Diplomoppgave Noroff Den Digitale Pasient. Farene på ferden

Transkript

1 Diplomoppgave Noroff 2008 Den Digitale Pasient Farene på ferden Christian Langstrand, /2008

2 Forord Denne rapport er skrevet som avsluttende oppgave for DSE Webstudent Tema valgt omhandler IKT-Helse Norge med vinkling mot menneskets rolle i sikkerheten. Målet med oppgaven er å opplyse og gjennomgå den elektroniske pasientkommunikasjonen i IKT-Helse Norge på et praktisk nivå, samt å gi innsikt i hvor viktig det menneskelige aspektet i dette er. Rapporten består av totalt tre deler, IT-Helse struktur som vil ta for seg linjeleveransen som leger bruker for utveksling av pasientinformasjon samt teknisk informasjon; Legekontor som vil forklare hvordan det kommuniseres utad samt forklare om lover som legepraksis må forholde seg til og aspekter rundt det menneskelige og til sist en konklusjon samt måter å minimere det menneskelige aspektet som kreves rundt bruk av elektroniske pasientmeldinger. Rapporten er skrevet av Christian Langstrand. Ved kontakt kan e-post sendes til christian.langstrand@krypter.no Kildehenvisninger er merket med romertall til høyre for ordet i setningen. I noen tilfeller skrives kilde URL i parentes. Den Digitale Pasient Farene på ferden Christian Langstrand 2 av 43

3 Ord definisjoner Ord NHN VPN RSA Citrix EDI Legekontor Legepraksis Pasientmeldinger Institusjon 3DES Trygd-helse Henvisning III Epikrise IV PKI Risikoanalyse Forklaring Norsk Helsenett - linjeleverandør Virtual Private Networking, en teknisk løsning som gjør at man kan koble seg opp til et eksternt nettverk på samme måte Et kryptosystem oppkalt etter oppfinnerne: Ron Rivest, Adi Shamir og Leonard Adleman. Publisert i 1977 og det første offentlig kjente systemet som tifredsstiller kravet til kryptering med offentlig nøkkel. Utbredt oppkoblingsmetode hvor en maskin henter skjermbildet fra en sentral server. All informasjon er da lagret på serveren. Electronic Data Interchange, bruk av datamaskiner til å sende/motta dokumenter mellom firma. En offentlig registrert bedrift som utfører legetjenester I Se Legekontor EDI meldinger som omhandler pasienter. Se EDI Tjenesteleverandør til legekontor etc. f. eks et laboratorie eller et røntgeninstitutt Krypterings standard kalt Tripple Data Encryption Standard II Norges første statlig samordnet kommunikasjonslinje for elektroniske pasientmeldinger. En melding til tjenesteytende avdeling/institusjon. En henvisning kan inneholde mye irrelevant sensitiv informasjon som kan spres ved elektronisk utsending En skriftlig oppsummering av en sykdomsstatus, sykdommens årsak, utvikling, behandling og plan for videre behandling. Public Key Infrastructure. Brukes pr. i dag av legekontor til signering av sykemeldinger, legeerklæringer og oppgjørsmeldinger. En formalisert metodikk for å beregne konsekvensen av fremtidige hendelser. Databehandlingsansvarlig Personen som juridisk bestemmer formålet med behandlingen av personopplysninger/helseopplysninger og hvilke hjelpemidler som skal brukes. Databehandler Den som behandler personopplysninger/helseopplysninger på vegne av den databehandlingsansvarlige RDP Remote Desktop Protocol V, en innebygd fjernkontrolls funksjon i operativsystemet Microsoft Windows Den Digitale Pasient Farene på ferden Christian Langstrand 3 av 43

4 Innholdsfortegnelse Forord... 2 Ord definisjoner... 3 Sammendrag... 5 IT-helse Norge... 6 Historikk... 6 Norsk Helsenett (NHN)... 8 Dagens IT helse struktur... 9 Fordeler / Ulemper Oppetider / Nedetider Legekontor Lover og regler Norm for informasjonssikkerhet Personopplysningsloven Helseregisterloven Journalforskriften Helsepersonell loven Sikkerhet Norsk Helsenett og Internett Risikoanalyse Spørreundersøkelse for Legekontor Konklusjon Forslag til risikobegrensning Infrastruktur Datasikkerhet Elektroniske pasientmeldinger Vedlegg Vedlegg 1: Korrespondanse med Norsk Helsenett Del Vedlegg 2: Korrespondanse med Norsk Helsenett Del Vedlegg 3: Teknisk oppsett - Spørreundersøkelse Vedlegg 3.1 Skjermbilder Vedlegg 4: Korrespondanse med Norsk Helsenett Del Kilder Fotnoter Den Digitale Pasient Farene på ferden Christian Langstrand 4 av 43

5 Sammendrag Over 90 % av Norges allmennlege kontor er tilkoblet Norsk Helsenett (Kilde: NHN Des `07) Det vil si at en pasient til behandling godt kan oppleve å få informasjon sendt over internett før/under/etter behandling. Det kommuniseres pr. i dag med svar fra laboratorier, henvisninger, epikriser, sykemeldinger/ legeerklæringer. Alle disse kan inneholde sensitive person opplysninger. En fellesnevner med meldingene er at de må sendes og behandles av flere mennesker på ferden, og for hvert ledd i denne reisen er faktoren for menneskelig svikt også tilstedeværende. Fra legekontorets ståsted må man først vurdere om det er behov for elektronisk pasientmelding, deretter generere meldingen med behandler sin signatur, og påse at meldingen faktisk er blitt sendt. Fra sykehus/ institusjon sitt ståsted må man først motta meldingen for å kunne behandle den og eventuelt sende informasjon om at melding er mottatt tilbake til legekontoret før prosessering og svar sendelse. I mellom disse ligger linjeleverandøren. Den Digitale Pasient Farene på ferden Christian Langstrand 5 av 43

6 IT-helse Norge Historikk Elektroniske pasientmeldinger i den norske helsesektoren ble etablert i slutten av 80-tallet hvor ekstern kommunikasjon foregikk over telefonlinjene med modem. Kort tid etter startet enkelte sykehus og institusjoner utviklingen av sine egne kommunikasjonsløsninger, og ved starten av 90-tallet var det mange forskjellige kommunikasjons løsninger i bruk. I tillegg til kommunikasjonsløsningene ble det brukt flere forskjellige meldingsformat under overføringen. Som et forsøk på å standardisere meldingsformatet ble det etter hvert etablert et statlig eid firma kalt KITH VI. Resultatet ble å utforme alle elektroniske meldinger etter den FN utviklede internasjonale standarden kalt EDIFACT VII. Som følge av EDIFACT standarden ble Helse & Sosial Departementet og Rikstrygdeverket (nå kalt NAV) enige om etablering av en nasjonal infrastruktur for EDI i helsesektoren, denne ble kalt Trygd-helse. De første kontoene kom mars 96 og ble driftet av Telenor ved Helse & Sosial Departementet sin regning. Dette var starten på IT-helse Norge sitt første landsdekkende helsenett. Fordelen med Trygd-helse var at man kunne nå alle med en telefonlinje, legekontor overalt i Norge kunne kommunisere på samme nivå som sykehusene og institusjonene, men problemet var innledende ustabile modem, telefonlinjer og hastigheten man oppnådde var ikke den raskeste selv om man på den tiden ikke trengte noe særlig mer for tekstbaserte meldinger. Datasikkerheten var fraværende og lite gjennomtenkt på denne tiden, i noen tilfeller var meldinger sendt ukryptert gjennom telefonlinjene. Under modem tiden var det ingen kryptering på selve linjen, skulle noe sikkerhet oppnås ville meldingen måtte bli kryptert før sending, og deretter de-kryptert etter henting. Modem var ikke aktivt annet en når man hentet/sendte meldinger, og det er viktig å nevne at legekontor ikke sendte meldinger ut på denne tiden men kun hadde mulighet for å hente fra sykehusene/ institusjonene. Det største samordnende prosjektet hvor overnevnte teknologi var brukt het RegNett Vest og ble utført i perioden Alle sykehus i vest Norge samt nesten 200 legekontor brukte da EDIFACT standard til meldingsformat samt Trygd-helse som kommunikasjonsløsning. Den Digitale Pasient Farene på ferden Christian Langstrand 6 av 43

7 Prosjektet oppnådde gode resultater og det ble utviklet en håndbok VIII for hvordan andre regioner kunne gjøre det samme, det skulle vise seg at få gjorde det samme. På samme tid rundt 1997 begynte planleggingen av en ny metode for kommunikasjon og et nytt meldingsformat som ville overta for EDIFACT og resultere i XML standarden. KITH VI, som presenterte disse forslagene var dog litt for raskt ute og derfor ble det bestemt at EDIFACT standarden skulle brukes fortsatt, og at XML løsningen ville overta gradvis og bli tatt i bruk på nye meldingstyper som ble utviklet. Med denne planleggingen ble det opprettet et prøveprosjekt kalt Hele Midtnorge, prosjektet ble stoppet rundt årtusen skiftet. Det måtte ennå to prosjekter til før den nye strukturen som gjelder pr. dags dato ble tatt i bruk. Innledende prosjekt var denne gangen startet av Helse Nord Norge som i 2001 jobbet med et nytt helsenett under navnet Nordnorsk helsenett. Teknologien baserte seg rundt fast bredbåndstilknytning og EDI kommunikasjon ved bruk av XML over SMTP/POP3 protokoller. Etter hvert kom de resterende regionene også over på samme teknologi. Sikkerhet og meldingsformater var også nå de samme, men prosjektene var preget av dårlig kommunikasjon og samarbeid mellom hverandres regioner. Situasjonen slik den var nå kunne forbedres, og i 2004 ble Norsk Helsnett stiftet for å samle alle regionene til en og samme løsning. Den Digitale Pasient Farene på ferden Christian Langstrand 7 av 43

8 Norsk Helsenett (NHN) Norsk Helsenett er nå Norges eneste samhandlingsleverandør. NHN ble stiftet i 2004 og eies av våre fire regionale helseforetak (Helse Sør-Øst, Helse Vest, Helse Midt-Norge og Helse Nord) Årsaken til stiftelsen var behovet for en organisasjon som legger til rette for bruk av bredbånds IT tjenester for helse Norge. Det tilbys i dag tjenester som EDI-pasientmeldings kommunikasjon, sikret e-post og internett tilgang, sikkerhetsoppdateringer for kunder i det lukkede nettet, videokonferanser og hjemmekontorløsninger for legekontorene. Antall allmennlegekontor i bredbåndsnettet (Kilde: NHN.no) Den Digitale Pasient Farene på ferden Christian Langstrand 8 av 43

9 Dagens IT helse struktur Diagrammet viser hvordan legekontor og sykehus/institusjoner kommuniserer med hverandre gjennom tjenesteyteren Norsk Helsenett. Legekontor får plassert ut hardware når det inngås avtale med Norsk Helsenett, utstyret eies av NHN under hele avtalen. Teknologien som brukes pr. dags dato går ut på å opprette en kryptert VPN tilkobling mot Norsk Helsenett. Utstyret som brukes er Cisco DMVPN IX rutere som termineres mot DMVPN Hubber ved Norsk Helsenett (ref. vedlegg1) Sykehus/ Institusjoner kommuniserer med partnere ved bruk av sitt eget utstyr, og gjennom linjeleverandøren Telenor Nordic Connect X. Sykehus/ Institusjoner må selv stå for kryptering. Den Digitale Pasient Farene på ferden Christian Langstrand 9 av 43

10 Fordeler / Ulemper Norsk Helsenett er nå eneste linjeleverandør for elektronisk pasient kommunikasjon til legekontorer som vil samhandle elektronisk. Generelt kan det å være i monopol stilling være negativt for kundene, da det ikke vil være konkurranse ved verken pris eller kundebehandling. Norsk Helsenett er en statlig instans som er pålagt strengere rutiner enn private bedrifter og dette bidrar til at en må legge sin tillitt i systemet IT-helse Norge slik det fremstår. Med Norsk Helsenett er det nå blitt en sentral administrasjon av EDI kommunikasjonen og dette bidrar til en mer overvåket og strukturert løsning for alle parter, i motsetning til hvordan det var tidligere med mange aktører på markedet. Fordelen med kun en samhandlende instans er ett sentralt sted for support, opplæring, informasjon og drift mot kundene. Dette gjør at en slipper å forholde seg til forskjellige aktører, som kunne ført til lengre prosesseringstider ved driftsstans eller feil i tjenesten. Oppetider / Nedetider Det har vist seg vanskelig å fremdrive en offentlig tjeneste med drifts status og nedetid logg ved Norsk Helsenett (Vedlegg 4), men en EDI leverandør med navn MediLink har en egen uoffisiell side for rapporterte nedetider siden 2006 til i dag XI. Mot legekontor har Norsk helsenett kun support fra kl 0800 til 1600, med utvidet telefonsupport til kl 20:00 som følge av hjemmekontor implementering for kunder og under andre prosjekter. Videre er det ingen vakttelefon for vanlige legekontor utenom åpningstider ved Norsk Helsenetts kontor. Enkelte legekontor har en ekstern løsning hvor alle pasientjournaler etc. er lagret ved en sentral server hos journalleverandøren. For disse kundene kobles legekontoret opp via en citrix løsning, og deretter mot norsk helsenett. Her gjelder da journal leverandørens egne driftsløsninger på både support og garantier. Den Digitale Pasient Farene på ferden Christian Langstrand 10 av 43

11 Legekontor Å drive en praksis i en tid hvor databehandling blir mer utbredt en noen sinne før krever nye regelverk og lover, i tillegg til en oppegående og ansvarsfull databehandlingsansvarlig. Deretter kreves riktig opplæring av alle ansatte ved legekontoret for å unngå menneskelig svikt ved en rekke arbeidsoppgaver. Lover og regler Med databehandling på legekontoret effektiviseres arbeidet rundt pasienter. Teknologien har gjort at det blir alt lettere å utføre sitt arbeid på legekontoret, men dette forhøyner sjansen for menneskelig svikt på veien. For å sikre rett bruk og opprette ansvarsfordeling blant brukere er det en rekke lover som et legekontor må følge. Det er opprettet en veiledning til rett informasjons sikkerhet kalt Norm for informasjonssikkerhet i helsesektoren XII, denne ble utgitt av Sosial- og helsedirektoratet i I tillegg er det også en rekke krav stilt i helseregisterloven, personopplysningsloven, journalforskriften og helsepersonell loven. For å opprettholde sikkerheten rundt databehandling finnes tilsynsmyndigheter som Datatilsynet og Helsetilsynet, disse er til for å kunne kontrollere at legekontor til enhver til følger gjeldende regelverk og lover. I tillegg skal det ved hvert legekontor gis en person stillingen databehandlingsansvarlig, i mange tilfeller er dette den daglige lederen ved kontoret. Innmeldingsprosessen starter ved å sende en melding/konsesjonssøknad til Datatilsynet, og tittelen innebærer ansvar i form av opprettholdelse av informasjonssikkerheten ved legekontoret. Den Digitale Pasient Farene på ferden Christian Langstrand 11 av 43

12 Norm for informasjonssikkerhet Under følger et uttrekk av oppgavene til databehandlings ansvarlig ved legekontoret: Kilde: Norm for informasjonssikkerhet i helsesektoren, omhandlende Personopplysningsforskriften XII Personopplysningsforskriftens kapittel 2: Dokumentere hvilke helse- og personopplysninger som behandles. Etablere sikkerhetsmål for virksomhetens behandlinger av helse- og personopplysninger, dokumentere disse og gjøre disse kjent i virksomheten. Fastslå formål med behandling av helse- og personopplysninger og utarbeide sikkerhetsstrategi, dokumentere disse og gjøre disse kjent i virksomheten. Legge overordnede føringer for bruk av informasjonsteknologi, dokumentere disse og gjøre disse kjent i virksomheten. Konfigurere informasjonssystemene slik at tilfredsstillende informasjonssikkerhet oppnås og dokumentere konfigurasjonen. Etablere nivå for akseptabel risiko. Besørge risikovurderinger gjennomført. Definere ansvaret for informasjonssikkerhet ved minimum å: - Dokumentere ansvar og oppgaver i et organisasjonskart. - Beskrive ansvar og oppgaver på alle nivåer. - Gjøre ansvarsforholdene kjent i organisasjonen. forts. neste side Den Digitale Pasient Farene på ferden Christian Langstrand 12 av 43

13 Etablere styringssystem for informasjonssikkerhet som bl.a. skal omfatte: - Prosedyrer for behandlinger av helse- og personopplysninger. - Rutiner for bruk av informasjonssystemene. - Rutiner for bruk av papirutskrifter. - Dokumentasjon av sikkerhetstiltak organisatoriske, fysiske og tekniske. - Rutiner for avvikshåndtering. - Rutiner ved bruk av databehandlere, leverandører av kommunikasjonstjenester, utstyr eller programvare og andre leverandører. Følge opp at sikkerheten ivaretas i virksomheten ved jevnlige sikkerhetsrevisjoner og minimum årlig ledelsesgjennomgang av bl.a. avvikshendelser, samt vedta eventuelle korreksjoner i styringssystemet m.m. Etablere prosedyre for godkjenning av alle konfigurasjonsendringer i informasjonssystemene. Personopplysningsforskriftens kapittel 3: Ivareta reglene om pasientenes rett til informasjon om og innsyn i, samt reglene om retting og sletting av registrerte helse- og personopplysninger. Etablere prosedyrer for innhenting av samtykke og oppfyllelse av evt. reservasjon mot visse former for behandling av helse- og personopplysninger. Besørge melding eller konsesjonssøknad til Datatilsynet. I tillegg har virksomhetens leder ansvar for at de behandlinger virksomheten foretar er lovlige. Disse regler tar for daglig drift av legekontoret og skal sette en standard når det kommer til sikkerhet. Det burde blant annet opprettes et filområde med administrativ dokumentasjon for legekontoret og gjøre disse kjent for de ansatte, disse områdene burde inneholde rutinedokumenter for hvordan vi utfører databehandling på en sikker måte. I tillegg skal datasikkerheten være samordnet og dokumentert ved legekontoret, det skal også utføres en risikoanalyse for å kunne være bedre forberedt ved et avvik. I tillegg til å beskrive hvordan sikkerheten skal ivaretas ved de ansatte og databehandling, er det også viktig å trekke inn eksterne IT firma i denne delen. En ekstern IT konsulent må etter loven være godkjent av databehandlingsansvarlig og være underlagt taushetserklæring før noen skal få befatning med personopplysninger ved legekontoret. Dette kan i en vanlig forekomst f. eks være at en IT konsulent blir leid inn for å installere en programvare ved legekontoret. Den Digitale Pasient Farene på ferden Christian Langstrand 13 av 43

14 Når det gjelder dokumentering må denne være formalisert og grundig slik at alle som har behov for å revidere får gjort dette på en enkel måte. Rutiner/prosedyrer skal dokumenteres og arkiveres kontinuerlig ved legekontoret, her er et utdrag av reglene for dokumentering: Styringsdokumenter: Formålene med behandlingene av helse- og personopplysninger Oversikt over behandlinger av helse- og personopplysninger Overordnede føringer for bruk av informasjonsteknologi Sikkerhetsmål Nivå for akseptabel risiko Sikkerhetsstrategi Organisasjons-/ansvarskart Gjennomføringsdokumenter: Formålene med behandlingene av helse- og personopplysninger Oversikt over behandlinger av helse- og personopplysninger Oversikt over partnere, databehandlere og leverandører Avtaler med partnere, databehandlere og leverandører Konfigurasjonskart over informasjonssystemene og teknisk beskrivelse av konfigurasjonen Prosedyrer for behandlinger av helse- og personopplysninger Prosedyrer for bruk av informasjonssystemene Dokumentasjon av sikkerhetstiltak organisatoriske, fysiske og tekniske Kontrolldokumenter: Planer for gjennomføring av risikovurderinger og prosedyre for oppfølging av resultater fra disse vurderinger Planer for gjennomføring av sikkerhetsrevisjoner og prosedyre for oppfølging av resultater fra disse revisjoner Planer for ledelsens gjennomgang og prosedyre for oppfølging av handlingsplaner besluttet av ledelsen Prosedyrer for avvikshåndtering Den Digitale Pasient Farene på ferden Christian Langstrand 14 av 43

15 Personopplysningsloven Kilde: Lovdata - Personopplysningsloven XIII Ved et legekontor jobbes det med sensitive personopplysninger, og risiko for feiltagelser skal begrenses med denne loven. Alle ansatte ved legekontoret har et ansvar og forplikter seg til å følge personopplysningsloven. Innenfor tema Informasjonssikkerhet gir paragraf 13 et godt innblikk i del over som må følges ved et legekontor: 1. Lovens formål Formålet med denne loven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. 13. Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. En behandlingsansvarlig som lar andre få tilgang til personopplysninger, f.eks. en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd. Kongen kan gi forskrift om informasjonssikkerhet ved behandling av personopplysninger, herunder nærmere regler om organisatoriske og tekniske sikkerhetstiltak. Den Digitale Pasient Farene på ferden Christian Langstrand 15 av 43

16 Helseregisterloven Kilde: Lovdata Helseregisterloven XIV Ved et legekontor skal det utnevnes en databehandlingsansvarlig, personen er ansvarlig juridisk og strafferettslig for at personopplysninger/ helseopplysninger ved legekontoret behandles i tråd med det gitte legekontors arbeidsområde (som ligger i konsesjonen til å drive legekontoret) Videre er det databehandlere ved et legekontor, dette er leger/sykepleiere/ medhjelpere etc. som behandler personopplysninger/helseopplysninger på vegne av databehandlingsansvarlig. 1. Lovens formål Formålet med denne lov er å bidra til å gi helsetjenesten og helseforvaltningen informasjon og kunnskap uten å krenke personvernet, slik at helsehjelp kan gis på en forsvarlig og effektiv måte. Gjennom forskning og statistikk skal loven bidra til informasjon og kunnskap om befolkningens helseforhold, årsaker til nedsatt helse og utvikling av sykdom for administrasjon, kvalitetssikring, planlegging og styring. Loven skal sikre at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger. Utdrag: 15. Taushetsplikt Enhver som behandler helseopplysninger etter denne lov, har taushetsplikt etter forvaltningsloven 13 til 13e og helsepersonelloven. Taushetsplikten etter første ledd gjelder også pasientens fødested, fødselsdato, personnummer, pseudonym, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted. Opplysninger til andre forvaltningsorganer etter forvaltningsloven 13 b nr. 5 og 6 kan bare gis når det er nødvendig for å bidra til løsning av oppgaver etter loven her, eller for å forebygge vesentlig fare for liv eller alvorlig skade for noens helse. 16. Sikring av konfidensialitet, integritet, kvalitet og tilgjengelighet Den databehandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet og tilgjengelighet ved behandling av helseopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den databehandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den databehandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene. En databehandlingsansvarlig som lar andre få tilgang til helseopplysninger, for eksempel en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd. Kongen kan gi forskrift om sikkerhet ved behandling av helseopplysninger etter denne lov. Kongen kan herunder sette nærmere krav til elektronisk signatur, kommunikasjon og langtidslagring, om godkjenning (autorisasjon) av programvare og om bruk av standarder, klassifikasjonssystemer og kodeverk, samt hvilke nasjonale eller internasjonale standardsystemer som skal følges. Den Digitale Pasient Farene på ferden Christian Langstrand 16 av 43

17 Journalforskriften Kilde: Lovdata - Journalforskriften XV Loven spesifiserer i regelverket at alt helsepersonell må følge når det kommer til dokumentasjonsplikt. Dette kan være ved føring, retting, sletting, oppbevaring, overføring, tilgang og tilintetgjøring av pasientjournaler Under følger et utdrag fra loven ved paragraf 8, dette viser hvilke elementer en pasientjournal kan inneholde 1. Lovens formål Forskriften gir nærmere regler om: a) helsepersonells dokumentasjonsplikt, herunder om innhold i pasientjournaler, føring, retting, sletting, oppbevaring, overføring, tilgang til og tilintetgjøring av journal, jf. helsepersonelloven kapittel 8, b) virksomheters ansvar i forhold til opprettelse og organisering av journalsystem, jf. spesialisthelsetjenesteloven 3-2, tannhelsetjenesteloven 1-3a og kommunehelsetjenesteloven 1-3a og c) rett til innsyn i journal, jf. pasientrettighetsloven (Krav til journalens innhold) Pasientjournalen skal inneholde følgende opplysninger dersom de er relevante og nødvendige: a) Tilstrekkelige opplysninger til å kunne identifisere og kontakte pasienten, blant annet pasientens navn, adresse, bostedskommune, fødselsnummer, telefonnummer, sivilstand og yrke. b) Opplysninger om hvem som er pasientens nærmeste pårørende, jf. pasientrettighetsloven 1-3 bokstav b og lov om psykisk helsevern 1-3, og hvordan vedkommende om nødvendig kan kontaktes. c) Dersom pasienten ikke har samtykkekompetanse, skal det nedtegnes hvem som samtykker på vegne av pasienten, jf. pasientrettighetsloven kapittel 4. d) Når og hvordan helsehjelp er gitt, for eksempel i forbindelse med ordinær konsultasjon, telefonkontakt, sykebesøk eller opphold i helseinstitusjon. Dato for innleggelse og utskriving. e) Bakgrunnen for helsehjelpen, opplysninger om pasientens sykehistorie, og opplysninger om pågående behandling. Beskrivelse av pasientens tilstand, herunder status ved innleggelse og utskriving. f) Foreløpig diagnose, observasjoner, funn, undersøkelser, diagnose, behandling, pleie og annen oppfølgning som settes i verk og resultatet av dette. Plan eller avtale om videre oppfølgning. g) Opplysninger som nevnt i 6 fjerde ledd. h) Overveielser som har ledet til tiltak som fraviker fra gjeldende retningslinjer. i) Om det er gitt råd og informasjon til pasient og pårørende, og hovedinnholdet i dette, jf. pasientrettighetsloven 3-2. Pasientens eventuelle reservasjon mot å motta informasjon. forts. neste side Den Digitale Pasient Farene på ferden Christian Langstrand 17 av 43

18 j) Om pasienten har samtykket til eller motsatt seg nærmere angitt helsehjelp. Pasientens alvorlige overbevisning eller vegring mot helsehjelp, jf. pasientrettighetsloven 4-9. Pasientens samtykke eller reservasjon vedrørende informasjonsbehandling. Pasientens øvrige reservasjoner, krav eller forutsetninger. k) Om det er gjort gjeldende rettigheter som innsyn i journal og krav om retting og sletting, utfallet av dette, ved avslag at pasienten er gjort kjent med klageadgangen, og eventuell klage i slik sak. l) Utveksling av informasjon med annet helsepersonell, for eksempel henvisninger, epikriser, innleggelsesbegjæringer, resultater fra rekvirerte undersøkelser, attestkopier m.m. m) Pasientens faste lege. Det helsepersonell som har begjært innleggelse eller har henvist pasienten. n) Individuell plan etter spesialisthelsetjenesteloven 2-5, psykisk helsevernloven 4-1 eller kommunehelsetjenesteloven 6-2a. o) Sykmeldinger og attester. p) Uttalelser om pasienten, for eksempel sakkyndige uttalelser. q) Om det er gitt opplysninger til politi, barneverntjenesten, sosialtjenesten mv., og om samtykke er innhentet fra pasienten eller den som har kompetanse til å avgi samtykke i saken. Det skal angis hvilke opplysninger som er gitt. r) Tvangsinnleggelser, annen bruk av tvang, det faktiske og rettslige grunnlaget for slik tvang og eventuelle kontrollkommisjonsvedtak, jf. lov om psykisk helsevern. s) En faglig begrunnelse 1 i de tilfellene legen har reservert seg mot apotekets generiske bytterett. 2 Arbeidsdokumenter, pasientens egendokumentasjon, røntgenbilder, video- og lydopptak mv. er å anse som del av journalen inntil nødvendig informasjon er nedtegnet på forsvarlig måte. Andre opplysninger enn de som er nevnt i første og andre ledd skal tas inn i journalen i den utstrekning de er relevante og nødvendige Utrag slutt. Den Digitale Pasient Farene på ferden Christian Langstrand 18 av 43

19 Helsepersonell loven Kilde: Lovdata Lov om helsepersonell XVI Med helsepersonell menes alle ansatte ved legekontoret. Denne loven handler om å bidra til at helsepersonell utfører sine arbeidsoppgaver med en riktig etisk og sikkerhetsmessig metode. 1. Lovens formål Lovens formål er å bidra til sikkerhet for pasienter og kvalitet i helsetjenesten samt tillit til helsepersonell og helsetjeneste. 21. Hovedregel om taushetsplikt Helsepersonell skal hindre at andre får adgang eller kjennskap til opplysninger om folks legemseller sykdomsforhold eller andre personlige forhold som de får vite om i egenskap av å være helsepersonell. 21a. Forbud mot urettmessig tilegnelse av taushetsbelagte opplysninger Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte opplysninger som nevnt i 21 uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift. Tilføyd ved lov 9 mai 2008 nr. 34 (i kraft 9 mai 2008 iflg. res. 9 mai 2008 nr. 442). Den Digitale Pasient Farene på ferden Christian Langstrand 19 av 43

20 Sikkerhet Ved legekontoret er datasikkerheten viktig og med dagens infrastruktur over Norsk Helsenett (NHN)er det ikke mulig å kommunisere direkte til maskinene fra internett uten å gå igjennom NHN. Norsk Helsenett og Internett NHN tilbyr dog en løsning for kunder som fortsatt vil surfe på internett som heter NHN-Web / E-post Flex XVII. Her vil den enkelte maskin bli konfigurert til å bruke en proxy server for tilkobling og dette settes opp med enten Mozilla Firefox, Internet Explorer eller begge. Før var ikke denne funksjonen tilgjengelig på legekontorene, og mange bruker fortsatt den gamle løsningen som går ut på å tilkoble seg til Internett via en RDP sesjon til Norsk Helsenett. Andre brukere av RDP er også NHN sine hjemmekontor kunder, som i tillegg til oppsett av RDP må bruke et personlig PKI smartkort sammen med en PIN kode før det opprettes en sesjon inn til legekontoret. Disse tjenestene åpner for sikkerhetsbrudd og utilsiktede personer kan tilordne seg adgang, men når et legekontor/ en bruker undertegner en NHN-Web / E-post Flex løsning godtas det at brukeren selv har ansvar for lokalnettverket og handlingene som utføres. I tillegg til at man er mer utsatt for sikkerhetsbrudd med en slik løsning, vil det være ennå større risiko for at noe skjer ved en brukerfeil ved bruk av løsningene. Følgende sider beskriver mulige metoder for å tilegne seg adgang til en datamaskin med adgang til pasientjournaler. Den Digitale Pasient Farene på ferden Christian Langstrand 20 av 43

21 Metode 1: Trojan/Virus/Malware Et skadelig program designet for ikke å bli oppdaget av antivirus har lenge vært gulleroten for personer som utvikler skreddersydde trojanere til bruk i kun målrettede angrep. I senere tid er det blitt verdenskjent hva disse programmene kan utgjøre ved å kryptere handlingskode slik at det er vannskeligere å identifisere det enkelte virus (Kilde: Det er heller ikke å forakte at et bestillingsoppdrag kan sette et legekontor som mål i fare for angrep, i tillegg til risikoen assosiert med vanlig bruk av internett fra legekontoret og det private hjem. Et slikt program kan ha som mål å logge all data skrevet ved en klient, endre klientens HOSTS fil og sende informasjonen ved bruk av tilsynelatende sikkre nettsider. Etter eventuell injeksjon kan programmet i tillegg spre seg til server hvor eventuelt pasientjournaler ligger. Metode 2: Phishing/phreaking Flere og flere legekontor får egne nettsider, ved å bruke en offentlig tjeneste for å se hvilke legekontor som opererer på landsbasis kan man besøke mindoktor.no og derfra velge seg ut et mål. Videre søker man via søkemotorer på legekontoret for å tilordne seg informasjon som e-post, kontaktpersoner, bilder, telefonnummer og faxnummer etc. Datatilsynet har strenge krav om sending av e-post med pasientsensitive opplysninger XVIII, men et raskt søk på internett viser flere legekontor med e-post konto i tilslutning med kontorhjemmesider og personalet. (Kilde: Med denne informasjonen kan man nå sende en e-post med en falsk avsender som virker troverdig (Folkeregisteret, Norsk Helsenett, Felleskatalogen, Sosial- og helsedirektoratet etc.). Denne e-post kan inneholde en link til en hjemmeside satt opp for å tilegne seg ytterligere informasjon, videre kan man på forskjellige måter få besøkende til å laste ned en tilsynelatende troverdig applikasjon (Takstoppdatering, Felleskatalog, Sikkerhetsoppdatering, Antivirus etc.). Her brukes det gjerne litt tid på å utforme nettstedet til å virke troverdig og gjenkjennbart, inkludert domenenavn eventuelt en direkte IP adresse. Denne form for tilnærming kan i tillegg relateres til ID-Tyveri og uttrekk av bankinformasjon. Den Digitale Pasient Farene på ferden Christian Langstrand 21 av 43

22 Metode 3: Wardriving Å kombinere datasystemene ved et legekontor med trådløs teknologi kan gjøre kostnadene mindre ved nyetableringer og kan utnytte flere teknologier enn å måtte ha en kabel til hvert tilslutningspunkt. Men sikkerheten må være kartlagt og fungerende for at det ikke skal bli en meget stor risiko for lekkasje av pasientjournaler. Kunder av Norsk helsenett blir bedt om å holde høy sikkerhet på slikt utstyr, men hva hvis de medisinske apparatene som skal brukes ikke støtter dette? En hendelse hvor en person finner dette trådløse nettverket, og videre kommer inn på det samme nettverk som klienter ved legekontoret bruker kan utløse et sikkerhetsbrudd. Personen kan utføre et uttrekk eller videre legge inn en trojan som vil kunne kontrollere datamaskinene. Metode 4: Hjemmekontor Det tilbys en hjemmekontor for Norsk Helsenett kunder XIX hvor man i utgangspunktet kan jobbe med pasientjournaler fra alle verdens hjørner. Denne løsningen vil tillate oppkobling til legekontoret via en innebygget funksjon i Windows kalt RDP. Før denne løsningen kan tas i bruk må personen som vil bruke hjemmekontor inngå en avtale om bruk av PKI. Dette vil si at legen for et personlig smartkort og en PIN kode som skal brukes ved pålogging til løsningen. Hvis sikkerheten ikke er god, f. eks ved en dårlig sikret hjemmemaskin/ bærbar pc vil det være en simpel affære for en inntrenger å installere et loggeprogram for å lagre mulige PIN koder. Videre er det meget viktig at bruker av hjemmekontor fysisk fjerner smartkort fra maskin når hjemmekontor økten avsluttes. Står kortet koblet til, og man har PIN kode vil man effektivt kunne logge seg inn på legekontorets nettverk. Den Digitale Pasient Farene på ferden Christian Langstrand 22 av 43

23 Risikoanalyse En risikoanalyse utføres for å være forberedt på mulige hendelser, i tillegg er dette et viktig supplement til en kriseplan ved uforutsette trusler. Med en risikoanalyse kan man raskt vurdere mulige tiltak for å gjenopprette vanlig drift. Legekontor må utarbeide en egen risikoanalyse i henhold til 2-4 i Personopplysningsforskriften. Et godt redskap for dette er blitt utviklet og gis kostnadsfritt til legekontoret under navnet TrinnVis XX Risikoanalyse av et fiktivt legekontor (Kilde: NorSiS Mal XXI, revidert og endret til å passe et legekontor av Christian Langstrand) Ved et legekontor finnes flere trusler som er identifiserbare, dette kan være: - Uautorisert adgang til personopplysninger ved databehandling - Å ikke kunne motta et livs avhengig elektronisk svar fra sykehus/institusjon grunnet svikt ved datamaskiner - Innbrudd ved legekontoret hvor datamaskiner blir stjålet - Strømbrudd over lengre tid - Datamaskiner og/ eller server utsettes for virus og lignende trusler med uautorisert adgang Akseptabel risiko Med stor risiko menes hendelser som skjer mer en to ganger i uken eller som gir betydelig tap av renommé. Rød farge er brukt, og det vurderes som ikke akseptabelt. Med moderat risiko menes hendelser som skjer mer en to ganger i måneden eller tap av renommé. Oransje farge brukes, og legekontoret må være oppmerksomme. Med lav risiko menes hendelser som skjer mer en to ganger i halvåret eller ubetydelig tap av renommé. Grønn farge benyttes, og risikoen aksepteres. Sannsynlighet Sjelden Kan skje Svært vanlig Konsekvens Liten Lav Lav Moderat Middels Lav Moderat Stor Stor Moderat Stor Stor Den Digitale Pasient Farene på ferden Christian Langstrand 23 av 43

24 # Risiko Uautoriserte personer får tilgang til pasientjournalene, dette kan være ved et uanmeldt konsulentoppdrag i forbindelse med it konsulent, Norsk Helsnett, selger eller journalleverandør etc. Ansatte kan bli lurt dersom noen ringer og sier at de jobber i en annen enhet og trenger opplysninger om en person. En kan også bli lurt ved at noen utga seg for å være fra ITavdelingen, og ba om å brukernavn og passord. Egne ansatte kan ønske å spre sensitive personopplysninger for egen vinnings skyld, eller sørge for utilsiktet levering. Uvedkommende kan bryte seg inn i datasystemet utenfra, enten på grunn av manglende sikring av nettverket, eller på grunn av brudd på regelverket som alle brukere må forholde seg til når nettet brukes. Enten jobbrelatert eller privat. Masseangrep i form av e- post utsendelser med skadelig programvare eller trafikkhemmende datapakker (DDoS) mot legekontoret Risikovurdering Konsekvens Sannsynlighet Risikonivå Stor Kan inntreffe Stor Middels Sjeldent Moderat Stor Sjeldent Moderat Stor Kan skje Stor Middels Sjeldent Lav Mulige tiltak Ansatte skal be alle som utgir seg for å være samarbeidspartnere om å identifisere seg, det skal også være allmenn kjent når det er planlagt oppdrag ved legekontoret. Det er også lurt å etablere en innsjekkingsbok. Opplæring i sikker databehandling av brukere. Det skal aldri utgis informasjon om en pasient uten å først depersonalisere informasjonen. Selv med brukernavn og passord ville inntrengere måtte være koblet til Norsk Helsenett / nettverket. Riktig opplæring i bruk av databehandling og etikk kan forhindre dette. Lover & Regler kan nevnes i tillegg til yrkesetikk. Databehandlingsansvarlig er ansvarlig for å opprettholde lovpålagt sikkerhet ved datamaskiner på legekontoret. Men det menneskelige aspekt spiller en meget stor rolle når de ansatte bruker maskinene. F. eks surfing på usikre nettsteder. Opplæring og evt. begrensning i tjenester må til for å opprettholde sikkerheten. En slik hendelse er ikke mulig i dagens sammhandlingsnettverk. Lukkede nett samt sikkerhet rundt SMTP utsendinger hindrer slik aktivitet i å utløpe seg over hele nettet. Den Digitale Pasient Farene på ferden Christian Langstrand 24 av 43

25 Spørreundersøkelse for Legekontor (Kilde: Christian Langstrand) Det er utarbeidet en spørreundersøkelse for denne rapporten om legekontor sine kunnskaper når det kommer til datasikkerhet, avviksbehandling for elektroniske pasientmeldinger samt lover som må følges ved databehandling. Undersøkelsen ble postet på Eyr XXII som er en e- post liste for allmennpraktikere i Norge. Det var mulig å delta i 18 dager. Det tekniske oppsettet finnes under vedlegg 3 Totalt 49 fullstendige besvarelser ble innlevert. Spørsmål 1: Hvilken posisjon innehar du på legekontoret De største andelen av deltagere var Leger (82%), dernest IT Ansvarlige (12%), Spesialister (6%) og Sykepleiere/Medhjelpere (0%) Den Digitale Pasient Farene på ferden Christian Langstrand 25 av 43

26 Spørsmål 2: Hvem drifter dine IT-systemer pr. dags dato Spørsmålet ble stilt for å kartlegge om legekontoret selv tar hånd om sin IT (server, klienter). Resultatet viser at eksterne IT firma står for mesteparten av drift, men at det også er en stor andel legekontor som selv står for all drift. Observasjon: Når et legekontor bruker en ekstern IT partner for IT-drift og support av klienter, må partner være inneforstått med lover & regler som gjelder. I tillegg må det være en taushetserklæring da evt. IT konsulenter ville ha tilgang til pasientjournaler. Når legekontoret selv står for IT-drift er det meget viktig at en IT-ansvarlig utnevnes, og at denne personen har kunnskap om sikker drift av legekontoret. I tilfeller hvor IT-driften er med hjelp av en privat bekjent av legekontoret, burde ikke det hvert tilfelle. Det kan fort bli useriøst, og ingen dokumentasjon for dette. Selve jobben kan også utføres som en vennetjeneste, og det blir å blande kortene med tanke på sikkerheten. Den Digitale Pasient Farene på ferden Christian Langstrand 26 av 43

27 Spørsmål 3: Er du kjent med legekontorets backup (sikkerhetskopi) rutiner Observasjon: Selv om det i de fleste tilfeller var eksterne IT partnere som driftet nettverket og supportere dette, er det viktig at man selv har oversikt av sikkerhetskopier ved legekontoret. Mange ITleverandører gir kun oppsett av sikkerhetskopier, og krever at kunde selv har personer som fysisk har ansvar for å utføre selve kopien. Hvis man selv ikke påser at en sikkerhetskopi er kjørt uten problemer kan man risikere omfattende tap av f. eks pasientjournaler ved datakræsj. Den Digitale Pasient Farene på ferden Christian Langstrand 27 av 43

28 Spørsmål 4: Hvis ja, hvordan utføres denne backup rutinen (sikkerhetskopien) Observasjon: Sikkerhetskopien ble først og fremst lagret med tape-medier ved legekontorene, denne metoden krever fysisk oppfølging av rutinen om bytting av tape. Selv om dette blir gjort, burde det også være rutine for periodisk verifisering av data på tape og til og med en test hvor man fører tilbake data på til et område som ikke berører produksjons område. Det kan raskt oppstå missforståelser mellom legekontoret og IT-partner ved et databrudd om ikke dette aspektet er ivaretatt. Av legekontor som tok sikkerhetskopi til harddisk er det viktig at denne ikke er på samme område som harddisken der data blir kopiert fra. Det beste er å bruke to separate harddisker, og ikke nøye seg med partisjoner for inndeling av områder. Videre var det fire legekontor som svarte at data ikke blir lagret ved kontoret, dette er kunder som bruker sine journalsystem over terminal servere. I noen tilfeller er det kommunale legekontor, men også journalleverandør kan ha en terminal løsning over f. eks Citrix, hvor all data relatert til programmet blir lagret på eksterne servere, med tilhørende strenge backup rutiner. Dette er en god løsning for kunder med mindre IT-kompetanse / ressurser til bruk av sikkerhetskopier. Det var også et legekontor i undersøkelsen som brukte minnepinne(r) til sin sikkerhetskopi, denne løsningen kan være usikker i form av kvalitet på mediet og den generelle oppfattningen av minnepinner. Ingen legekontor i undersøkelsen oppgav at det ikke fantes sikkerhetskopiering av data. Den Digitale Pasient Farene på ferden Christian Langstrand 28 av 43

29 Spørsmål 5: Har dere opplevd en data kræsj Forklaring: Med data kræsj menes en tid overstigende 3 timer, hvor pasientjournaler ikke har hvert mulig å hente opp. Dette kan ha hvert ved lokale problemer med server hos legekontoret, men også feil/ linjebrudd hos ekstern journal leverandør. Videre blir det spurt om pasientjournaler har blitt mistet, hvor sikkerhetskopiene ikke har vært tilstede/ vært ødelagte Observasjon: Man kan konkludere med at de fleste i undersøkelsen (67%) ikke opplevd data kræsj på software/maskinware som har vart i unormalt lang tid. Tolv legekontor har hatt nedetid oppimot en arbeidsdag, og et av kontorene var nede i flere dager. Årsakene til nedetiden har antageligvis hvert mindre problemer ved kontorene, noen relatert til brukerfeil og programfeil og noen relatert til basis behov som f. eks strøm til legekontoret. Ved tre av kontorene har det hvert alvorlige data kræsj med påfølgende tap av pasientjournaler, årsaken har også vært manglende rutine ved sikkerhetskopiering. Det er nå mulig å trekke en konklusjon at selv med sikkerhetskopiering på legekontoret, kan det ved dårlig rutine fortsatt resultere i faktiske tap av pasientjournaler. Den Digitale Pasient Farene på ferden Christian Langstrand 29 av 43

30 Spørsmål 6: Brukes elektroniske pasientmeldinger ved legekontoret Forklaring: Følgende spørsmål dreier seg om den elektroniske kommunikasjonen legekontor har til og fra sykehus, andre legekontor og institusjoner (røntgen, laboratorie, henvisninger, epikriser etc.) Observasjon: De fleste av legekontorene bruker nå Norsk Helsenett, fem av legekontorene bruker fortsatt Trygd-Helse og fem av deltagende kontorer bruker ikke elektroniske pasientmeldinger. Det kan også nevnes at enkelte legekontor i dag bruker både NHN og Trygd Helse, disse er under omlegging til kun Norsk Helsenett. Det ble også spurt om det var kommunikasjon med pasientmeldinger igjennom andre løsninger, dette kunne vært ved at legekontoret bruker terminalservere mot en ekstern leverandør som også tilbyr NHN oppkobling. Den Digitale Pasient Farene på ferden Christian Langstrand 30 av 43

31 Spørsmål 7: Hvis ja, har legekontoret opplevd å ikke motta en elektronisk pasientmelding? Forklaring: Følgende spørsmål dreier seg om den elektroniske kommunikasjonen legekontor har til og fra sykehus, andre legekontor og institusjoner (røntgen, laboratorie, henvisninger, epikriser etc.) Observasjon: Den største andelen av besvarelser ved dette spørsmålet var om meldinger som har ankommet som vanlig via brevpost, men som ikke kom frem elektronisk. Selv om det i mediebildet XXIII av IKT-Helse Norge ønskes raskere overgang til elektroniske pasientmeldinger må det bli bedre menneskelig styrt overvåkning og avviksbehandling på legekontorene. Den Digitale Pasient Farene på ferden Christian Langstrand 31 av 43

32 Spørsmål 8: Har du blitt informert når det har vært problemer med elektroniske pasientmeldinger Forklaring: Dette kan ha vært når det har vært linjebrudd, stopp ved Norsk Helsenett eller f. eks problemer med utsending fra Sykehus/ Institusjon. Observasjon: Når man først inngår en avtale med NHN, sykehus/institusjoner og andre legekontor er det en vanlig missforståelse at alt fungerer fra første stund. Derimot er det menneskelige aspektet ved (ikke bare igangsetting) drift og vedlikehold av EDI meget viktig. Forskjellige leverandører bruker forskjellig programvare for feilsøking og retting av EDI meldinger som både mottas og sendes feil, og det må etableres rutiner for overvåking av de elektroniske meldingene. Den Digitale Pasient Farene på ferden Christian Langstrand 32 av 43