Informasjonssikkerhet i morgendagens helsevesen
Størrelse: px
Begynne med side:

Download "Informasjonssikkerhet i morgendagens helsevesen"

Transkript

1 Informasjonssikkerhet i morgendagens helsevesen Avdelingssjef

2 Informasjonssikkerhet i morgendagens helsevesen Avdelingssjef K I T H ~ samhandling for helse og velferd

3 KITH KITH AS ble etablert i 1990 Aksjeselskap, not-for-profit Aksjeeierne i dag: Helse- og omsorgsdept: 70% KS: 19,5% Arbeids- og inkluderingsdept: 10,5% Hovedkontor i Trondheim med en enhet i Oslo Ca. 30 ansatte Hvorav ca. 1/3 helsefaglig bakgrunn

4 KITHs ansvarsområder: Utredning Utrednings-/forprosjekter Høringer Standardisering Program for kodeverk, klassifikasjoner og terminologi Standardiserings- og samordningsprogram Andre standardiseringsoppdrag Sertifisering av meldingsimplementeringer m.v. testlab

5 100% øking av sykehusbudsjettene på 7 år 60% av helsebudsjettet går med til pasientens siste leveår 10% av pasientene bruker 70% av ressursene Vendepunkt i 2009: Kommunehelsetjenesten bruker mer en spesialisthelsetjenesten Yrkesaktive går dramatisk ned 7,0 yrkesaktive pr pensjonist i ,7 yrkesaktive pr pensjonist i 2020

6 Samhandlingsreformen (st.meld 47) Rett behandling - på rett sted til rett tid Elektronisk kommunikasjon skal være den normale måten å kommunisere på. Dette gjelder både; I forholdet mellom tjenesteyter/behandler og pasient/brukere. I forholdet mellom de ulike tjenesteytere/behandlere. All dokumentasjon og informasjonsutveksling skal foregå elektronisk.

7 Innsatsområder i samhandlingsreformen Teknologien skal legge til rette for at all nødvendig informasjon er tilgjengelig ved behov der hvor pasienten befinner seg for å ivareta sømløse pasientforløp. For å nå målene vil tre innsatsområder stå sentralt i regjeringens arbeid: styrke nasjonal styring og koordinering av IKT for helse- og omsorgssektoren vurdere å innføre tidsfrister for oppkobling til et sikkert norsk helsenett for kommunikasjon av meldinger utrede utvikling av en nasjonal kjernejournal

8

9 Ny pasientrolle?

10 Ny pasientrolle? Pasienter forventer at behandlende helsepersonell har tilgang på relevant helseinformasjon Pasienter ønsker å styre/nekte tilgangen til (spesielt) sensitiv informasjon Pasienter ønsker å kunne gi andre (behandlere) innsyn i egen helseinformasjon MEN samtidig vil vi ha svært mange tradisjonelle pasienter

11 Konsekvenser for tilgangen Hvem bør bestemme tilgangen til opplysninger? Pasienten som hovedregel (men som regel implisitt) Pårørende for barn/eldre Unntak ved akuttsituasjoner Fleksibel og dynamisk tilgang Pasienten ønske om beskyttelse av informasjon kan variere over tid og med situasjon Gradering av informasjon Etter kategori: spesielt sensitiv informasjon (eks. psykiatri, hiv/aids, gynekologi mv.) Etter behandlingssted

12

13 Helsetjenester i hjemmet Omsorgsteknologi sporingsteknologi, sensorer, smarthus, varsling (medisin) Dilemma: trygghet vs. overvåkning Pasient og pårørende må bestemme hva som skal registreres og lagres Internettbaserte tjenester for pasienter: Google Health Microsoft HealthVault Integrasjon med ulike systemer/utstyr

14 Tolkingsassistenten

15 Nasjonal kjernejournal En IKT-basert løsning der helsepersonell som yter helsehjelp til en pasient kan, gitt autentisering og autorisasjon, få tilgang til et begrenset sett tilrettelagte kjerneopplysninger om pasienten. Med kjerneopplysninger menes livbergende kritisk informasjon (blodtype, allergier, etc.), gjeldende medisinering og kontaktoversikt/epikriser. En kjernejournal er ikke en journal, men en samling informasjon ekstrahert fra de elektroniske pasientjournaler (EPJ). En kjernejournal vil gi verdifull informasjon til behandlende helsepersonell, men vil ikke gi tilstrekkelig informasjon

16 Konsekvenser av reformer og utvikling Relevant informasjonen må være tilgjengelig der pasienten og/eller behandler er Pasienten må gis større kontroll over informasjonen Helsepersonell må ivareta dokumentasjonsplikten i sin virksomhet og dokumentere hva som var tilgjengelig av informasjon snapshot Samtidig må pasientens personvern ivaretas Men hvordan?

17 Fra rapport fra abeidsgruppe: Deling av pasientrettet informasjon, 2010

18 Hvordan oppnå dette? En vei kan være å tilrettelegge for mer deling av informasjon Gjennom en tjenesteorientert arkitektur (SOA) informasjon hentes/fremvises ved behov basert på nødvendige rettigheter (satt av helsepersonell og pasient) beslutninger og vurderinger dokumenteres i egen virksomhet Ikke nødvendig å kopiere informasjon som kan gjenskapes uforandret senere (men referanse el)

19 Sikkerhet og tjenesteorientering G. Peterson, 2008

20 Sikkerhet og tjenesteorientering Håndtering av sikkerheten kan ikke bare skje innenfor egen virksomhet: Må etablere et regime for identitetshåndtering med et tilstrekkelig sikkerhetsnivå Må etablere autentiseringsmekanismer og mekanismer for federering på et tilstrekkelig sikkerhetsnivå Må beskrive rettigheter for tilgang til tjenester (og ressurser) Gjøre audit informasjon tilgjengelig både for forespørrer og tilbyder, og følge opp dette

21 Tilgangskontroll (AAA) Autentisering: hvem er det som skal ha tilgang? Autorisering: har vedkommende nødvendige rettigheter til ressursen? Audit: hvem har hatt tilgang til ressursen?

22 Autentisering: Tilgangskontroll i SOA - sikker identitet på tvers av systemer og virksomheter - federering av identiteter - Autorisering - Har den som etterspør tjenesten nødvendige rettigheter til den gitte tjenesten - Rettigheter kan være knyttet til individ, grupper, virksomheter mv. - Audit - Logging av utførte transaksjoner - Hvem skal ha tilgang til loggene?

23 Mot et felles sikkerhetsregime Fase 1: sikkerhet knyttes til det enkelte system Egen pålogging, rettigheter, logging i hver system Fase 2: sikkerhet knyttes til virksomheten Felles pålogging (portal), intern federering, felles kataloger over roller, rettigheter mv. Fase 3: sikkerhet knyttes til ressursene/tjenestene Felles autentisering, felles kataloger, federering mellom tjenester, felles sikkerhetsregime

24 Systemarkitektur (aktør A) Samhandlingsarkitektur For meldinger For webtjenester mm Systemarkitektur (aktør B) Fagsystem (Funk. krav, Innholdsstandard EPJ-standard) Innholdsstandarder Innholdsstandarder Fagsystem Kommunikasjonstjenester Kommunikasjon og rammeverk Kommunikasjon og rammeverk Kommunikasjonstjenester Infrastruktur & basistjenester Infrastruktur & basistjenester Infrastruktur & basistjenester Infrastruktur & basistjenester Ny rapport: Standardisering og samhandlingsarkitektur, KITH 2010

25 Samhandlingsarkitektur for meldingskommunikasjon i helsesektoren Innholdsstandard (meldinger) Hodemelding Ev. personlig signatur ebxml-rammeverk (innpakking, adressering, transportkvittering, kryptering, autentisering, virksomhetssignatur) Postkasse Norsk Helsenett Internett Adr. katalog Applik.- kvittering PKIkatalog

26 Web-service profil Ev. personlig signatur Innholdsstandard (WS-meldinger) Felles innholdskomponenter (adressering etc) Profil for Web Services i helse- og omsorgssektoren WS-I Basic Profile WS-I Basic Security Profile (innpakking, adressering, sporbarhet, kryptering, autentisering, virksomhetssignatur) Norsk Helsenett Applik.- kvittering PKIkatalog Internett

27 Referanser tjenesteorientering mv. Tjenesteorientert arkitektur i spesialisthelsetjenesten, (Nasjonal IKT, 2008) Profil for web services i helse- og sosialsektoren, (KITH, 2009) under revisjon Referansearkitektur for sikkerhet i web services, (KITH, 2009) Metoder og standarder for tjenesteorientert arkitektur i offentlig sektor (difi, 2010)

28 Oppsummering Utviklingen stiller krav til nye måter å organisere helsetjenesten på dette krever nye ITløsninger Å lage gode sikkerhetsløsninger er krevende, men fullt mulig! I morgendagens helsevesen må vi kunne tilby bede og mer effektive helsetjenester uten at dette går på bekostning av personvernet

29 Takk for meg!

30 Takk for meg! KITH AS Sukkerhuset 7489 Trondheim E-post: Web: Tel.: , Fax: Bjarte Aksnes

Like dokumenter
2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding