrene etterlever den enkelte rutine. o Hvis det er registrert avvik fra rutinene, gis en kort beskrivelse av dette. Mvh Berit Svellingen (sign) Sikkerhetsleder/Personvernombud Hilde Tamburplass (sign) Kvalitetssjef helseregistre Vedlegg: Skjema vedr. etterlevelsen av logging og sporingskravene i HKR basisregisteret, oppdatert 1. desember

9 Norsk hjerneslagregister Revisjon av nasjonale medisinske kvalitetsregistre tilknyttet Hjerte- og karregisteret ved St. Olavs Hospital 18. desember 2014 Vi viser til tidligere samtaler og e-post korrespondanse om saken. Det er ved gjeldende helseregisterlov 1 og ved forskrift 2 etablert et nasjonalt register over hjerte- og karlidelser med Folkehelseinstituttet (FHI) som databehandlingsansvarlig. St Olavs Hospital er databehandler for fire nasjonale medisinske kvalitetsregistre med hjemmel i denne forskriften, der det er inngått databehandleravtaler 3 mellom FHI og St. Olavs Hospital. De fire er: o Norsk hjerneslagregister o Norsk hjerteinfarktregister o Norsk hjertesviktregister o Norsk karkirurgisk register (NORKAR) FHI ønsker å benytte oss av vår rett og plikt til å utføre sikkerhetsrevisjon av de fire registrene. Vi viser til pkt. 10 i databehandleravtalene og til personopplysningsforskriftens kap 2. Formålet med revisjonen er å styrke informasjonssikkerheten og personvernet samt kvaliteten i registrene. Dette i forhold til de krav lover, forskrifter og Normen for informasjonssikkerhet i helsesektoren setter. Dette mener vi best gjøres gjennom samarbeid og dialog. For at vi alle skal kunne forberede oss og gjøre revisjonen så målrettet og effektiv som mulig ønsker vi tilsendt svar på spørsmålene nedenfor innen 11. desember Ta gjerne kontakt før det ved spørsmål og uklarheter Forskrift om innsamling og behandling av helseopplysninger i Nasjonalt register over hjerte- og karlidelser (Hjerte- og karregisterforskriften) av Databehandleravtalene finnes tilgjengelig på 1

10 Norsk hjerneslagregister Noen spørsmål om intern kryptering, logging og sporing I gjeldende og ny helseregisterlov 4 som antas å gjelde fra 1. januar 2015, settes krav til intern kryptering, og i ny helseregisterlov settes dessuten krav til logging og sporing av tilgang til eller utlevering av direkte personidentifiserbare helseopplysninger. Vi ønsker særlig å se på følgende områder: 1. Om kryptering i 21. Sikring av konfidensialitet, integritet og tilgjengelighet «I registre som er etablert med hjemmel i 10 eller 11, skal direkte personidentifiserende kjennetegn lagres kryptert.» Spørsmål til St. Olavs Hospital: o Hvordan er kravet om intern kryptering løst i de fire registrene? Fødselsnummer er kryptert (Aes128), og lagret i en egen database separat fra de medisinske data. 2. Om innsyn, logging og sporing i 24. Rett til informasjon og innsyn «Rett til informasjon og innsyn følger av personopplysningsloven 18 flg. Den registrerte har rett til innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer, fra helseregistre etter 8 til 11. Departementet kan i særlige tilfeller gi den databehandlingsansvarlige en tidsbegrenset dispensasjon fra plikten til å gi innsyn etter dette leddet.» Spørsmål til St. Olavs Hospital: Hvordan er kravet om informasjon og innsyn, logging og sporing, løst i de fire registrene? Vi ønsker svar på følgende: o Hvilken rutine er etablert for de registrertes innsyn i egne data? o Hvor mange personer med hvilke funksjoner har tilgang til direkte personidentifiserbare Data tas ut manuelt basert på innsynsbegjæring. Se vedlegg 2 funksjoner 4 2

11 Norsk hjerneslagregister opplysninger (helseopplysninger tilknyttet fødselsnummer, evt. navn) i de fire registrene? o Kan dere ved forespørsel svare på hvem som har gjort oppslag på direkte personidentifiserbare opplysninger og når oppslaget ble gjort? o Logges også søk hvor personidentifiserbare opplysninger inngår i et større utvalg, for eksempel søk/oppslag på alle behandlete pasienter på en gitt dato? o Hvor lenge oppbevares loggene? o Hvilke rutiner er etablert for de registrertes innsyn i logg for hvem som har hatt tilgang til eller fått utlevert direkte personidentifiserbare opplysninger? FHI har utarbeidet et skjema for enkel og komplett oversikt over hvordan vi etterlever logging og sporingskravene for de sentrale helseregistrene vi er databehandlingsansvarlige og databehandlere for. Utfylt skjema for Hjerte- og karregisterets basisdel er vedlagt. Vi ønsker tilsvarende skjema utfylt for hvert av kvalitetsregistrene og ber dere gjøre dette. Ja det er mulig, men er en manuell jobb som vil ta noe tid. Alle søk lagres, hvilke personer som ble vist skjermbilde blir ikke lagret. Dette må evt rekonstrueres. Det er en betydelig jobb. Det vil være svært ressurskrevende å lagre resultatet alle søk. Loggene inngår i databasen. Dette må håndteres manuelt. Enkel rutine: - St.Olav mottar begjæring fra FHI, - Hemit henter ut data fra logger manuelt, og overleverer dette kryptert til - St.Olav som igjen utleverer dette til FHI. Se vedlegg 1: Dokumentasjon av logging og sporing Noen spørsmål om internkontroll I gjeldende og ny helseregisterlov settes krav til internkontroll. Vi ønsker særlig å se på følgende områder: 3. Om interkontroll i 22. Internkontroll «Den databehandlingsansvarlige skal etablere og holde ved like planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven. Den databehandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den 3

12 Norsk hjerneslagregister databehandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene.» Spørsmål til St. Olavs Hospital: Om dokumenterte rutiner kvalitetsregistrene følger for å oppfylle krav knyttet til informasjonssikkerhet og personvern: o Gi en kort beskrivelse av de rutiner som kvalitetsregistrene følger for å oppfylle kravene, samt en vurdering av hvordan kvalitetsregistrene etterlever den enkelte rutine. o Hvis det er registrert avvik fra rutinene, gis en kort beskrivelse av dette. o Hvert register gjennomgår internkontrolldokumentet årlig. o Adgang til bygningen og kontorer sikres av låste dører utenfor arbeidstiden. o Adgang til kontorer er låst i arbeidstiden og krever adgangskort med personlig kode. For å få tilgang til PC må personlig adgangskort og kode brukes. o Se for øvrig internkontrolldokument Om dokumenterte rutiner for avvikshåndtering og opplysninger om hvem som er ansvarlig: o Gi en kort beskrivelse av de rutiner som kvalitetsregistrene følger for å oppfylle kravene, samt en vurdering av hvordan kvalitetsregistrene etterlever den enkelte rutine. o Avvik i egen virksomhet på St. Olavs Hospital: Avvikshåndtering og behandling følger avviksprosedyren ved St. Olavs Hospital HF. o Avvik oppstått hos samarbeidspartnere: Tilbakemelding gis muntlig, pr. e-post eller pr. brev tilpasset hendelsens karakter. o Ved problemer med innlogging og brukertilgang på Helseregister.no: brukere av registeret tar kontakt pr. e-post eller telefon til oppgitt support på Helse Nord IKT support@helseregister.no eller til registersekretariatet. Problemer som ikke kan løses av registersekretariatet videresendes til Helse Nord IKT. o Ved feilmelding/problemer med MRS - Medisinsk Registreringssystem etter innlogging på Helseregister.no: 4

13 Norsk hjerneslagregister o Hvis det er registrert avvik fra rutinene, gis en kort beskrivelse av dette. brukere av registeret tar kontakt pr. e-post eller telefon til registersekretariatet eller direkte til kundesenter@hemit.no Registersekretariatet videresender aktuelle henvendelser til hpsm@hemit.no og support@helseregister.no Meldingen skal inneholde: Denne e-post skal til systemutvikling HEMIT Kontaktinformasjon: hvem har problemet (sykehus og innsenders navn) e-post adresse (for at Hemit/Helse-Nord eventuelt kan ta direkte kontakt) Beskrivelse av problem, helst også et Print Screen (skjermdump, uten personidentifiserbare data) Dato og tidspunkt Om problemet er nytt/kjent Hindre gjentagelse av avvik og hvem er ansvarlig: Følger St. Olavs Hospitals avvikssystem. o Se for øvrig internkontrolldokument. Mvh Berit Svellingen (sign) Hilde Tamburplass (sign) Sikkerhetsleder/Personvernombud Kvalitetssjef helseregistre Vedlegg: Skjema vedr. etterlevelsen av logging og sporingskravene i HKR basisregisteret, oppdatert 1. desember

14 Norsk hjerteinfarktregister Revisjon av Norsk hjerteinfarktregister tilknyttet Hjerte- og karregisteret ved St. Olavs Hospital 18. desember 2014 Vi viser til tidligere samtaler og e-post korrespondanse om saken. Det er ved gjeldende helseregisterlov 1 og ved forskrift 2 etablert et nasjonalt register over hjerte- og karlidelser med Folkehelseinstituttet (FHI) som databehandlingsansvarlig. St Olavs Hospital er databehandler for fire nasjonale medisinske kvalitetsregistre med hjemmel i denne forskriften, der det er inngått databehandleravtaler 3 mellom FHI og St. Olavs Hospital. De fire er: o Norsk hjerneslagregister o Norsk hjerteinfarktregister o Norsk hjertesviktregister o Norsk karkirurgisk register (NORKAR) FHI ønsker å benytte oss av vår rett og plikt til å utføre sikkerhetsrevisjon av de fire registrene. Vi viser til pkt. 10 i databehandleravtalene og til personopplysningsforskriftens kap 2. Formålet med revisjonen er å styrke informasjonssikkerheten og personvernet samt kvaliteten i registrene. Dette i forhold til de krav lover, forskrifter og Normen for informasjonssikkerhet i helsesektoren setter. Dette mener vi best gjøres gjennom samarbeid og dialog. For at vi alle skal kunne forberede oss og gjøre revisjonen så målrettet og effektiv som mulig ønsker vi tilsendt svar på spørsmålene nedenfor innen 11. desember Ta gjerne kontakt før det ved spørsmål og uklarheter Forskrift om innsamling og behandling av helseopplysninger i Nasjonalt register over hjerte- og karlidelser (Hjerte- og karregisterforskriften) av Databehandleravtalene finnes tilgjengelig på 1

15 Norsk hjerteinfarktregister Noen spørsmål om intern kryptering, logging og sporing I gjeldende og ny helseregisterlov 4 som antas å gjelde fra 1. januar 2015, settes krav til intern kryptering, og i ny helseregisterlov settes dessuten krav til logging og sporing av tilgang til eller utlevering av direkte personidentifiserbare helseopplysninger. Vi ønsker særlig å se på følgende områder: 1. Om kryptering i 21. Sikring av konfidensialitet, integritet og tilgjengelighet «I registre som er etablert med hjemmel i 10 eller 11, skal direkte personidentifiserende kjennetegn lagres kryptert.» Spørsmål til St. Olavs Hospital: o Hvordan er kravet om intern kryptering løst i de fire registrene? Fødselsnummer er kryptert (Aes128), og lagret i en egen database separat fra de medisinske data. 2. Om innsyn, logging og sporing i 24. Rett til informasjon og innsyn «Rett til informasjon og innsyn følger av personopplysningsloven 18 flg. Den registrerte har rett til innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer, fra helseregistre etter 8 til 11. Departementet kan i særlige tilfeller gi den databehandlingsansvarlige en 4 2

16 Norsk hjerteinfarktregister tidsbegrenset dispensasjon fra plikten til å gi innsyn etter dette leddet.» Spørsmål til St. Olavs Hospital: Hvordan er kravet om informasjon og innsyn, logging og sporing, løst i de fire registrene? Vi ønsker svar på følgende: o Hvilken rutine er etablert for de registrertes innsyn i egne data? o Hvor mange personer med hvilke funksjoner har tilgang til direkte personidentifiserbare opplysninger (helseopplysninger tilknyttet fødselsnummer, evt. navn) i de fire registrene? o Kan dere ved forespørsel svare på hvem som har gjort oppslag på direkte personidentifiserbare opplysninger og når oppslaget ble gjort? o Logges også søk hvor personidentifiserbare opplysninger inngår i et større utvalg, for eksempel søk/oppslag på alle behandlete pasienter på en gitt dato? o Hvor lenge oppbevares loggene? o Hvilke rutiner er etablert for de registrertes innsyn i logg for hvem som har hatt tilgang til eller fått utlevert direkte personidentifiserbare opplysninger? FHI har utarbeidet et skjema for enkel og komplett oversikt over hvordan vi etterlever logging og sporingskravene for de sentrale helseregistrene vi er databehandlingsansvarlige og Data tas ut manuelt basert på innsynsbegjæring. Se vedlegg 2 brukerliste nasjonalt nivå Ja det er mulig, men er en manuell jobb som vil ta noe tid. Alle søk lagres, hvilke personer som ble vist skjermbilde blir ikke lagret. Dette må evt rekonstrueres. Det er en betydelig jobb. Det vil være svært ressurskrevende å lagre resultatet alle søk. Loggene inngår i databasen. Dette må håndteres manuelt. Enkel rutine: - St.Olav mottar begjæring fra FHI, - Hemit henter ut data fra logger manuelt, og overleverer dette kryptert til - St.Olav som igjen utleverer dette til FHI. 3

17 Norsk hjerteinfarktregister databehandlere for. Utfylt skjema for Hjerte- og karregisterets basisdel er vedlagt. Vi ønsker tilsvarende skjema utfylt for hvert av kvalitetsregistrene og ber dere gjøre dette. Se vedlegg 1: Dokumentasjon av logging og sporing Noen spørsmål om internkontroll I gjeldende og ny helseregisterlov settes krav til internkontroll. Vi ønsker særlig å se på følgende områder: 3. Om interkontroll i 22. Internkontroll «Den databehandlingsansvarlige skal etablere og holde ved like planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven. Den databehandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den databehandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene.» Spørsmål til St. Olavs Hospital: Om dokumenterte rutiner kvalitetsregistrene følger for å oppfylle krav knyttet til informasjonssikkerhet og personvern: o Gi en kort beskrivelse av de rutiner som kvalitetsregistrene følger for å oppfylle kravene, samt en vurdering av hvordan Avvik i egen virksomhet på St. Olavs Hospital Avvikshåndtering og behandling følger avviksprosedyren ved St. Olavs Hospital HF 4

18 Norsk hjerteinfarktregister kvalitetsregistrene etterlever den enkelte rutine. o Hvis det er registrert avvik fra rutinene, gis en kort beskrivelse av dette. Avvik oppstått hos samarbeidspartnere Tilbakemelding gis muntlig, pr. e-post eller pr. brev tilpasset hendelsens karakter. Det er ikke registrert avvik fra rutinene Om dokumenterte rutiner for avvikshåndtering og opplysninger om hvem som er ansvarlig: o Gi en kort beskrivelse av de rutiner som kvalitetsregistrene følger for å oppfylle kravene, samt en vurdering av hvordan kvalitetsregistrene etterlever den enkelte rutine. o Hvis det er registrert avvik fra rutinene, gis en kort beskrivelse av dette. Viser til internkontrolldokument, spesielt kapittel 4 som omhandler tilgangsstyring og logging ved behandling av personidentifiserbare data samt rutiner for elektronisk lagring av data. Dokumentet er kjent for alle ansatte i Norsk hjerteinfarktregister. Data for årsrapport og andre publikasjoner lagres på sikker server hos databehandler. Det er ikke registrert avvik fra rutinene Vennlig hilsen Hanne Karlsaune Daglig leder Norsk hjerteinfarktregister 5

19 Norsk hjertesviktregister Revisjon av nasjonale medisinske kvalitetsregistre tilknyttet Hjerte- og karregisteret ved St. Olavs Hospital 18. desember 2014 Vi viser til tidligere samtaler og e-post korrespondanse om saken. Det er ved gjeldende helseregisterlov 1 og ved forskrift 2 etablert et nasjonalt register over hjerte- og karlidelser med Folkehelseinstituttet (FHI) som databehandlingsansvarlig. St Olavs Hospital er databehandler for fire nasjonale medisinske kvalitetsregistre med hjemmel i denne forskriften, der det er inngått databehandleravtaler 3 mellom FHI og St. Olavs Hospital. De fire er: o Norsk hjerneslagregister o Norsk hjerteinfarktregister o Norsk hjertesviktregister o Norsk karkirurgisk register (NORKAR) FHI ønsker å benytte oss av vår rett og plikt til å utføre sikkerhetsrevisjon av de fire registrene. Vi viser til pkt. 10 i databehandleravtalene og til personopplysningsforskriftens kap 2. Formålet med revisjonen er å styrke informasjonssikkerheten og personvernet samt kvaliteten i registrene. Dette i forhold til de krav lover, forskrifter og Normen for informasjonssikkerhet i helsesektoren setter. Dette mener vi best gjøres gjennom samarbeid og dialog. For at vi alle skal kunne forberede oss og gjøre revisjonen så målrettet og effektiv som mulig ønsker vi tilsendt svar på spørsmålene nedenfor innen 11. desember Ta gjerne kontakt før det ved spørsmål og uklarheter Forskrift om innsamling og behandling av helseopplysninger i Nasjonalt register over hjerte- og karlidelser (Hjerte- og karregisterforskriften) av Databehandleravtalene finnes tilgjengelig på 1

20 Norsk hjertesviktregister Noen spørsmål om intern kryptering, logging og sporing I gjeldende og ny helseregisterlov 4 som antas å gjelde fra 1. januar 2015, settes krav til intern kryptering, og i ny helseregisterlov settes dessuten krav til logging og sporing av tilgang til eller utlevering av direkte personidentifiserbare helseopplysninger. Vi ønsker særlig å se på følgende områder: 1. Om kryptering i 21. Sikring av konfidensialitet, integritet og tilgjengelighet «I registre som er etablert med hjemmel i 10 eller 11, skal direkte personidentifiserende kjennetegn lagres kryptert.» Spørsmål til St. Olavs Hospital: o Hvordan er kravet om intern kryptering løst i de fire registrene? Fødselsnummer er kryptert (Aes128), og lagret i en egen database separat fra de medisinske data. 2. Om innsyn, logging og sporing i 24. Rett til informasjon og innsyn «Rett til informasjon og innsyn følger av personopplysningsloven 18 flg

21 Norsk hjertesviktregister Den registrerte har rett til innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer, fra helseregistre etter 8 til 11. Departementet kan i særlige tilfeller gi den databehandlingsansvarlig e en tidsbegrenset dispensasjon fra plikten til å gi innsyn etter dette leddet.» Spørsmål til St. Olavs Hospital: Hvordan er kravet om informasjon og innsyn, logging og sporing, løst i de fire registrene? Vi ønsker svar på følgende: o Hvilken rutine er etablert for de registrertes innsyn i egne data? o Hvor mange personer med hvilke funksjoner har tilgang til direkte personidentifiserbare opplysninger (helseopplysninger tilknyttet fødselsnummer, evt. navn) i de fire registrene? o Kan dere ved forespørsel svare på hvem som har gjort oppslag på direkte personidentifiserbare opplysninger og når oppslaget ble gjort? o Logges også søk hvor personidentifiserbare opplysninger inngår i et større utvalg, for Data tas ut manuelt basert på innsynsbegjæring. Seks personer. Se vedlegg 1: «Nasjonale brukere av NHSR». Ja det er mulig, men er en manuell jobb som vil ta noe tid. Alle søk lagres, hvilke personer som ble vist skjermbilde blir ikke lagret. Dette må evt rekonstrueres. Det er en betydelig jobb. Det vil være svært ressurskrevende å lagre resultatet alle 3

22 Norsk hjertesviktregister eksempel søk/oppslag på alle behandlete pasienter på en gitt dato? o Hvor lenge oppbevares loggene? o Hvilke rutiner er etablert for de registrertes innsyn i logg for hvem som har hatt tilgang til eller fått utlevert direkte personidentifiserbare opplysninger? FHI har utarbeidet et skjema for enkel og komplett oversikt over hvordan vi etterlever logging og sporingskravene for de sentrale helseregistrene vi er databehandlingsansvarlig e og databehandlere for. Utfylt skjema for Hjerteog karregisterets basisdel er vedlagt. Vi ønsker tilsvarende skjema utfylt for hvert av kvalitetsregistrene og ber dere gjøre dette. søk. Loggene inngår i databasen. Dette må håndteres manuelt. Enkel rutine: - St.Olav mottar begjæring fra FHI, - Hemit henter ut data fra logger manuelt, og overleverer dette kryptert til - St.Olav som igjen utleverer dette til FHI. Se vedlegg 2: «Dokumentasjon av logging og sporing». Noen spørsmål om internkontroll I gjeldende og ny helseregisterlov settes krav til internkontroll. Vi ønsker særlig å se på følgende områder: 3. Om interkontroll i 22. Internkontroll «Den databehandlingsansvarlig e skal etablere og holde 4

23 Norsk hjertesviktregister ved like planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven. Den databehandlingsansvarlig e skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den databehandlingsansvarlig e og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene.» Spørsmål til St. Olavs Hospital: Om dokumenterte rutiner kvalitetsregistrene følger for å oppfylle krav knyttet til informasjonssikkerhet og personvern: o Gi en kort beskrivelse av de rutiner som kvalitetsregistrene følger for å oppfylle kravene, samt en vurdering av hvordan kvalitetsregistrene etterlever den enkelte rutine. o Hvis det er registrert avvik fra rutinene, gis en kort beskrivelse av dette. o Hvert register gjennomgår internkontrolldokumentet årlig. o Adgang til bygningen og kontorer sikres av låste dører utenfor arbeidstiden. o Adgang til kontorer er låst i arbeidstiden og inngangsdøren krever adgangskort med personlig kode. For å få tilgang til PC må personlig adgangskort og kode brukes. o Viser forøvrig til internkontrolldokument som de andre hjerte- og karregistrene har utarbeidet. NHSR har som mål å ha et internkontrolldokument klart til møtet Det er ikke registrert avvik fra rutinene. Om dokumenterte rutiner for avvikshåndtering og opplysninger om hvem som er ansvarlig: o Gi en kort beskrivelse av de rutiner som kvalitetsregistrene o Avvik i egen virksomhet på St. Olavs Hospital: Avvikshåndtering og behandling følger avviksprosedyren ved St. Olavs Hospital HF: 5

24 Norsk hjertesviktregister følger for å oppfylle kravene, samt en vurdering av hvordan kvalitetsregistrene etterlever den enkelte rutine. o Hvis det er registrert avvik fra rutinene, gis en kort beskrivelse av dette. Vedle gg VIII. EQS prosedyre o Avvik oppstått hos samarbeids- partnere: Tilbakemelding gis muntlig, pr. e-post eller pr. brev tilpasset hendelsens karakter. o Ved problemer med innlogging og brukertilgang på Helseregister.no: brukere av registeret tar kontakt pr. e-post eller telefon til oppgitt support på Helse Nord IKT support@helseregister.no eller til registersekretariatet. Problemer som ikke kan løses av register-sekretariatet videresendes til Helse Nord IKT. o Ved feilmelding/problemer med MRS - Medisinsk Registreringssystem etter innlogging på Helseregister.no: brukere av registeret tar kontakt pr. e-post eller telefon til register-sekretariatet eller direkte til kundesenter@hemit.no Registersekretariatet videresender aktuelle henvendelser til hpsm@hemit.no og support@helseregister.no Meldingen skal inneholde: Denne e-post skal til systemutvikling HEMIT Kontaktinformasjon: hvem har problemet (sykehus og innsenders navn) e-post adresse (for at Hemit/Helse-Nord eventuelt kan ta direkte kontakt) Beskrivelse av problem, helst også et Print Screen (skjermdump, uten personidentifiserbare data) Dato og tidspunkt Om problemet er nytt/kjent Hindre gjentagelse av avvik og hvem er ansvarlig: Følger St. Olavs Hospitals avvikssystem. o Viser forøvrig til internkontrolldokument som de andre hjerte- og karregistrene har utarbeidet. NHSR har som mål å ha et internkontrolldokument klart til møtet Det er ikke registrert avvik fra rutinene. 6

25 Norsk hjertesviktregister 7

26

27

28

29

30