FUNNKe Rapport fra risikovurdering. Informasjonssikkerhet i elektronisk meldingsutveksling med helse- og omsorgssektoren i kommunene

Transkript

1 FUNNKe Rapport fra risikovurdering Informasjonssikkerhet i elektronisk meldingsutveksling med helse- og omsorgssektoren i kommunene Versjon Eva Henriksen og Eva Skipenes Nasjonalt senter for samhandling og telemedisin

2 Sammendrag Denne risikovurderingen er i hovedsak gjennomført i første halvår av Bakgrunn for risikoanalysen Styringsgruppen for prosjektet FUNNKe har i møte bedt om at det gjennomføres en risikovurdering av drift og overvåkning av meldingsutveksling på kommunesiden. Nasjonalt senter for samhandling og telemedisin (NST) har tidligere gjennomført risikovurdering av den elektroniske meldingsutvekslingen i Helse Nord. Gjennomføring Risikovurderingen er utført av Eva Skipenes og Eva Henriksen, sikkerhetsrådgivere ved Nasjonalt senter for samhandling og telemedisin (NST). Vi har deltatt på arbeidsgruppemøter i FUNNKe-prosjektet og i samlinger med representanter fra kommunene. I tillegg har vi underveis hatt møter, samtaler og e-postkommunikasjon med sentrale personer i Tromsø kommune og i Helse Nord IKT. Vi har også basert en del av vurderingene på den risikovurderingen vi gjorde for HN IKT av den elektroniske meldingsutvekslingen i Helse Nord i Hovedkonklusjoner De analyserte tjenestene er beskrevet i kapittel 3. Kapittel 5 beskriver de identifiserte truslene og vurderingen av disse, som er basert på definisjonene av sannsynlighet, konsekvens og risikonivå i kapittel 4. Vi har funnet 23 mulige trusler. Bare én av disse er vurdert til å ha høyt risikonivå og er dermed uakseptabel. Av de 13 truslene med middels risikonivå, anser vi 5 for å være uakseptable. Dette medfører at totalt 6 trusler er vurdert til å ha uakseptabelt risikonivå. Trussel t5 som er identifisert med høyt risikonivå, er en trussel mot sikkerhetsaspektet tilgjengelighet, Den er knyttet til overvåkning av status for utgående meldinger, spesielt med hensyn til kontroll av transport- og applikasjonskvitteringer. Tilgjengelighetstruslene t7, t9 og t12 handler om meldinger som ikke kommer raskt nok fram til riktig mottaker i PLO-sektoren i kommunen, enten fordi de er adressert feil fra avsender eller fordi de feilaktig blir håndtert av feil tjeneste i kommunen. En utfordring i disse situasjonene er at avsender får positiv applikasjonskvittering fra kommunen og dermed antar at meldingen er mottatt riktig. To av de uakseptable truslene med middels risikonivå er relatert til sikkerhetsaspektet konfidensialitet og handler om at det kan være for vide tilganger til meldinger i innboksen. Det gjelder ved tilgang til meldinger på ukjente pasienter (trussel k1), og også dersom kommunen ikke har tatt i bruk forskjellige tjenesteadresser for de ulike områdene av PLOsektoren (trussel k4a). I kapittel 6 har vi anbefalt en del tiltak som på ulike måter er med på å redusere risikoen for flere av truslene. For kommuner som har gjennomført disse tiltakene anser vi risikonivået for å være akseptabelt. De viktigste tiltakene er relatert til gode rutiner og klare ansvarsforhold mht. drift og overvåkning av meldingstjenesten, i tillegg til god opplæring og tilstrekkelig med ressurser til å sikre god kvalitet i meldingstjenesten. Vi viser for øvrig til konklusjonene i kapittel 7. 2

3 INNHOLDSFORTEGNELSE SAMMENDRAG INTRODUKSJON OPPDRAGSBESKRIVELSE GJENNOMFØRING REGELVERKETS KRAV OM RISIKOVURDERING METODE NASJONALE RETNINGSLINJER FOR MELDINGSTJENESTEN SYSTEM- OG TJENESTEBESKRIVELSE ORGANISERING AV PLO-TJENESTEN I KOMMUNENE MELDINGSTYPER MELDINGSFLYT HÅNDTERING AV MOTTATTE MELDINGER I FAGSYSTEMENE Mottak av meldinger i PLO-sektoren i kommunene Mottak av meldinger i foretakene i Helse Nord Mottak av meldinger ved fastlegekontorene MELDINGSOVERVÅKNING OG HÅNDTERING AV FEILSITUASJONER ANDRE UTFORDRINGER DEFINISJON AV SANNSYNLIGHET, KONSEKVENS OG RISIKONIVÅ SANNSYNLIGHET KONSEKVENS RISIKONIVÅ AKSEPTKRITERIER TRUSSELIDENTIFISERING OG -ANALYSE TRUSLER MED HØY RISIKO TRUSLER MED MIDDELS RISIKO TRUSLER MED LAV RISIKO ANBEFALTE TILTAK KONKLUSJON REFERANSER VEDLEGG A TRUSSELTABELL VEDLEGG B KRAV TIL ELEKTRONISK MELDINGSUTVEKSLING

4 1 Introduksjon 1.1 Oppdragsbeskrivelse Styringsgruppen for prosjektet FUNNKe har i møte bedt om at det gjennomføres risikovurdering (ROS-analyse) av drift og overvåkning av den elektroniske meldingsutvekslingen i foretak og kommuner. Dette er en vurdering av informasjonssikkerhet knyttet til meldingsutveksling, i hht. krav i personopplysningsforskriftens 2-4 (se avsnitt 1.3). Vi har valgt å gjøre risikovurderingen fra et kommuneperspektiv, og med hovedfokus på PLO-meldinger. Denne meldingsutvekslingen skjer i hovedsak mellom følgende parter: kommune (PLO og legekontor) og foretak PLO og legekontor i kommune PLO og legevakt i kommune I risikovurderingen har vi fokusert på trusler knyttet til meldingsoverføring til og fra PLOsektoren i kommunene. Vi har noe mindre fokus på trusler på legekontor-siden. Trusler mot meldingsoverføring på foretakenes side er omhandlet i en tidligere risikovurdering [1]. Vi har ikke vurdert meldingsoverføring til eksterne parter som NAV, HELFO og sentrale registre. Det meste av informasjonen om kommunale PLO-system har vi fra Tromsø kommune og fagsystemet Visma Omsorg Profil. I en del tilfeller vil problemstillingene være noe annerledes for mindre kommuner og for andre fagsystem. Truslene er vurdert på et generelt grunnlag, og den enkelte kommune må, basert på dette, selv avgjøre hvilke trusler og tiltak som er mest relevant for dem og hvilket risikonivå som gjelder for deres tjenester. 1.2 Gjennomføring Risikovurderingen er utført av Eva Skipenes og Eva Henriksen, sikkerhetsrådgivere ved Nasjonalt senter for samhandling og telemedisin (NST), i første halvår NST gjennomførte i 2012 en risikovurdering av den elektroniske meldingsutvekslingen i Helse Nord, i hovedsak sett fra HN IKT og foretakenes side [1]. Vi har deltatt på Arbeidsgruppemøter i FUNNKe-prosjektet Samling i etterkant av NHN sitt sikkerhetsseminar, Tromsø, 23. og 24. januar 2013 Prosjektledermøter på VK, februar 2013 Nettverksmøte for Finnmark, Alta, 21. februar 2013 I tillegg har vi underveis hatt møter/samtaler og e-postkommunikasjon med følgende personer: FKU UNN (Åse Merete Pedersen og Elisabeth Alfredsen) Line Nordgård, Tromsø kommune Lars Andreas Wikbo, Helse Nord IKT 4

5 1.3 Regelverkets krav om risikovurdering Personopplysningsforskriften 2-4 om risikovurdering sier [2]: Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko forbundet med behandling av personopplysninger. 1.4 Metode NST bruker en metodikk for risikovurdering basert på ISOs standard for risikohåndtering [3]. Metodikken er bl.a. oversiktlig beskrevet i et NST-faktaark 1. Vi har laget en strukturert oversikt over potensielle trusler, basert på innspill fra både kommuner, helseforetak (UNN) og HN IKT. Dette omfatter både tekniske og organisatoriske trusler. Informasjon er innhentet gjennom deltakelse på samlinger der flere kommuner har vært representert, intervju med sentrale personer, og gjenomgang av dokumenter på FUNNKe sine nettsider 2. For hver enkelt trussel har vi anslått sannsynlighet og konsekvens dersom nødvendige tiltak ikke er på plass, og beregnet risikonivået dette medfører. Analysen avsluttes med forslag til tiltak som kan redusere risiko som ev. er for høy. Den enkelte kommune må, basert på dette, selv avgjøre hvilke trusler og tiltak som er mest relevant for dem. Helseregisterloven 16 [4] sier at ved behandling av helseopplysninger skal det sørges for tilfredsstillende informasjonssikkerhet med hensyn til sikkerhetsaspektene konfidensialitet, integritet, kvalitet og tilgjengelighet. I denne risikovurderingen ser vi at problemstillingene i første rekke vil være relatert til aspektene tilgjengelighet og konfidensialitet, men også kvalitet: - Tilgjengelighet: Trusler som fører til at meldingene ikke kommer fram til riktig mottaker og/eller til rett tid. - Konfidensialitet: Trusler som fører til at uvedkommende får tilgang til sensitive personopplysninger, f.eks. når meldinger kommer til feil mottaker. - Kvalitet: Trusler som gjelder problemer med visning av meldinger og følgende misoppfatning av innhold. Trusler som gjelder meldingenes integritet anser vi å ligge utenfor det vi skal se på i denne risikovurderingen. Dette aspektet omhandler bl.a. kvaliteten på programvaren, om feil i programvaren kan føre til at meldingsinnholdet endres/forvrenges underveis i overføringen, eller om uvedkommende kan få en tilgang som gjør dem i stand til å endre meldingsinnhold. 2 Nasjonale retningslinjer for meldingstjenesten Nasjonalt meldingsløft, initiert av Helsedirektoratet i 2008, skulle bidra til sterkere trykk på utbredelsen av samhandlingsløsninger i helsetjenesten. Tiltaket var en videreføring av Helseog omsorgsdepartementets krav om at helseforetakene skulle ta i bruk elektronisk kommunikasjon i sin samhandling med øvrige deler av helsetjenesten

6 Meldingsløftet i kommunene var et nasjonalt program som ble etablert for å bistå utvalgte kommuner i arbeidet med å innføre elektronisk meldingsutveksling i kommunene, og ble berammet for perioden Norsk Helsenett (NHN) har fått i oppdrag fra departementet (HOD) at de skal ha en sentral rolle innen meldingsutveksling og gi bistand til kommunal sektor på dette området fra Dette innebærer at NHN skal ivareta mange av de behovene som i ble dekket av Meldingsløft-strukturen og dets etablerte nettverk. Derfor etablerte NHN prosjektet KomUt for utbredelse av meldingsutveksling i kommunene 3. Prosjektet pågår ut Dokumentet Minstekrav til elektronisk meldingsutveksling ble utviklet av en arbeidsgruppe under Nasjonalt meldingsløft våren 2011 [5]. Kravdokumentet gir en god oversikt over de mest sentrale kravene/forholdene som må være på plass hos en aktør i helse-, sosial- og omsorgssektoren for at elektronisk meldingsutveksling skal være forsvarlig. På bakgrunn av erfaringene fra Meldingsløftet besluttet styringsgruppen for Norm for informasjonssikkerhet å utarbeide et sett med minstekrav for meldingskommunikasjon; Krav til elektronisk meldingsutveksling [6]. Kravdokumentet er en omarbeiding av dokumentet fra Meldingsløftet, nevnt over. Kravene blir veiledende inntil videre for alle virksomheter som behandler helseopplysninger og som sender og mottar elektroniske meldinger i samhandling med andre aktører over helsenettet, men forventes å bli obligatoriske ved etablering av ny tilknytningsavtale med NHN. Normens faktaark nr. 16 [7] omhandler sikkerhetstiltak ved etablering av løsninger for meldingskommunikasjon. Faktaarket har også forslag til hvilke aspekter som bør vurderes i en risikovurdering. Vi har i denne risikovurderingen blant annet tatt utgangspunkt i kravene i dokumentet Krav til elektronisk meldingsutveksling. I vedlegg B har vi tatt med listen over disse kravene fra normens kravdokument. Her kan den enkelte kommune selv notere seg sin status for kravoppfyllelse. 3 System- og tjenestebeskrivelse I dette kapitlet gir vi en beskrivelse av meldingsoverføring til og fra kommuner, slik vi har fått den presentert i dokumenter, skisser og beskrivelser fra deltakere i FUNNKe-prosjektet. Mye informasjon er også funnet på FUNNKe sine web-sider ( Denne rapporten omfatter risikovurdering av meldingsutvekslingen mellom Pleie- og omsorgssektoren i kommunene (PLO), fastlegene og helseforetakene. Risikovurderingen har spesiell fokus på pleie- og omsorgsmeldinger, men ser også på enkelte trusler knyttet til såkalte basismeldinger, f.eks. henvisning og epikrise. Vi har ikke vurdert meldinger til eksterne parter som NAV, HELFO og sentrale registre. 3.1 Organisering av PLO-tjenesten i kommunene Pleie- og omsorgssektoren i kommunene er organisert på ulike måter. Store kommuner har ofte inndelt sektoren i flere tjenesteområder enn mindre kommuner. I tillegg kan kommunene velge å gruppere eller slå sammen tjenesteområdene på ulike måter. Noen kommuner har en egen saksbehandlertjeneste som er felles for alle tjenesteområder innen pleie- og omsorgssektoren, mens i andre kommuner kan hvert enkelt tjenesteområde ha egen saksbehandling

7 Under vises to eksempler: Tjenesteområder i Lenvik kommune 4 : Sykepleietjeneste, pleie og omsorg o Tjeneste for utviklingshemmede Legetjeneste, pleie og omsorg Saksbehandler pleie, omsorg og rehab Psykisk kommunehelsetjeneste Tromsø kommune har i tillegg disse tjenesteområdene: Fengselshelsetjenesten Sosialmedisinsk senter, helsetjeneste Rehabilitering Legevakttjeneste Helsedirektoratet har et ansvar for nasjonale kodeverk i helsesektoren. De ulike kodeverkene benyttes i meldingsspesifikasjoner, EPJ kravspesifikasjoner/standarder, i kvalitetsregistre og nasjonale helseregistre, og i andre sammenhenger. Kodeverkene og metadata for disse publiseres gjennom Volven ( Her er det også definert tjenesteområder for pleie- og omsorgssektoren i kommunene. Definisjonene for kommunale helse- og sosialtjenester i Tabell 1, er hentet fra Volven 5. Tabell 1: Kodeverk for Kommunale helse- og sosialtjenester (OID=8663) Beskrivelse: Klassifisering av kommunale helsetjenester Status: Per 4. februar 2011: Til utprøving Kodeverdier KA01 KA02 KA03 Fastlegetjeneste Legevakttjeneste Kommunelegetjeneste KA0301 Smitteverntjeneste KA04 Flyktningehelsetjeneste Kan benyttes for å adressere til et kommunalt legekontor som har mye gjennomtrekk KP Pleie- og omsorgstjeneste Utgår Skal ikke benyttes KP01 KP02 KP03 KP04 KF01 Legetjeneste, pleie- og omsorg Sykepleietjeneste, pleie- og omsorg Psykisk kommunehelsetjeneste Økonomi/oppgjørstjeneste, pleie- og omsorg Helsestasjons- og skolehelsetjeneste Skal benyttes til vederlagstrekk 4 Se Retningslinjer for bruk av elektroniske meldinger, Lenvik kommune, desember 2010, på FUNNKe-websider 5 (sist sett ) 7

8 KF0103 Helsestasjon for ungdom KF0104 Jordmortjeneste KD01 Sosialkontortjeneste KD0501 Saksbehandler pleie, omsorg, rehab. KD0601 Saksbehandler bolig KR KR01 KR02 KX KX01 KX02 KX03 Rehabilitering Fysioterapitjeneste Ergoterapitjeneste Andre tjenestetyper Fengselshelsetjeneste Helseteam (Overdoseteam) Sosialmedisinsk senter, helsetjeneste Kommunene må velge sine tjenesteområder fra denne lista. Kommunene må registrere og oppdatere adressene for de valgte tjenesteområdene i NHN Adresseregister, og de har selv ansvar for å administrere sine adresser i adresseregisteret, på lik linje med legekontor og foretak. For foretak og PLO/kommune er det tjenestene som registreres med HER-id. For legekontor er både legekontoret og den enkelte lege registrert med HER-id (fastlegen er tjenesten ). Meldinger sendes til/fra disse tjenesteområdene for kommunikasjonsparter som benytter tjenestebasert adressering. Dersom kommunikasjonspartene ikke benytter tjenestebasert adressering (som f.eks. helseforetakene i Helse Nord), adresseres meldinger til virksomheten (kommunen eller helseforetaket), som må sørge for den interne fordeling av mottatte meldinger (se avsnitt 3.4.1). 3.2 Meldingstyper Det er utviklet to hovedtyper av meldinger for elektronisk samhandling i helsesektoren: basismeldinger og PLO-meldinger. Basismeldinger er i hovedsak henvisninger og epikriser/polikliniske notat rekvisisjoner (lab, rtg, o.l.) og svar på rekvisisjoner Disse meldingstypene har vært i bruk mellom foretak og legekontor i mange år. De er også i ferd med å tas i bruk i PLO-sektoren, f.eks. epikriser til sykehjem fra foretak og legevakt. PLO-meldinger for kommunikasjon mellom pleie- og omsorgssektoren i kommunene på den ene siden og helseforetak og legekontor på den andre siden, finnes i hovedkategoriene logistikkmeldinger og fagmeldinger med dialog/forespørsel. Logistikkmeldinger skal ivareta behov for å overføre administrativ informasjon knyttet til en sykehusinnleggelse, til planlegging av utskrivning og til selve utskrivningen. Logistikkmeldinger inneholder ingen helseinformasjon om pasienten [8]. 1. Logistikkmeldinger (fra HF til PLO) Melding om innlagt pasient Melding om utskrivningsklar pasient 8

9 Avmelding utskrivningsklar pasient Melding om utskrevet pasient 2. Fagmeldinger og dialog (begge veier mellom PLO og HF/legekontor)) Innleggelsesrapport (fra PLO til HF) Helseopplysninger (fra HF til PLO) Utskrivningsrapport (fra HF til PLO) (benyttes foreløpig ikke) Helseopplysninger til lege (fra PLO til legekontor) Medisinske opplysninger (fra fastlege til PLO) Legemiddelopplysninger (begge veier mellom PLO og legekontor) Orientering om tjenestetilbud (fra PLO til legekontor) Orientering om dødsfall (begge veier mellom PLO og fastlege) Forespørsel (helseopplysninger, legemiddelopplysninger, reseptfornyelse, timeforespørsel, status/plan for utskrivning, tjenestetilbud, tilstandsvurdering, annen henvendelse) Svar på forespørsel (helseopplysninger, legemiddelopplysninger, status/plan for utskrivning, annen henvendelse) Avviksmeldinger (feilmelding, mangelfulle opplysninger, annet) Noen fagmeldinger kan enten sendes som selvstendige meldinger eller som svar på forespørsel. Innholdet i mange av meldingene genereres automatisk utfra informasjon i fagsystemet. Feil eller mangler i dokumentasjonen i fagsystemet kan derfor føre til mangelfulle og/eller misvisende meldinger. Det er viktig å være nøye med dokumentasjonen i fagsystemet. Man bør også sjekke at den informasjonen som er lagt inn i meldingen, er korrekt. 3.3 Meldingsflyt Elektroniske meldinger i helsetjenesten skal i hovedsak gå fra fagsystem hos avsender til fagsystem hos mottaker. Fagsystemene vil ofte være journalsystemet i virksomheten, som f.eks. Profil, Gerica og CosDoc i pleie- og omsorgssektoren, WinMed, Profdoc Vision, SystemX eller Infodoc Plenario hos fastlegene og DIPS EPJ ved helseforetaket. De kan også representere fagsystem ved laboratorier, helsestasjon eller annet. For å sikre forsvarlig kontroll med at meldinger når fram til fagsystem hos mottaker, skal systemene sende transport- og applikasjonskvitteringer for hver melding som sendes. Virksomhetene må ha gode rutiner for overvåkning av meldingstrafikken (kvitteringsmeldingene) for å sikre at feil og avvik oppdages og rettes så raskt som mulig. I dette inngår rutiner for å sjekke og følge opp at meldingene kommer fram til rett mottaker i fagsystemene og blir behandlet innen fastsatte tidsfrister. Dokumentet Krav til elektronisk meldingsutveksling [6] illustrerer meldingsutvekslingen med tilhørende kvitteringer på følgende måte (Figur 1): 9

10 Figur 1: Meldingsutveksling i helse-, sosial- og omsorgssektoren med meldingskvitteringer HN-IKT har laget en skisse over hvordan meldingsflyten fra fagsystemet i kommunene til sykehuset foregår, med en oversikt over avhengigheten mellom applikasjoner (Figur 2). Figuren viser spesielt at meldingene behandles av en mellomvare/broker/oversetter som står mellom fagsystemet og meldingstjeneren. Brokerne gjør meldingene tilgjengelig for fagsystemet ved å hente dem til og fra meldingstjeneren. Noen av opplysningene i meldingene som skal sendes, hentes automatisk ut fra fagsystemet (f.eks. pasientens personalia, diagnoser, andre medisinske opplysninger). I noen meldinger vil en i tillegg kunne skrive utfyllende opplysninger som fritekst. Brokerne fyller ut nødvendig adresseinformasjon hentet fra NHN Adresseregister. Meldingskvitteringene nevnt over (Figur 1) behandles ikke av brokerne, men av meldingstjenerne og fagsystemene. En forutsetning for at meldingsutvekslingen skal fungere, er at avsender benytter oppdaterte sertifikat for kryptering, både for avsender og mottaker. Oppdaterte sertifikat skal hentes fra NHN Adresseregister. Det er derfor viktig at adresseregisteret til enhver tid er oppdatert, noe som er den enkelte virksomhets eget ansvar. Det samme gjelder oppdatering av partneradresser i eget fagsystem. Automatisk oppdatering av adresser fra NHN Adresseregister til fagsystemene er ikke i funksjon ennå, så foreløpig må kommunikasjonspartnerne utveksle partnerdefinisjoner med sertifikatinformasjon direkte seg imellom. 10

11 Legekontorets og legenes adresseinformasjon skal oppdateres i NHN Adresseregisteret ved automatisk synkronisering fra legekontorenes journalsystem mot adresseregisteret. Men adresseliste til kommunikasjonspartnere må foreløpig legges inn manuelt i legekontorenes journalsystem. Det gjøres av leverandøren, som varsles av HF ved endringer. Når OSEAN-prosjektet er ferdig, vil oppdatering av adresser/kommunikasjonsparter bli mye enklere. OSEAN (Oppdatering og Søk etter Elektroniske Adresser i NHN-adresseregister) dreier seg i hovedsak om integrasjon mellom adresseregisteret og EPJ-systemene. 6 I Figur 2 representerer Røntgensystem, DIPS EPJ og Laboratoriesystem fagsystem ved helseforetak i regionen, mens EDI DIPS Communicator representerer meldingstjeneren ved helseforetaket. Legekontorene benytter ulike meldingstjenere avhengig av hvilket fagsystem/ journalsystem de benytter. Det samme gjelder for pleie- og omsorgssektoren og for helsestasjonene. Figur 2: Skisse over komponenter i meldingsutvekslingen

12 3.4 Håndtering av mottatte meldinger i fagsystemene Som nevnt i Figur 1, sendes det positiv transportkvittering når en melding er mottatt og godkjent av meldingstjener hos mottaker. Dersom meldingstjeneren oppdager at meldingen ikke er ok, for eksempel hvis feil sertifikat er brukt, blir meldingen avvist og det sendes ingen transportkvittering til avsender. Den mottatte meldingen havner da i Avvist-mappen i Innboks i DIPS Communicator (se Figur 3), og må håndteres manuelt, f.eks. ved å varsle avsender om feilen. Dersom meldingen ikke blir mottatt i meldingstjeneren hos mottaker (serveren kan for eksempel være avslått), sendes det naturlig nok ingen transportkvittering. Etter godkjent behandling av meldingen i meldingstjener, sendes den videre inn til fagsystemet. Når meldingen er kommet inn i mottakers innboks, sendes det positiv applikasjonskvittering til avsender. Hvis det er noe feil med meldingen, f.eks. at XML ikke validerer, kan den ikke legges inn i fagsystemet hos mottaker, og det sendes negativ applikasjonskvittering Mottak av meldinger i PLO-sektoren i kommunene Mange kommuner har en felles installasjon av fagsystemet, f.eks. Visma Profil, for hele pleieog omsorgssektoren. Pasientene/brukerne (mottakerne av tjenester fra PLO) har kun én journal hver i fagsystemet. Tilgangen til pasientens journal styres av hvem som yter tjenester/ helsehjelp til pasienten. Dersom pasienten mottar tjenester fra en hjemmetjenestesone/-enhet, er det i utgangspunktet kun de som er ansatt ved denne sonen/ enheten som skal ha tilgang til pasientens journal. Flyttes pasienten over til sykehjem permanent, endres tilgangen slik at det kun er de som jobber ved det aktuelle sykehjemmet som får tilgang til pasientens journal. Ved korttidsopphold har hjemmetjenesten fortsatt tilgang til pasientens journal, på lik linje med de ansatte på institusjonen, fordi det er hjemmetjenesten som har eierskap til pasienten. En del kommuner har en felles saksbehandlertjeneste for alle PLO-tjenester i kommunen. Henvendelser fra fastleger eller helseforetak om nye tjenester til en pasient, rutes da til saksbehandlertjenesten, som også benytter den felles installasjonen av fagsystemet til sine oppgaver. I noen kommuner vil dette kunne være organisert på en annen måte. Fagsystemet er konfigurert slik at det er én felles innboks for meldinger på alle pasienter. Tilgang til denne innboksen styres gjennom tilgangsrettigheter i fagsystemet. For å kunne se en melding om en gitt pasient (i innboksen), må man ha tilgangsrettigheter til den aktuelle pasientens journal, være autorisert til funksjonen elektroniske meldinger og ha tilgang til den aktuelle tjenesteadressen (dersom meldingen er sendt på tjenesteadresse) 8. Meldinger angående pasienter som ikke er registrert i fagsystemet fra før, vil ikke være synlig for alle det er en rettighet man autoriseres for. Dette kan gjelde forespørsel om tjenester for nye pasienter eller feilsendte meldinger. Den enkelte kommune må etablere rutiner for hvem som skal behandle disse meldingene. Det er nødvendig at noen har tilgang til alle meldinger i innboksen for å kunne drive meldingsovervåkning og ha tilgang til meldinger vedrørende nye og/eller ukjente pasienter. Tilgang til alle meldinger i innboksen vil gi innsyn i helseopplysninger til pasienter den enkelte ikke har et behandlingsansvar for, siden alle meldinger til PLO i kommunen ligger i innboksen inntil de er behandlet. Slik tilgang bør derfor begrenses til færrest mulig. De som har tilgang til hele innboksen, kan fordele meldingene til de som har ansvaret for å behandle dem. Dette gjøres ved å overføre meldingene til mappen 7 Fra HN IKT 8 Sistnevnte filter for tilgang til meldinger gjelder kun for 2 av 3 fagsystemer innen PLO-tjenesten. 12

13 «Mine ubehandlede meldinger» for den enkelte ansatte 9. I noen journalsystem er det slik at når en melding er lest og behandlet, blir den lagret i brukerens/pasientens journal 10. UNN (og andre HF) sender i dag PLO-meldinger til én fast adresse i hver kommune. Noen pasienter mottar tjenester fra flere enheter innen PLO, f.eks. hjemmesykepleie og psykisk kommunehelsetjeneste. Ved at tjenesteadresse ikke benyttes, mangler man det siste filteret man kan autorisere tilgang til meldinger på. Dette innebærer at alle som har tilgang til den aktuelle pasientens journal i PLO-systemet og tilgang til funksjonen elektroniske meldinger, vil kunne lese meldingen i innboksen (f.eks. meldinger sendt til Psykisk kommunehelsetjeneste), selv om de egentlig ikke skal være autorisert for å se den aktuelle melding for denne pasienten. Ved adressering til ulike tjenesteadresser i kommunen, slik fastlegene gjør i dag og helseforetakene skal gjøre i framtiden, kan helsepersonellet komme i skade for å velge feil tjenesteadresse. En følge av dette kan være at de som skal ha meldingen ikke får den. I enkelte PLOsystem er det mulig å sette begrensninger på tilgangen til meldinger til enkelte tjenesteadresser, f.eks. Psykisk kommunehelsetjeneste, slik at kun de som gir denne tjenesten har tilgang til meldinger adressert dit. Hvis meldinger er adressert til feil tjenesteadresse i pleieog omsorgssektoren i en kommune, kan det skje at meldingen ikke blir synlig for noen mottakere. Selv om helsepersonell har tilgang til innboksen og pasientens journal, kan de ikke lese meldingen hvis de ikke er autorisert for tjenesteadressen. De som er autoriserte for tjenesteadressen, har kanskje ikke tilgang til aktuell pasientjournal, og meldingen blir derfor ikke synlig for dem heller. Dersom pasienten mottar tjenester fra to enheter i kommunen, vil meldinger fra helseforetaket ofte adresseres til begge enhetene (to kopi-mottakere). Fagsystemet Visma Omsorg Profil godtar imidlertid kun ett eksemplar av hver melding med samme meldings-id i pasientens journal. 11 Når ett eksemplar av meldingen er behandlet/journalført, vil det andre eksemplaret i innboksen stå merket med at meldingen allerede finnes i journalen. Den må da slettes i innboksen, etter at innholdet eventuelt er skrevet manuelt inn i pasientens journal. Informasjonen vil imidlertid ikke være synlig som en melding i journalen for den enheten som behandlet meldingen sist (og manuelt). Problemet oppstår når tjenesteadressering benyttes, og HF sender to eksemplar av samme melding til to ulike tjenesteadresser i kommunen. Det er viktig at kommunene har noen på overordnet nivå som kan følge opp meldinger som av ulike grunner ikke blir håndtert innen fastsatte tidsfrister, f.eks. fordi de er adressert feil Mottak av meldinger i foretakene i Helse Nord I foretakene er de tradisjonelle posthyllene og den interne postgangen erstattet med arbeidsgrupper i DIPS. Arbeidsgruppene kan ses på som elektroniske postkasser, og måten de er organisert på kalles gjerne arbeidsflyt. Arbeidsgruppene er enten personlige eller delte. Det finnes også en arbeidsgruppe for meldinger som det ikke er definert en arbeidsflyt for. Denne arbeidsgruppen heter Udefinert arbeidsflyt. Her legges alt systemet ikke finner en logisk plassering for. Grunnen til at de havner i arbeidsgruppen Udefinert arbeidsflyt er at meldingene er adressert på en måte som systemet ikke håndterer automatisk. For basismeldinger kan grunnen være at meldingen er adressert til foretaket og ikke til en avdeling, eller til en avdeling som ikke finnes. For PLO-meldinger kan grunnen være at pasienten ikke 9 Dette gjelder Visma Omsorg Profil, jf. info i mail fra Line Nordgård Dette er muligens ikke tilfelle for Gerica? 11 Dette gjelder kun for Profil. Gerica og Cos Doc har ikke slike begrensninger på tjenesteadresse (jf. mail fra Line Nordgård ). Line Nordgård har nevnt dette for utvikler i Visma. Det er ikke et stort problem i dag siden sykehusene ikke benytter tjenesteadresser. Men Visma må gjøre noe med det når foretakene tar i bruk tjenesteadressering. 13

14 er innlagt. For eksempel skjer dette dersom meldingen Innleggelsesrapport sendes til HF i forkant av en planlagt innleggelse for å forberede helsepersonellet på sykehuset. Denne meldingen forventer HF bare som svar på melding om Innlagt pasient. PLO-meldingene kan foreløpig bare adresseres til helseforetaket og ikke til avdelinger eller tjenester innen helseforetaket. For innkommende fagmeldinger og dialogmeldinger bruker man ikke informasjon om mottaker til å rute meldingene til riktig arbeidsgruppe i DIPS EPJ/PAS. Hvis pasienten er innlagt, rutes meldingen inn i arbeidsgruppa til de som behandler pasienten. Dette bidrar til at kun de som skal ha tilgang til meldingen får tilgang. Hvis pasienten ikke er innlagt og det kommer en Innleggelsesrapport fra kommunen til helseforetaket, rutes meldingen til arbeidsgruppa Udefinert arbeidsflyt i DIPS EPJ/PAS. I utgangspunktet er arbeidsgruppa Udefinert arbeidsflyt felles for hele helseforetaket. PLO-meldinger som havner i denne arbeidsgruppa, legges under oppgaven Til vurdering. Noen må manuelt følge opp meldingene i Udefinert arbeidsflyt (dvs. lese innholdet) og sørge for at de blir flyttet til riktig arbeidsgruppe. Systemet kan ikke finne ut hvor meldingen skal hvis pasienten ikke er innlagt. Dette er en utfordring, selv om det ikke forventes å skje særlig ofte Mottak av meldinger ved fastlegekontorene Dialogmeldinger (forespørsler og svar) synes å være den mest benyttede meldingstypen mellom PLO og fastleger. Tilsvarende som i PLO-fagsystem finnes det en Innboks i fastlegens system der legen kan se alle sine innkommende meldinger, i kronologisk rekkefølge. Det er ingen annen form for sortering eller gruppering av meldingene i innboksen, verken etter meldingstype, viktighet eller avsender. Fastlegen kan imidlertid åpne innboksen når han er inne i journalen til en gitt pasient, og da vises bare meldinger som gjelder denne pasienten 12. Det må gjøres en del manuelle klippe/lime-operasjoner for at tekst fra meldinger skal komme inn som journalnotat i fagsystemet (her: WinMed 2). Hvis innkommende melding ikke kan legges inn i fagsystemet på legekontoret, sendes det en negativ applikasjonskvittering. Årsaker til at meldingen ikke kan legges inn i fagsystemet kan for eksempel være at pasienten ikke er registrert i legekontorets journalsystem, at fastlegen som er oppgitt i meldingen ikke (lenger) jobber ved legekontoret eller at personnummeret til pasienten ikke er fullstendig (f.eks. ved bruk av hjelpenummer). Meldingen stoppes da i innlesningsmodulen i journalsystemet. Dersom årsaken er at legen har sluttet ved legekontoret, må meldingen legges manuelt inn i fagsystemet ved at man f.eks. kobler pasienten til riktig lege (den som har overtatt ansvaret for pasienten). Når det skjer, sendes det automatisk en positiv applikasjonskvittering fra fagsystemet. Dersom pasienten ikke eksisterer i mottakers journalsystem, må meldingen manuelt merkes som feil og sendes i retur til avsender. Utgående meldinger som mangler applikasjonskvittering blir liggende i utboksen, selv om overføringen var vellykket. (Det gjelder bl.a. rekvisisjoner sendt til lab på UNN, der de fortsatt har meldingssystem som ikke returnerer applikasjonskvitteringer.) Fastlegene forstår ofte ikke grunnen til at meldinger blir liggende i utboksen, og har derfor ikke et aktivt forhold til oppfølging av meldingsstatusen. I (noen av) fastlegesystemene er brukergrensesnittet for håndtering av PLO-meldinger utfordrende å forstå. Dette kan medføre at fastlegene ikke alltid vet hvordan de skal 12 Dette gjelder i alle fall for journalsystemet WinMed 2 info gitt av Nils Kolstrup i forbindelse med demo. 14

15 journalføre innholdet i meldingene i pasientens journal, eller at de ikke får til å svare på meldingen. 3.5 Meldingsovervåkning og håndtering av feilsituasjoner Det kan være mange årsaker til at meldinger ikke kommer fram, det kan skyldes feil både hos avsender og mottaker. Avsender har ansvar for å følge med på at melding kommer fram til mottaker, ved å følge med på status for kvitteringer. Når feil oppdages må man sørge for at den håndteres på en slik måte at meldingen som feilet og framtidige meldinger kommer fram til riktig mottaker. Man må overvåke alle ledd i transporten, på begge sider: Meldingstjener (DIPS Communicator, Visma Link, e-link) Mellomprogramvare (eks. ProfilKom) EPJ Fagsystemet viser status for sendte meldinger, der man kan se om meldinger mangler (venter på) applikasjonskvittering eller har fått negativ applikasjonskvittering. Blått flagg: Venter på applikasjonskvittering. Rødt flagg: Negativ applikasjonskvittering, må undersøkes nærmere. Det finnes i tillegg et annet symbol en hengelås som viser at det for meldingen ikke er mottatt transportkvittering etter et visst antall forsøk over en viss tid (Tromsø: 72 timer). Eksempel fra Lenvik 13 (Profil): 1. Dersom det ligger meldinger her med blått flagg i maks 4 dager etter sending er noe feil og må følges opp (se retningslinjene) Det samme gjelder dersom det ligger meldinger med rødt flagg 2. Når sendte meldinger har lykkes å komme inn hos mottaker, forsvinner de fra meldingsboksen Avvik sendte. Sendte meldinger blir liggende under Avvik sendte med blått flagg så lenge det ikke er mottatt applikasjonskvittering for dem. Dersom de blir liggende for lenge med denne status, må årsaken undersøkes nærmere. Det kan undersøkes i meldingsutveksler (f.eks. DIPS Communicator), som vist i dette eksemplet fra Tromsø kommunes rettledning 14 for Profil: Logg inn i DIPS Communicator (DC) for å se om det er kommet transportkvittering (leveransekvittering) på meldingen (Figur 3). Sjekk under Utboks Sendt i DC

16 Figur 3: Eksempel på statusoversikt i DIPS Communicator (figur fra Lenvik) - Gul farge i DC: Ikke fått (venter på) transport-/leveransekvittering. Så fremt det ikke ligger meldinger under utboks 15 som ikke er sendt ut fra vår DC, betyr det at det er meldingsutvekslingen hos mottaker som ligger nede, ev. at det er feil hos Norsk Helsenett. - Rød farge i DC: Dette oppstår dersom det ikke mottas transportkvittering for meldingen etter et visst antall forsøk over en viss tid. Rød farge vises også ved negativ applikasjonskvittering. - Oransje farge i DC: Ikke fått applikasjonskvittering. Forbindelsen mellom mottakers DC og journalsystem ligger mest sannsynlig nede eller det foreligger annen feil. (NB! Vi får ikke grønn kvitteringsfarge på meldinger til NAV her forblir de oransje når de er ok). En del basismeldinger sendes fortsatt uten applikasjonskvitteringer. - Grønn farge: Alt OK. (Både transport- og applikasjonskvittering er positiv.). I Tromsø kommune blir meldinger eldre enn 3 mndr. automatisk slettet fra lista; dette er konfigurerbart. Dersom applikasjonskvitteringen fortsatt mangler i Profil (blått flagg) er det forbindelsen mellom egen DC og Profil det er noe feil med (applikasjonskvitteringen er mottatt av DC). I meldingstjenerne er det lagt inn mulighet for at en melding automatisk forsøkes sendt på nytt etter et gitt tidsintervall (timer eller dager), hvis det ikke mottas positiv transportkvittering. Denne gjentatte sendingen gjøres inntil meldingen har fått transportkvittering i retur, eller inntil et gitt antall re-sendinger (konfigurerbart). Mottas ingen transportkvitteringer etter det forhåndsbestemte antall sendinger, vises dette med rød farge i meldingens statusfelt i meldingstjener. I Helse Nord er det HN IKT som har ansvar for overvåkning av transportkvitteringene for meldinger som sendes ut fra foretakene, mens avdelingene i helseforetakene har ansvar for å overvåke mottak av applikasjonskvitteringer for de samme meldingene. I kommunene må noen ha ansvar for tilsvarende overvåking og feilhåndtering. 3.6 Andre utfordringer Det kan være nyttig for ansatte i PLO-sektoren i kommunene å forstå årsaker til at meldinger fra kommunikasjonspartnere kan ha ulike feil og dermed lettere fange opp feilsituasjoner og håndtere dem på riktig måte. Et par slike forhold nevnes spesielt her: Feil i valg av meldingsmottaker: Fastleger og helsepersonell i HF-ene er ikke i tilstrekkelig grad oppdatert på hvordan de ulike kommunene har organisert sin PLOtjeneste, og vil derfor ikke alltid vite hvilken enhet eller tjenesteadresse som er riktig 15 Meldinger blir liggende i Utboks til de er ferdig overført, da havner de i mappen Sendt (se Figur 3). 16

17 mottaker av de enkelte meldingene. Det skjer relativt ofte at meldinger blir adressert feil, og at kommunene dermed får ekstraarbeid med å varsle avsender om feilsendingen og/eller sørge for at meldingen kommer dit den skal Feil i valg av meldingstype: Fastleger og helsepersonellet i HF-ene benytter ikke alltid riktig meldingstype ved kommunikasjon mot kommunene, noe som kan medføre merarbeid for de som skal håndtere meldingene i kommunene. 4 Definisjon av sannsynlighet, konsekvens og risikonivå I denne risikovurderingen bruker vi kvalitative verdier for sannsynlighet, konsekvens og risikonivå. 4.1 Sannsynlighet Ulike måter å definere sannsynlighetsnivåene på er vanlig, bl.a. ut fra: Frekvens: antall ganger en trussel forventes å inntreffe i forhold til antall ganger en tjeneste brukes, f.eks. i forhold til antall meldinger som sendes. Letthet: hvor lett det er å bryte sikkerheten (utløse en trussel) for interne og eksterne personer Motivasjon: sannsynlighet basert på brukerens motivasjon (uaktsomhet, forsett og overlegg) og hvor interessant systemet/tjenesten eller informasjonen er Statistikk: sannsynlighet basert på erfaring fra tidligere bruk av dette eller liknende systemer/tjenester (f.eks. frekvens av hendelser) Vi har for denne risikovurderingen valgt fire nivå for sannsynlighet. I tabellen under er det vist definisjon av verdier for og beskrivelser av de ulike nivåene. Vi har bevisst valgt å ikke benytte Nasjonal IKT og Helse Nords definisjoner av frekvens. De skiller kun mellom det som skjer årlig eller sjeldnere og det som skjer flere ganger årlig. Tabell 2: Definisjon av sannsynlighetsnivå Sannsynlighet Frekvens Sårbarhet Tiltak Liten Middels Mindre enn 0,1 % av meldingene Mellom 0,1 og 1 % av meldingene Sikkerhetstiltak er etablert og fungerer etter hensikten Sikkerhetstiltak er etablert men fungerer ikke fullt etter hensikten Letthet/Vanskelighetsgrad Motivasjon Må ha detaljkunnskap om systemet. Sikkerhetsbrudd kan bare skje med overlegg, bevisst handling. Sikkerhetsbrudd forutsetter noe kjennskap til systemet, og bevisste handlinger (ikke ved et uhell). Stor Mellom 1 og 10 % av meldingene Sikkerhetstiltak er ikke fullt etablert eller de fungerer ikke etter hensikten Sikkerhetsbrudd kan skje ved uaktsomhet eller feil bruk. Uten overlegg. Svært stor For minst 10 % av meldingene Sikkerhetstiltak er ikke etablert Sikkerhetsbrudd kan enkelt skje ved uaktsomhet eller feil bruk. Lett å gjøre feil. Uten overlegg. Sikkerhetstiltak omfatter også organisatoriske tiltak som rutiner for overvåkning og oppfølging av meldinger, og opplæring av brukere/medarbeidere, i tillegg til mulige tekniske tiltak. 17

18 4.2 Konsekvens For definisjon av konsekvensnivåene kan også ulike kategorier benyttes, for eksempel forventet tap i antall kroner (f.eks. mulige erstatningskrav), at brukerens privatliv blir krenket, etc. Flere kategorier kan kombineres for hvert nivå, i og med at hvert nivå skal dekke konsekvenser for ulike sikkerhetstrusler og ulike målgrupper. For eksempel kan Alvorlig defineres som fare for uopprettelig økonomisk tap for systemeier og/eller alvorlig tap av anseelse og integritet for brukere, etc. I tabellen under (Tabell 3) følger definisjon av konsekvensnivåene for denne risikovurderingen. Vi har valgt fem nivå for konsekvens. Tabell 3: Konsekvenskategorier med kriterier Konsekvens Svært alvorlig Alvorlig Moderat Liten Ubetydelig Virksomheten Pasienter Regelverk Økonomi Anseelse Økonomi Anseelse/ rykte/integritet Uforsvarlig helsehjelp. Alvorlig lovbrudd, fengselsstraff/ foretaksstraff (tap av rett til å utøve virksomhet) Helsehjelp med utilstrekkelig kvalitet Bøtestraff/ foretaksstraff (bot) Hinder for utøvelse av effektiv helsehjelp. Mindre alvorlig lovbrudd/ forseelse. Advarsel/ pålegg (som første reaksjon). Kortvarig hinder for utøvelse av effektiv helsehjelp. Ingen lovbrudd. Irritasjonsmoment Betydelig økonomisk tap. Uopprettelig Økonomisk tap. Uopprettelig Betydelig økonomisk tap. Kan gjenopprettes Økonomisk tap. Kan gjenopprettes Ingen økonomisk konsekvens Alvorlig tap av anseelse, ødeleggende virkning for tillit og respekt Alvorlig tap av anseelse. Vedvarende virkning for tillit og respekt. Tap av anseelse. Virkning for tillit og respekt Kortvarig tap av anseelse Ikke tap av anseelse Betydelig økonomisk tap. Uopprettelig Økonomisk tap. Uopprettelig Betydelig økonomisk tap. Kan gjenopprettes. Økonomisk tap. Kan gjenopprettes Ingen økonomisk konsekvens Alvorlig tap av anseelse/ integritet. Får store konsekvenser for liv, helse eller økonomi Alvorlig tap av anseelse/ integritet. Påvirker liv, helse eller økonomi Tap av anseelse/ integritet. Kompromittering av krenkende opplysninger Tap av anseelse/ integritet. Kompromittering av lite følsomme opplysninger. Intet tap av brukerens anseelse/integritet 4.3 Risikonivå Vi bruker en risikomatrise som verktøy for å beregne risikonivå. Risikomatrisen viser risikonivået for hver trussel som kombinasjonen av trusselens sannsynlighet og konsekvens. Matrisen i Tabell 4 viser definisjon av de ulike risikonivå vi har valgt å benytte for denne risikovurderingen. Vi har her valgt å bruke tre risikonivå: Lav, Middels, Høy. 18

19 Tabell 4: Risikomatrise med definisjon av risikonivå Konsekvens: Sannsynlighet: Ubetydelig Liten Moderat Alvorlig Svært alvorlig Liten Lav Lav Lav Middels Middels Middels Lav Lav Middels Middels Høy Stor Lav Middels Middels Høy Høy Svært stor Lav Middels Høy Høy Høy Risikonivåene har vi definert på følgende måte: Lav risiko: Trusler som har dette risikonivået aksepteres, men det bør rutinemessig vurderes om truslene endrer karakter og/eller bør følges nærmere opp. Åpenbare risikoreduserende tiltak vurderes. Middels risiko: Trusler som har dette risikonivået kan være akseptable, men hver trussel må vurderes spesielt. Utviklingen av risikoen må overvåkes nøye og det må vurderes om risikoreduserende tiltak enkelt kan iverksettes. Høy risiko: Ikke akseptabel risiko. Risikoreduserende tiltak må iverksettes før tjenesten kan benyttes videre, eventuelt må det gjøres midlertidige endringer som reduserer risikoen til middels risikonivå inntil tilstrekkelig sikkerhet er etablert. 4.4 Akseptkriterier Akseptkriteriene skal fortelle hva som er akseptabel risiko. En viss risiko må man som regel leve med. Husk at det å akseptere risikoen er ikke det samme som å akseptere den uønska hendelsen, at trusselen inntreffer. I denne rapporten formulerer vi akseptkriterier basert på de definisjonene for sannsynlighet, konsekvens og risikonivå vi har valgt å bruke. Våre definisjoner gir bl.a. følgende akseptkriterier: Høy risiko: Det er ikke akseptabelt: at sannsynligheten er middels eller høyere for en hendelse som o for virksomheten - medfører uforsvarlig helsehjelp - innebærer alvorlig lovbrudd med fengselsstraff og/eller foretaksstraff som følge, med tap av rett til å utøve virksomhet - resulterer i et betydelig uopprettelig økonomisk tap - gir alvorlig tap av anseelse, med ødeleggende virkning for tillit og respekt o for pasienten - resulterer i et betydelig uopprettelig økonomisk tap - gir alvorlig tap av anseelse eller integritet, med store konsekvenser for liv, helse eller økonomi at sannsynligheten er stor eller svært stor for en hendelse som o for virksomheten - medfører helsehjelp med utilstrekkelig kvalitet - medfører foretaksbøter eller foretaksstraff - resulterer i et uopprettelig økonomisk tap - gir alvorlig tap av anseelse, med vedvarende virkning for tillit og respekt 19

20 o for pasienten - resulterer i et uopprettelig økonomisk tap - gir alvorlig tap av anseelse eller integritet, med påvirkning av liv, helse eller økonomi at sannsynligheten er svært stor for en hendelse som o for virksomheten - innebærer et mindre alvorlig lovbrudd eller forseelse med advarsel eller pålegg som en første reaksjon - er til hinder for utøvelse av effektiv helsehjelp - resulterer i et betydelig, men gjenopprettelig, økonomisk tap - gir tap av anseelse, med virkning for tillit og respekt o for pasienten - resulterer i betydelig, men gjenopprettelig, økonomisk tap - gir tap av anseelse eller integritet og kompromittering av krenkende opplysninger På den annen side: Lav risiko: Det er akseptabelt: at sannsynligheten er liten for en hendelse som o for virksomheten - innebærer et mindre alvorlig lovbrudd eller forseelse med advarsel eller pålegg som en første reaksjon - er til hinder for utøvelse av effektiv helsehjelp - resulterer i et betydelig, men gjenopprettelig, økonomisk tap - gir tap av anseelse, med virkning for tillit og respekt o for pasienten - resulterer i betydelig, men gjenopprettelig, økonomisk tap - gir tap av anseelse eller integritet og kompromittering av krenkende opplysninger at sannsynligheten er middels eller liten for en hendelse som o for virksomheten - er til kortvarig hinder for utøvelse av effektiv helsehjelp - resulterer i et gjenopprettelig økonomisk tap - gir kortvarig tap av anseelse o for pasienten - resulterer i gjenopprettelig økonomisk tap - gir tap av anseelse eller integritet og kompromittering av lite følsomme opplysninger at det når som helst kan inntreffe hendelser som o for virksomheten bare er et irritasjonsmoment, og - ikke har noen økonomisk konsekvens - ikke gir noe tap av anseelse o for pasienten - ikke har noen økonomisk konsekvens - ikke gir tap av anseelse eller integritet Hvorvidt trusler med middels risiko er akseptable eller ikke, må vurderes i hvert enkelt tilfelle. 20

21 5 Trusselidentifisering og -analyse Truslene vi har identifisert gjennom møte og intervju med deltakere i FUNNKe-prosjektet og personell i kommuner, foretak og HN IKT er listet opp i en tabell med tilhørende årsak, sannsynlighet, konsekvens, risikonivå mm. i Vedlegg A. Totalt ble det identifisert 23 mulige trusler 16. Truslene er plassert i ei risikomatrise for å visualisere risikonivået til den enkelte trussel og det samlede risikobildet 17. Truslene med høy og middels risiko analyseres nærmere i separate underkapitler. Konsekvens: Sannsynlighet: Tabell 5: Risikonivå for identifiserte trusler Ubetydelig Liten Moderat Alvorlig Svært alvorlig Liten t2, t3 k4(b) Middels t1, t11 t7 t4, t8, t14 i1 Stor q2, q3 t10 k1, k2, k3, k4(a) q1, t9, t12 t5 Svært stor q4 Som vi ser av matrisa har 1 trussel høy risiko, og 13 trusler middels risiko. Truslene som er vurdert til å ha et uakseptabelt risikonivå er markert med fet skrift (hvit eller sort). 5.1 Trusler med høy risiko Bare en av de analyserte truslene er vurdert til å ha et uakseptabelt høyt risikonivå: Trussel t5, i kategorien tilgjengelighet, handler om at det kan bli for dårlig oppfølging i kommunen/plo av meldinger som sendes ut, ved at man ikke sjekker status og kvitteringer for sendte meldinger. Man sjekker ikke applikasjonskvitteringer og har kanskje mangelfulle rutiner for å håndtere avviste meldinger. Spesielt ved fravær kan det være manglende overvåkning av meldingstrafikken. Helsepersonellet går i vakter, og det kan godt hende at alle som har ansvar er borte samtidig. Sannsynligheten for denne trusselen er stor, og kanskje størst i en oppstartfase før man har fått gode og innarbeidede rutiner. Det kan imidlertid ha en alvorlig konsekvens hvis det tar lang tid før mottaker får meldingen, mens avsender på sin side tror at meldingen er mottatt og behandlet. 5.2 Trusler med middels risiko Over halvparten av truslene er vurdert å ha middels risikonivå. Trusler som har dette risikonivået kan være akseptable, men hver trussel må vurderes spesielt. Trussel i1, i kategorien integritet, skiller seg ut med alvorlig konsekvens. Trusselen handler om at innholdet i meldingen er blitt endret under overføringen pga. en feil i datasystemet. Et eksempel på dette er at det i Harstad kommune ble oppdaget en alvorlig feil i meldinger som 16 Trussel k4 finnes i to varianter: k4a og k4b 17 To trusler er ikke med i matrisa fordi de er uaktuelle (NA) for denne analysen: t6 og t13 (gjelder interne rutiner i HF) 21

22 inneholder medisinske opplysninger, meldinger sendt fra systemet ProfDoc Vision. Feilen innebar at kommategnet forsvant i styrkebenevnelsen på medikamentet, f.eks. 7,5 mg ble til 75 mg. 18 Akkurat denne feilen ble oppdaget og rettet. Men en slik feil kan i verste fall føre til feilmedisinering som kan påvirke pasientens liv og helse. Det forutsettes at programvaren som tas i bruk er tilfredsstillende testet og godkjent, men dette eksemplet viser at det alltid vil være en liten sannsynlighet for slike feil. Risikoen for programvarefeil må nok aksepteres, men det er samtidig et forhold det alltid er viktig å være observant på. Trussel k1, i kategorien konfidensialitet, går ut på at foretaket sender meldingen Innlagt pasient på pasienter som ikke har noen tjeneste og journal i kommunen. Det kan være pasient som ikke er registrert som bruker av kommunens PLO-tjeneste, pasient som er ferdigbehandlet i kommunen, pasient som er overflyttet til annet område eller annen tjeneste, eller pasient som tilhører en annen kommune. Det innebærer at ansatte i kommunen får helseopplysninger om personer de ikke har behandlingsansvar for. Dette er spesielt problematisk i små kommuner der alle kjenner alle og der for mange har tilgang til meldinger om ukjent bruker/pasient. Det kan være naboer, slektninger eller andre kjente, og ekstra følsomt dersom det gjelder psykiatri. Meldingen blir liggende i PLO-systemets innboks med status ukjent pasient. For at kommunen skal kunne besvare/behandle meldingen må den flyttes ut av innboks; den kan besvares med en avviksmelding. Men meldingen blir da for alltid liggende i arkivet (alle meldinger), og er ikke mulig å slette. Hvis meldingen slettes fra innboksen, kan den ikke besvares/behandles elektronisk 19. Denne trusselen innebærer brudd på taushetsplikten og er dermed et lovbrudd. Vi vurderer konsekvensen til å være minst moderat, kanskje nærmere alvorlig. Fordi dette rapporteres å forekomme forholdsvis ofte, er sannsynligheten også stor. Vi anser risikoen for å være uakseptabel. Trussel t10 er samme trussel, men relatert til sikkerhetsaspektet tilgjengelighet. Det antas at foretaket noen ganger bruker meldingen Innlagt pasient som en tidligmelding, der de i stedet skulle brukt meldingen Helseopplysninger for en pasient som kommer til å trenge tjeneste fra kommunen. Kommunen vet ikke om dette er en reell henvendelse eller feilsending skal brukeren registreres inn i Profil? Det er vanskelig å knytte denne typen melding til bruker i etterkant dersom det viser seg at vedkommende skal ha tjenester likevel (historikk forsvinner). I tillegg er det flere kommuner som rapporterer at melding om Innlagt pasient ofte kommer for seint, noen ganger samtidig med melding om Utskrivingsklar pasient. Dette vil først og fremst være et problem for foretaket som dermed ikke får Innleggelsesrapport med all den informasjonen om pasienten som de skulle hatt ved innleggelse. Det har liten hensikt at kommunen sender Innleggelsesrapport på en pasient som straks skal utskrives. Som for trussel k1, er sannsynligheten stor, men vi anser konsekvensen mht. tilgjengelighet for å være liten; det innebærer først og fremst en ekstra jobb (for saksbehandler i kommunen) å etterspore hva dette er og få foretaket til å sende riktig meldingstype. I verste fall kan dette forsinke utskriving av pasienten. Risikoen anses likevel å være akseptabel. Et annet aspekt ved foretakenes feilaktige bruk av meldingen Innlagt pasient er at dette vil gi feil utslag i statistikkene for meldingsutveksling (og samhandling). Et eksempel fra Lenvik 18 Se FUNNKe-web: 19 Slik er det i Visma Profil. Det er uvisst om det er slik også i de andre PLO-systemene. 22

23 kommune 20 : I desember 2012 fikk kommunen mer enn 20 slike meldinger fra UNN (Innlagt pasient), og de sendte bare 4 meldinger av typen Innleggelsesrapport tilbake. Statistikken ga et dårlig bilde. Men fratrukket meldinger på ukjente pasienter og meldinger som kom altfor seint, var det bare 6 reelle meldinger om Innlagt pasient som de skulle ha besvart med Innleggelsesrapport. Truslene k2 og k3 omhandler sending til feil tjenesteadresse, fra hhv. foretak og fastlege. Meldinger som kommer til feil tjeneste i kommunen, må åpnes og leses av uvedkommende. Vi vurderer konsekvensen til å være moderat. Foreløpig bruker ikke foretakene tjenesteadressering (k2), og DIPS kan bare adressere til tjenesteadresse på nivå 1 i kommunen. Men tjenesteadressering kan bli et større problem når det er ulike tjenester å velge mellom og tjenestene er forskjellig fra kommune til kommune. Tjenesteadresse på nivå 1 skal dessuten ikke brukes, så det vil bety nye problem hvis DIPS gjør det mulig å adressere til denne 21. Meldinger fra fastlegesystemene adresseres nå til tjenester i kommunen (k3). Det er flere eksempler på feiladressering, f.eks. at fastlegene tar feil av psykiatri og PU-tjeneste (psykisk utviklingshemmede), eller at det sendes meldinger/forespørsler til PLO om saker som ligger utenfor PLO-tjenestens oppfølgingsområde. Selv om det vil være stor sannsynlighet for slik feiladressering, så anser vi risikoen for begge disse to truslene å være akseptabel. Trussel t9 er relatert til truslene k2 og k3. Dersom avsender velger feil tjeneste/mottaker kan det være at meldingen ikke kommer fram til den riktige mottakeren. Meldingen kommer inn i innboksen til PLO-systemet, men blir ikke tilgjengelig for riktig mottaker. For å kunne se en melding om en gitt pasient (i innboksen), må man ha tilgangsrettigheter til den aktuelle pasientens journal, være autorisert til funksjonen elektroniske meldinger og ha tilgang til den aktuelle tjenesteadressen 22. Hvis meldinger er adressert til feil tjenesteadresse i pleie- og omsorgssektoren i en kommune, kan det skje at meldingen ikke blir synlig for andre enn de få som har rett til å se alle meldinger. Avsender får positiv applikasjonskvittering og er derfor ikke klar over feiladresseringen. Som for truslene k2 og k3, vurderer vi sannsynligheten til å være stor for å velge feil adresse. Konsekvensen anses å være minst moderat. Risikoen anses som uakseptabel dersom kommunen ikke har gode rutiner for å oppdage og håndtere slike situasjoner. Trussel t7 angir en litt annen årsak til at en melding ikke kommer fram til rett mottaker: Dersom pasienten er tilknyttet to tjenester i kommunen, og avsender (som HF-ene i dag) ikke benytter tjenestebasert adressering, men sender alt til adressenivå 1, så kan det skje at en annen tjeneste enn den som meldingen var stilet til, først ser meldingen i innboksen og tar den og behandler den. Meldingen forsvinner fra innboksen etter at den er merket som ferdig behandlet av feil tjeneste, før den riktige mottakeren har sett/oppdaget meldingen. Dette må håndteres manuelt, av saksbehandler i kommunen hvis denne ser meldingen, eller av de som feilaktig har tatt/behandlet meldingen. (Det er ikke mulig å videresende meldingen.) Avsender får positiv applikasjonskvittering og er derfor ikke klar over situasjonen. Sannsynligheten for en slik hendelse oppfattes som middels, og konsekvensen er minst moderat som for trussel t9 foran. Risikoen anses som uakseptabel dersom kommunen ikke har rutiner for å håndtere slike situasjoner. 20 Fortalt av Mona Pedersen, Lenvik, i NHN-workshop i Tromsø, Testing mellom Lenvik og Tromsø har vist at også Visma Profil tillater å sende til tjenesteadresse på nivå 1. Gjelder også test mellom UNN og Tromsø kommune etter oppsett av tjenesteadressering i DIPS. 22 Sistnevnte filter for tilgang til meldinger gjelder kun for 2 av 3 fagsystemer innen PLO-tjenesten. 23

24 Det er viktig å merke seg at denne trusselen forsvinner (får null sannsynlighet) når tjenesteadressering tas i bruk. Da vil ikke meldingen være synlig i innboksen for andre tjenester enn den som meldingen var adressert til (se trussel t9). (Trussel t8, med lav risiko, er en variant av t7. I dette tilfellet er meldingen adressert til begge/alle de tjenestene som pasienten har. I Profil er det fortsatt slik at når den ene tjenesten tar og behandler meldingen, kan den ikke behandles av den andre tjenesten, selv om den vil være synlig i innboksen. PLO-systemene Gerica og CosDoc har ikke slike begrensninger på tjenesteadresse. 23 ) Trussel k4 handler om at systemene kan være satt opp med for vide tilganger slik at for mange leser meldinger de ikke skal lese. Det vil alltid være slik at noen (få) må ha vide tilganger for å kunne håndtere meldinger som ikke automatisk kommer fram til riktig mottaker. Men i noen kommuner har de felles tjenesteadresser slik at alle f.eks. har tilgang til psykiatri og rehab. Dette innebærer brudd på taushetsplikten og er dermed et lovbrudd. Vi vurderer konsekvensen til å være minst moderat, kanskje nærmere alvorlig. Trussel k4 er analysert i to varianter: a) i kommuner med felles tjenesteadresse vil det være stor sannsynlighet for slike hendelser; b) i kommuner der de benytter flere tjenesteadresser vil sannsynligheten være liten. Det siste tilfellet (k4b) vil ha lav risiko, men i det første tilfellet (k4a) anser vi risikoen for å være uakseptabel. Trussel t12 handler om at meldinger blir liggende for lenge i PLO-systemets innboks, det kan godt være at de er lest og endatil håndtert, men ingen tar dem og merker dem med under behandling eller ferdig behandlet. Andre rapporterer at det spesielt er en tendens til at leger i PLO-systemet ikke markerer meldingen som ferdigbehandlet. Hvis meldingene bare leses i innboksen og ikke blir markert som behandlet, blir de liggende i innboksen og ikke journalført. Meldinger som ikke er merket som Under behandling eller Ferdigbehandlet, vil ikke vises inne i fagsystemet, og det vil ikke være noe dokumentasjon på at noen har lest meldingen og ev. gjort noe i hht. det som står i meldingen. I noen tilfeller kan grunnen til at meldinger blir liggende ulest være at den som er angitt som ansvarlig inne i meldingen ikke er tilstede eller at det ikke er opplagt hvem som er ansvarlig for meldingen (f.eks. ved melding på ukjent pasient). En annen årsak kan være at meldingen er adressert til feil tjeneste (se trussel t9) og at meldingen derfor ikke er synlig i innboksen for de som skulle hatt den. At meldinger blir liggende i innboks er et vanlig problem, sannsynligheten settes derfor til stor. Konsekvensen vurderes som minst moderat. Når det blir liggende mange meldinger i innboksen, kan det være at viktige meldinger blir oversett; de drukner mellom de øvrige. Vi anser trusselen som uakseptabel dersom kommunen ikke har rutiner for å håndtere slike situasjoner. Alle fire truslene i kategorien kvalitet er vurdert til å ha middels risikonivå: Trussel q1 handler om at meldingene kan se annerledes ut hos mottaker enn hos avsender, formateringen er forskjellig. Det kan skyldes at visningsfilene er mangelfulle eller feil hos avsender og/eller mottaker. CGM bruker f.eks. ikke KITH visningsfil, men har lokal visning av innholdet i journalen. (Det er mulig å hente opp KITH visningsfil for å se innholdet i meldingen så lenge den ligger i innboks, men det er en mulighet som svært få vet om eller benytter.) En annen årsak kan være at avsender ikke konverterer all formateringen over i XML-fila. Det er grunnen til at en tabell sendt i melding fra DIPS vil se forvridd ut i PLO-systemet Profil. 23 Info i mail fra Line Nordgård

25 Dette er et stort problem ved f.eks. legemiddeloversikt. Avsender signerer på det som sendes ut, slik det ser ut for avsender, men mottaker kan i verste fall feiltolke innholdet. Dette forholdet er i strid med ett av minstekravene i Normen [6]: Krav 20: Virksomhetene skal påse at presentasjonen (visningen) av innholdet i meldingen er riktig hos avsender og mottaker. I merknadene til kravet heter det bl.a.: At innholdet presenteres på en riktig måte, må inngå i forløpstestingen. Virksomheten må stille krav til leverandører av fagsystem om at innholdet i mottatte meldinger ikke mister opprinnelige formateringer på en slik måte at informasjonen blir vanskelig å forstå korrekt. Sannsynligheten for ulike formater vurderes som stor, og konsekvensen er (minst) moderat. Risikoen anses som akseptabel, men den kan være på grensen til å være uakseptabel. Alle kommunene bør være med på å kreve at leverandørene ordner opp i dette, i hht. de veiledende minstekravene i Normen. Trussel q2 gjelder én spesiell PLO-melding: Helseopplysninger til lege. Denne meldingen genereres automatisk fra PLO-systemet Profil med alt det innholdet det er haket av for. I utgangspunktet er det satt opp (haket av for) at all informasjon skal inn i meldinga, og dette er i hht. meldingsstandarden. Man må fjerne hake på informasjon som ikke skal med (det er f.eks. mulig i profil, men ikke i Gerica). Hvis ikke, vil viktig informasjon forsvinne i alt det andre og dermed også bli en trussel mot tilgjengeligheten til informasjonen. Fastlegenes visning av innholdet i meldingen er svært dårlig i og med at de ikke benytter KITH visningsfil. De ønsker ikke informasjon om diagnose, cave, pårørende og legemidler hver gang meldingen brukes; for dem er beskrivelsen i fritekst det viktigste. I tillegg blir det en trussel mot konfidensialitet fordi meldingen kan inneholde informasjon som ikke skulle vært videresendt. Problemet har ført til at man velger bort bruken av denne meldingen og benytter andre meldinger (forespørsler) i stedet. Bl.a. har Tromsø kommune deaktivert denne meldingen, og leger i Vågan kommune ønsker ikke å motta meldingen. Visma er varslet om dette, men de sier det er implementert i hht. KITH-standard. Sannsynligheten for information overflow er stor, så lenge man ikke er bevisst på å hake bort felt som ikke skal være med i meldingen. Konsekvensen vurderes som liten, bruken av meldingen er mest til bry i utøvelsen av effektiv helsehjelp. Risikoen anses som akseptabel. Trussel q3 handler om at meldinger mangler informasjon om hvem som har sendt meldingen. Informasjon om avsender blir kopiert automatisk inn i hodemeldingen, basert på bruker som er innlogget i fagsystemet og som sender meldingen. Det kan ses i visningsfila, men hos fastlegen ses det ikke i den lokale visningen i WinMed. Tittelen (fagbakgrunn) til den som sender meldingen kommer imidlertid ikke alltid med. Det må manuelt velges når man oppretter meldingen. Sannsynligheten for mangelfull kontaktinformasjon er stor, men konsekvensen vurderes som liten. Man må bruke tid på å finne ut av det på annen måte. Det kan f.eks. være viktig å vite om det er en lege eller annet helsepersonell som har skrevet meldingen. Risikoen anses som akseptabel. Trussel q4 handler om at svarmeldingene til forespørslene ikke alltid er hensiktsmessig å bruke. Innholdet i noen av svarmeldingene genereres automatisk fra fagsystemet, og det er ikke mulig å skrive inn fritekst. Dette er et problem dersom legen bruker feil type forespørsel. Eksempel: Dersom legen sender meldingen Forespørsel om tjenestetilbud, men spør om noe annet, kan ikke PLO sende svar, dvs. standardmeldingen Orientering om 25

26 tjenestetilbud, men må lage svar i form av ei ny melding (en ny forespørsel). Dette er ikke bare et problem i Profil, Sandefjord kommune rapporterer samme problemet i CosDoc 24. I kravspesifikasjonen til PLO-meldingene (ELIN-k-prosjektet) var det i utgangspunktet slik at én type forespørsel skulle generere en forutbestemt svarmelding: o Forespørsel tjenestetilbud svar: Orientering om tjenestetilbud o Forespørsel tilstandsvurdering svar: Helseopplysning til lege o Forespørsel annen henvendelse svar: Svar på forespørsel Kravspesifikasjonen ble etter hvert moderert til at man skulle kunne velge disse eller Svar på forespørsel, men denne endringen er aldri blitt implementert i Profil. 25 Sannsynligheten for å støte på dette problemet er svært stor, men konsekvensen vurderes som liten det er mest plunder og heft med å måtte lage en ny melding, men det kan også føre til at det er vanskelig å følge tråden i en meldingsutveksling. Risikoen anses som akseptabel. 5.3 Trusler med lav risiko De øvrige truslene har lav risiko og er således akseptable. Det bør likevel holdes øye med også disse truslene fordi en økning av sannsynlighet kan øke risikoen til middels og dermed kanskje gjøre truslene uakseptable. 6 Anbefalte tiltak Det er flere måter å håndtere en risiko på. Man kan: 1. Unngå risikoen (dvs. ikke utsette seg for risikoen, f.eks. ved å ikke gjennomføre det som kan føre til den uønska hendelsen) 2. Redusere risikoen (redusere sannsynlighet og/eller konsekvens) 3. Overføre risikoen (f.eks. ved å tegne en forsikring overføres risikoen til et forsikringsselskap) 4. Akseptere risikoen 26 (leve med den, beholde den). Man kan velge en av disse måtene, eller man kan kombinere to eller flere av dem. Risikoreduserende tiltak må vurderes opp mot kost/nytte for tjenesten. Noen tiltak kan redusere risikonivået for flere trusler samtidig, og enkle og billige tiltak som kan redusere en akseptabel risiko bør gjerne iverksettes. Som analysen i kapittel 5 viser, så er det bare 1 trussel som har uakseptabel høy risiko. Av de 13 truslene med middels risiko har vi vurdert 5 til å være uakseptable. De fleste av disse truslene kan få redusert risiko bare ved å sørge for klare rutiner både i kommunene og i foretakene. I tillegg vil opplæring og tilstrekkelig med ressurser for oppfølging av meldingstrafikken være viktige tiltak hos alle parter. I det følgende anbefales først og fremst tiltak mot de 6 truslene med uakseptabel risiko. 24 Dokumentet Elektroniske meldinger i CosDoc fra Sandefjord kommune, på FUNNKe sine nettsider: +Sandefjord+Elektroniskemeldinger+trinn+for+trinn.doc 25 Info i mail fra Line Nordgård Det å akseptere risikoen betyr ikke at man aksepterer den uønska hendelsen, sikkerhetsbruddet. 26

27 Trussel t5 for dårlig oppfølging i kommunen av meldinger som er sendt ut kan skyldes manglende eller dårlig innarbeidede rutiner. Trusselen vil kanskje være størst i begynnelsen, når meldingsutveksling nettopp er tatt i bruk. Et viktig tiltak er å ha dokumenterte rutiner for kontroll og oppfølging av utsendte meldinger. Uten mottatt positiv applikasjonskvittering er meldingen pr. def. ikke sendt. Ansvaret for innholdet og ev. oppfølging ligger fremdeles på avsender. Rutinene må bl.a. beskrive hvordan kvitteringer skal sjekkes og hva som skal gjøres når meldinger ikke er kommet fram til mottaker. Før man sender på nytt, må man f.eks. sjekke om det er rett meldingstype, om mottakeradressen er riktig o.l. Rutinene må også definere hvem som er ansvarlig(e), og sørge for at andre personer har tilgang ved dennes/disses fravær. Det vil være behov for rutiner på ulike nivå, både innad i enhetene eller tjenesteområdene, sentralt i PLO-sektoren i kommunen og for de som drifter IT-systemene. Det vil imidlertid alltid dukke opp meldinger som må håndteres manuelt, og rutinene må beskrive hvordan dette gjøres. Ved ansettelse av nye medarbeidere er det viktig at opplæring også omfatter disse rutinene. I Vestlandsheftet [9] finnes det en nyttig oversikt (i heftets vedlegg 8) over rutiner kommunen bør ha på plass, så som kontaktpunkter ved ulike feilsituasjoner, rutiner ved skifte av personell, varsling om nedetid, oppgradering etc., testing etter oppgradering, og avviksrutiner. En teknisk løsning for å håndtere en del av problemene knyttet til sending, er å konfigurere med at det automatisk gjøres flere forsøk på sending når meldinger ikke går gjennom. Trussel k1 at HF sender meldingen Innlagt pasient på pasienter som ikke har noen tjenester fra kommunen, slik at kommunen får opplysninger om personer de ikke har behandlingsansvar for. Selv om dette er en logistikkmelding, inneholder meldingen indirekte helseopplysninger i form av hvilken avdeling pasienten er innlagt i. Dette kan være spesielt problematisk i små kommuner (der alle kan være naboer eller kjenninger). Det viktigste tiltaket for å redusere risikoen er rutiner og opplæring i HF: Meldingen skal bare sendes for de pasienter som allerede mottar tjeneste fra kommunen. Den skal ikke brukes som en første melding for å varsle at en pasient trenger kommunale tjenester. Det må inngå i foretakets rutiner ved innleggelse å avklare om pasienten mottar kommunale tjenester og ikke sende meldingen Innlagt pasient dersom pasienten ikke mottar kommunale tjenester fra før. Kommunen må også ha rutiner for å håndtere slike meldinger. Det er mulig å slette meldinger så lenge de ligger i Innboks, men hvis meldingen skal besvares elektronisk (med en avviksmelding), så må den flyttes ut av Innboks. Meldingen vil da bli liggende i arkivet ( Alle meldinger ) for alltid, da det ikke er mulig å slette meldinger i fagsystemet. Kommunen vet ikke om dette er en reell henvendelse eller en feilsending kanskje er dette en framtidig bruker som etter hvert skal registreres inn i Profil? Kommunen må ha begrensninger på hvem som kan se meldinger på ukjente brukere. I Profil har man tilgang til alle meldinger i innboksen, noe som vil gi innsyn i helseopplysninger til pasienter den enkelte ikke har et behandlingsansvar for, siden alle meldinger til PLO i kommunen ligger i innboksen inntil de er behandlet. Slik tilgang bør derfor begrenses til færrest mulig. Med hensyn til personvernet vil det beste tiltaket med dagens system være at meldingen slettes i Innboks og at kommunen ringer foretaket for å avklare videre prosess. Kommunene bør dessuten ta opp med leverandørene av fagsystemene (og ev. Hdir) muligheten for å kunne svare med avviksmelding fra Innboksen før meldingen slettes. 27

28 Trussel k4a at noen kommuner har for vide tilganger ved at det er satt opp en felles adresse for alle tjenesteområder kan innebære brudd på taushetsplikten. Tiltaket må være at disse kommunene oppretter egne tjenesteadresser for de ulike områdene, eller i alle fall for noen av dem, spesielt for psykiatri. Truslene t7, t9 og t12 at meldinger ikke kommer raskt nok fram til riktig mottaker i kommunen selv om avsender har fått positiv applikasjonskvittering kan skyldes manglende eller dårlig innarbeidede rutiner og tilhørende opplæring. Dersom ei melding (feilaktig) tas/behandles av feil tjeneste i kommunen og den tjenesten som skulle ha meldingen ikke ser den i innboks (trussel t7), så må rutinen være at den tjenesten som behandlet meldingen varsler den rettmessige mottakeren. Dette forutsetter imidlertid at den tjenesten som feilaktig har behandlet meldingen forstår at det var en annen tjeneste som skulle hatt meldingen. I utgangspunktet bør alle ha som rutine å forvisse seg om at de er riktig adressat før de behandler meldinger fra innboksen. Dette bør inngå som en viktig del av opplæringen av alle ansatte, og de ansatte bør påminnes om dette med jevne mellomrom Ved å ta i bruk tjenestebasert adressering forvinner trussel t7. At meldinger adresseres til feil tjeneste (trussel t9) beror på sviktende rutiner og opplæring hos avsender (foretak, fastlege). Slik feiladressering er en av årsakene til at meldinger blir liggende for lenge ubehandlet i innboks (trussel t12). Kommunen må ha rutiner for å oppdage disse meldingene som kanskje ikke ses i innboksen verken av de som meldingen feilaktig var adressert til, eller de som den skulle vært adressert til. Dvs. at det må finnes noen i kommunen som har tilgang til alle meldinger i innboksen og har som rutine å håndtere disse. Det er viktig å være oppmerksom også på truslene med akseptabelt risikonivå. Selv om de resterende truslene hver for seg har akseptabel risiko, vil disse til sammen kunne gi et uakseptabelt risikonivå. Ved å redusere risikoen for en eller flere av disse truslene, vil også den totale risikoen reduseres. Tabell 6 gir en oversikt over hvilke trusler de ulike tiltakene kan redusere risikoen for. (Trusler angitt med fet skrift er de truslene vi har evaluert til å være uakseptable.) Som tabellen viser vil flere av de foreslåtte sikkerhetstiltakene være med på å redusere risikoen også til mange trusler som hver for seg er akseptable. Disse tiltakene vil da til sammen redusere den totale risikoen for systemet. Tabell 6: Anbefalte tiltak Sikkerhetstiltak Dokumenterte prosedyrer og rutiner: Dokumenterte rutiner for overvåking av meldingstrafikk og status på transport- og applikasjonskvitteringer, både i ITavdelingen og for helsepersonellet. Utpeke ansvarlige for oppfølging av meldinger i innboksen, gi nødvendige tilganger for de ansvarlige, og delegering når de ansvarlige ikke er til stede Berørte trusler t2, t3, t5, t12 t12 28

29 Sikkerhetstiltak Kontrollere at underliggende system og servere er påslått og startet (meldingsserver og broker/xml-parser) Rutiner i HF for å sende meldingen Innlagt pasient : - Bare for pasienter som mottar kommunale tjenester - Snarest etter innleggelse Rutiner i kommunen for å håndtere/slette meldinger som ikke gjelder brukere av kommunens tjenester Rutiner i kommunen for å håndtere meldinger som er sendt til feil tjeneste i kommunen Rutiner i kommunen for å håndtere meldinger som er behandlet av feil tjeneste i kommunen Rutiner for å anskaffe/fornye og publisere HER-ID og sertifikat, spesielt for nyansatte leger Opplæring: - i alle rutiner, for nye brukere av meldingstjenesten, f.eks.: skrive inn kontaktinfo for avsender overvåke status på sendte meldinger varsle avsender ved feilsending, samt håndtering av slike feil håndtering av melding på ukjent pasient - for IT-avdelinger i kommunene: Overvåkning, feilsøking, logger, hastegrad/tidsfrister, oppgradering av meldingstjener og tilhørende programvare Berørte trusler t2 k1 t10 k1, k3, t10, t11, t14 k2, k3, t9 t7, t8 t1 q3 t5 k2, k3, t7, t8, t9 t11, t12 t1, t2 - av fastleger i forhold til kommunens tjenester k3, t9, t12 - i HF i forhold til kommunens tjenester k2, t9, t12 Ressurser: I alle organisasjoner som benytter seg av meldingsutveksling, må det være en sentral person med god kjennskap til meldingstjenesten, som kan være brukerstøtte og ha de nødvendige tilganger. Ressurser til overvåking og drift både personell med ITkompetanse (drift) og personell med kunnskap om de enkelte fagsystem. Tekniske og organisatoriske tiltak/løsninger: - Konfigurere lokale system til å sende meldinger på nytt et visst antall ganger, hvis den ikke kommer fram. t9, t12 t2 t2, t5 - Begrense tilgangen til meldinger på ukjent pasient k1, k3 - Anmode om at meldingen Innlagt pasient sendes fra akuttmottaket ved akutte innleggelser t10 29

30 Sikkerhetstiltak - At foretakene tar i bruk tjenesteadressering til kommunehelsetjenesten - Opprette flere tjenesteadresser i kommunen, for bl.a. å skille ut psykiatritjenesten - Verdikjedetesting ved endringer og ved innføring av nye meldingstyper eller oppgradering av gamle meldingstyper - Kreve forbedring av meldingstypen Helseopplysninger til lege - Få mulighet til å skrive fritekst i flere meldingstyper, spesielt de meldingstypene som er svar på forespørsler - Kunne velge Svar på forespørsel som svar på alle typer forespørsler - Lokal visning hos fastleger må vise kontaktinfo for avsender, basert på innlogging i fagsystem Berørte trusler k2, t7 k4a i1, q1, t4 q2 q4 q4 q3 Tabell 6 oppsummerer tiltak for å redusere risiko eller beholde en lav risiko mht. sikkerhetsaspektene konfidensialitet, tilgjengelighet, kvalitet og integritet. For å ivareta tilgjengelighet må man sørge for at meldingene kommer fram til riktig mottaker, både meldinger som sendes og meldinger som mottas. Viktige tiltak i denne sammenheng er å ha rutiner for overvåking av meldingstrafikken: overvåke status på kvitteringer for sendte meldinger overvåke innboks og håndtere meldinger som blir liggende ubehandlet Rutinene må inneholde definisjoner av hvem som er ansvarlige for overvåking, hva overvåkningen skal omfatte, hvordan ansvar kan delegeres ved fravær, og hvordan nødvendige tilganger gis. Rutinene må omfatte både de helsefaglige systemene og underliggende IT-system, og gjelde personell på alle nivå. Det må sikres nødvendige ressurser, både tid og kvalifisert personell, for å håndtere meldingstrafikken. Opplæring blir derfor et viktig tiltak. Opplæring må ikke bare skje når meldingsutveksling skal tas i bruk, det vil være en kontinuerlig oppgave og må gjentas når det gjøres endringer i systemet, når nye rutiner iverksettes, når nye eller endrede meldinger tas i bruk og når nytt personell skal involveres i meldingstjenesten. Det er også viktig at det er definert kontaktpersoner å henvende seg til når ulike problem oppstår. I forbindelse med Nasjonalt Meldingsløft har Helsedirektoratet gitt ut et hefte med tittel Brukerstøtte for elektronisk meldingsutveksling [10]. Her påpeker de viktigheten av å ha klare rutiner og ansvarsbeskrivelser for hvordan feilsituasjoner skal håndteres. De anbefaler at det inngås samarbeidsavtaler mellom brukerstøtten i de ulike virksomhetene og viser til at slikt samarbeid er utstrakt allerede i dag, om enn ikke formalisert. Som eksempel nevner de at legekontor i Midt-Norge kan få brukerstøtte fra Hemit og at også Helse Vest IKT har etablert brukerstøtte for henvendelser fra legekontor. Vi er også kjent med at HN IKT bistår fastlegene i Helse Nord med brukerstøtte uten at dette nødvendigvis er formalisert, i tillegg til at de som en del av FUNNKe-prosjektet bistår kommunenes PLO-tjenester. 30

31 Konfidensialitet ivaretas ved å begrense tilgangen til innkommende meldinger. Teknisk og organisatorisk anbefales det at PLO-sektoren får egne adresser for de ulike tjenesteområdene. Dette er spesielt viktig for psykiatri, slik at personell ansatt i andre deler av sektoren ikke får tilgang til meldinger som bare gjelder psykiatri. Noen må imidlertid ha vide tilganger for å kunne håndtere meldinger som er feilsendt, men dette bør gjelde færrest mulig personer. Rutiner må beskrive hvordan feilsendte meldinger skal behandles. Det kan være meldinger som er sendt til feil tjeneste i PLO-sektoren og må videreformidles, og det kan være meldinger som skulle sendes til andre enn PLO-sektoren eller som skulle sendes til en annen kommune. Det er også viktig med opplæring og god informasjon om struktur på tjenester og adresser til de som skal sende meldinger til kommunen, både til fastleger og til foretakene. Informasjonens kvalitet og integritet ivaretas bl.a. ved å ha rutiner og ressurser for å gjennomføre verdikjedetesting. I Normens veiledende dokument Krav til elektronisk meldingsutveksling [6] er det et krav (krav 19, se vedlegg B) om at det skal gjennomføres verdikjedetesting ved innføring av nye meldinger eller endring av eksisterende meldinger og ved andre oppgraderinger som kan påvirke meldingsutvekslingen. De ulike leverandørene kan ha implementert visningsfilene forskjellig slik at meldinger ikke ser like ut hos mottaker som hos avsender. I tillegg er det enkelte meldingstyper som ikke fungerer etter hensikten. Dette er problemstillinger som bør tas opp med leverandørene og kreves løst. Hver enkelt kommune må ha et bevisst forhold til risikonivået i sin kommune, både de truslene vi har fokusert på her og andre trusler de identifiserer for sin virksomhet og sin bruk av meldingsutveksling. Nye trusler oppstår gjerne ved endringer i omgivelsene (f.eks. ved overgang til interkommunal legevakt) eller dersom det generelle trusselbildet endrer seg (f.eks. nye virus o.l. eller publisering/offentliggjøring av nye sårbarheter i datasystemene). Ved gjennomføring av de foreslåtte tiltak for trusler med uakseptabelt risikonivå (f.eks. trusler vist med fet skrift i siste kolonne i Tabell 6), anses risikonivået for å være akseptabelt. De kommunene som har dette på plass har et akseptabelt risikonivå. 7 Konklusjon Fra våre funn vil vi spesielt trekke fram følgende aspekter: Vi har funnet 23 mulige trusler. Bare én av disse er vurdert til å ha høyt risikonivå og av den grunn uakseptabel. Av de 13 truslene med middels risikonivå, anser vi 5 for å være uakseptable. Dette medfører at totalt 6 trusler er vurdert til å ha uakseptabelt risikonivå. Trussel t5 som er identifisert med høyt risikonivå, er knyttet til overvåkning av status for meldingstrafikken, spesielt med hensyn til kontroll av transport- og applikasjonskvitteringer for sendte meldinger, og mangelfulle rutiner for å håndtere avviste meldinger. Særlig ved fravær kan det være manglende overvåkning av meldingstrafikken. To av de uakseptable truslene med middels risikonivå handler om at det kan være for vide tilganger til meldinger i innboksen. Det gjelder ved tilgang til meldinger på ukjente pasienter, gjerne i form av meldingen Innlagt pasient som ofte brukes feilaktig fra HF (trussel k1). Det gjelder også dersom kommunen ikke har tatt i bruk forskjellige tjenesteadresser for de ulike områdene av PLO-sektoren (trussel k4a). De tre andre uakseptable truslene med middels risikonivå (truslene t7, t9, t12) handler om meldinger som ikke kommer raskt nok fram til riktig mottaker i PLO-sektoren i kommunen, enten fordi de er adressert feil fra avsender (foretak, fastlege) eller fordi de feilaktig blir 31

32 håndtert av feil tjeneste i kommunen. En utfordring i disse situasjonene er at avsender får positiv applikasjonskvittering fra kommunen og dermed antar at meldingen er mottatt riktig. Vi har i kapittel 6 anbefalt tiltak som vil gjøre risikonivået akseptabelt for truslene med uakseptabelt risikonivå, og opprettholde eller redusere et middels eller lavt risikonivå for de øvrige truslene. De viktigste tiltakene handler om rutiner og ressurser for overvåkning og oppfølging av meldingstrafikken. I Helse Nord er det HN IKT som har ansvar for overvåkning av transportkvitteringene for meldinger som sendes ut fra foretakene, mens avdelingene i helseforetakene har ansvar for å overvåke mottak av applikasjonskvitteringer for de samme meldingene. I kommunene vil det tilsvarende være en forutsetning at man har ressurser med nødvendig kompetanse og kjennskap til meldingsutvekslingen både blant helsepersonell og hos kommunens IT-personell for overvåkning av meldingstrafikken. Rutiner må finnes for hvordan overvåkning skal gjøres, feilsituasjoner håndteres og hvordan avvik skal varsles. Rutinene må definere roller for hvem som har ansvar for å overvåke hva, både i meldingstjener og fagsystem, i alle tjenesteområder og enheter. Vi har sett at i alle organisasjoner som benytter seg av meldingsutveksling, er det behov for en sentral person med god kjennskap til meldingstjenesten, som kan være brukerstøtte og ha de nødvendige tilganger. Man ser for seg at dette vil være en kontinuerlig oppgave som vil måtte bestå også etter at innføringsperioden er over. En grunnleggende forutsetning for at meldingsutvekslingen skal fungere er imidlertid at alle kommunikasjonsparter har datasystem både maskinvare og programvare som fungerer, som driftes og vedlikeholdes, på alle nivå. Dette krever at tilgjengelige ressurser i form av økonomi og kompetent personell prioriteres. 32

33 Referanser 1. Eva Skipenes, Eva Henriksen: Elektronisk meldingsutveksling i Helse Nord. Rapport fra risikovurdering. Nasjonalt senter for samhandling og telemedisin, oktober FOR Forskrift om behandling av personopplysninger (Personopplysningsforskriften) 3. ISO/IEC 27005:2011 Information technology Security Techniques Information Security Risk Management 4. LOV Lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (Helseregisterloven) Helsedirektoratet, Nasjonalt meldingsløft: Minstekrav til elektronisk meldingsutveksling. IS-1950 Helsedirektoratet Helsedirektoratet, Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren: Krav til elektronisk meldingsutveksling. Versjon desember Helsedirektoratet, Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren: Faktaark nr. 16: Etablering av løsning for meldingskommunikasjon. Versjon desember KITH: Bruk av Pleie- og omsorgsmeldinger i pasientforløp, versjon 2.1, KITH-rapport 06/08: Vestlandsløftet: Vestlandsheftet Veileder for utbredelse av elektroniske meldinger mellom kommunene, fastlege og helseforetak på Vestlandet. (NB! Tilgang til dokumentet krever at man har en brukerkonto på Norsk Helsenett) 10. Helsedirektoratet, Nasjonalt meldingsløft: Brukerstøtte for elektronisk meldingsutveksling. IS-2018 Helsedirektoratet 09/2012. ISBN Hdir: Handlingsplan Meldingsløftet i kommunene IS-1882 Helsedirektoratet 03/ KITH: Applikasjonskvitteringer. Informasjonsmodell, XML meldingsbeskrivelse og retningslinjer for bruk. KITH-rapport. Versjon 1.1, 15/04:

34 34

35 Vedlegg A Trusseltabell 23 trusler og mulige uønskede hendelser ble identifisert i trusselkartleggingen. Hver trussel er gitt en entydig ID som består av en bokstav og et tall: Bokstaven indikerer hvilket sikkerhetsaspekt trusselen er relatert til (k konfidensialitet, i integritet, q kvalitet, t tilgjengelighet) Tallet angir fortløpende nummerering innenfor hver sikkerhetskategori. Trusseltabellen viser sannsynlighet, konsekvens og tilhørende risiko for hver av truslene. ID Trussel / Kompromittering Årsak Sannsynlighet Konsekvens Risiko Kommentarer, f.eks. beskrivelse av implementerte tiltak Trusler mot konfidensialitet k1 Sykehuset sender melding om Innlagt pasient på pasienter som ikke har noen tjeneste og journal i kommunen. Meldingene blir liggende i kommunens innboks med status ukjent pas. Meldingene som tas inn i fagsystemet for å kunne svare med avviksmelding, og dermed fjernes fra innboks, blir for alltid liggende i arkivet (alle meldinger) selv om de gjelder pasienter som ikke får eller skal ha tjenester fra kommunen; ikke mulig å slette. Ansatte i kommunen får helseopplysninger om personer de ikke har behandlingsansvar for. Spesielt problematisk i små kommuner (kan være naboer eller kjenninger) Pasienten finnes ikke i fagsystemet for PLO: - pasient er ikke reg. som bruker av tjeneste, - pasienten er ferdigbehandlet i kommunen - pasienten er flyttet til annet område, annen tjeneste - pasienten tilhører en annen kommune Stor Moderat+ Lovbrudd. Brudd på taushetsplikt kan gjelde psykiatri. Mest alvorlig for pasient? Middels+ Opplæring i HF Kan bety økonomiske utgifter for kommunen (eller sykehuset?), tar lenger tid å finne ut av og forberede mottak av pas. Skal ikke sendes som første melding for ny/ukjent pas For at kommunen skal kunne besvare meldingen må den flyttes ut av innboks kan da besvares med avviksmelding, Løsning: begrense tilgangen til meldinger på ukjent pasient, og de som har tilgang må ringe for å avklare videre prosess før melding flyttes ut av innboks og inn i fagsystem. 35

36 k2 ID Trussel / Kompromittering Årsak Sannsynlighet Konsekvens Risiko Kommentarer, f.eks. beskrivelse av implementerte tiltak Melding fra HF kommer til feil tjeneste i kommunen må åpnes og leses av uvedkommende, f.eks. (Tromsø kommune) PLO i stedet for fengselshelsetjenesten HF velger feil tjenesteadresse DIPS adresserer til kommunen på nivå 1 Stor Foreløpig ikke tjenesteadr. fra HF Kan bli et problem når det er ulike tjenester å velge mellom og forskjellig fra kommune til kommune Moderat Middels Tjeneste er ikke det samme som enhet der pas er registrert enhet har ingen betydning i adresseringen kun ansatte ved pasientens enhet (og tildelingskontoret) får tilgang til melding i innboks Tjenesteadressering er ikke tatt i bruk skikkelig. Må ringe til avsender og be om at melding sendes på nytt, slette den fra innboks. 36

37 k3 ID Trussel / Kompromittering Årsak Sannsynlighet Konsekvens Risiko Kommentarer, f.eks. beskrivelse av implementerte tiltak Melding fra fastlege kommer til feil tjeneste i kommunen og åpnes og leses av uvedkommende Fastlege velger feil tjenesteadresse innen PLO, og f.eks. at fastlegene sender henvendelse (forespørsel) til PLO vedrørende saker som ligger utenfor PLOtjenestens oppfølgingsområde (eks. bolig for vanskeligstilte) Stor Men fastlegene greier ikke alltid å skille f.eks. mellom psykiatri og PUtjeneste. Moderat uvedkommende får innsyn i saka Middels Alle som har samme fagsystem har samme innboks, helsepersonell i den enheten der pasienten er tilnytta har tilgang til pasientens meldinger (og tildelingskontoret) Internt kommunalt ansvar, rutiner. Ulikt fra kommune til kommune Dårlig opplæring mot legene? Inkludert opplæring om tjenesteområder i kommunen, hva som skal sendes hvor. Blir aldri ferdig med opplæring, må stadig gjentas når nye ansettes Håndtering: Ikke flytte meldingen inn i fagsystemet, kontakte legen om videre prosess, enten påpeke riktig tjenesteadresse dersom brukeren er registrert i Profil fra før, eller gi beskjed at henvendelsen må sendes utenom meldingssystemet til annen kommunal instans. Meldingen bør slettes i innboks når den er kommet feil. Dersom pasienten ikke er registrert i Profil: For å besvare meldingen må den flyttes ut av innboks; kan da besvares med avviksmelding, MEN: meldingen blir for alltid liggende i arkivet (alle meldinger), ikke mulig å slette hvis den er flyttet ut av innboksen. Løsning: må ringe for å avklare videre prosess 37

38 ID Trussel / Kompromittering Årsak Sannsynlighet Konsekvens Risiko Kommentarer, f.eks. beskrivelse av implementerte tiltak k4 Leser meldinger man ikke skal lese For vide tilganger (men noen må ha vide tilganger, noen må lese innhold for å håndtere meldinger manuelt) I noen kommuner har f.eks. rehab og psykiatri tilgang til alt Trusler mot integritet i1 Innhold i meldinger er blitt endra under overføring Eksempel: ProfDoc Vision: Harstad kommune oppdaget en alvorlig feil i meldinger som inneholder medisinske opplysninger. Feilen innebærer at kommategnet forsvinner i styrkebenevnelsen. F.eks.: Zyprexa 7,5 mg blir til 75 mg. Stor (a) for kommuner med felles tjenesteadresser Liten (b) for kommuner som har delt mellom tjenester Liten Tromsø: Ikke problem pga. bruker Multidose, rett fra apotek Moderat+ (kan også være psykiatri) Alvorlig+ - i verste fall... (det kunne også skjedd ved håndskrevne resepter!) Middels+ (a) Lav (b) Middels Det er lettere (mer fristende) å lese ei melding som ligger der i innboksen, enn å ta en konvolutt og åpne den og lese innholdet... Bevisstgjøring, alt kan ikke løses teknisk. - Tilgangsrettigheter i Profil må settes flere plasser. Tungvindt? Bør opprette egne tjenesteadresser for rehab og psykiatri. Se FUNNKe-web: CGM har laga en fix for akkurat denne feilen, som kan lastes ned. Testing, men slike feil kan være vanskelig å oppdage (feil innefor logiske verdier) Trusler mot kvalitet q1 Meldingen ser ikke lik ut på begge sider, f.eks. at det er felt i meldingen som ikke blir vist hos mottaker Eksempel fra Tromsø kommune: Tabell sendt fra DIPS blir forvridd hos mottaker 1) Visningsfiler er mangelfulle/feil (kan være tilfelle på begge sider), f.eks. CGM bruker ikke KITH visningsfil inne i journalsystemet. 2) Manglende konvertering av formatering inn i XMLfila (kan være tilfelle på begge sider) Stor Stort problem ved f.eks. legemiddeloversikt, IPLOS. Man kvitterer for det man ser når man sender ut. Moderat Så uoversiktlig at det ikke er brukbart. Fare for feiltolkning Middels Se de veiledende minstekravene (Normen): Krav 20: Virksomhetene skal påse at presentasjonen (visningen) av innholdet i meldingen er riktig hos avsender og mottaker. - i merknadene, bl.a.:... må inngå i forløpstestingen. Virksomheten må stille krav til leverandører... 38

39 q2 (k) (t) q3 ID Trussel / Kompromittering Årsak Sannsynlighet Konsekvens Risiko Kommentarer, f.eks. beskrivelse av implementerte tiltak PLO-meldingen Helseopplysninger til lege er uoversiktlig pga. for mye informasjon Meldingen mangler avsenders navn og kontaktinfo. Meldingen genereres med alt det innhold det er haket av for i Profil. I utgangspunktet (default) er alt haket av. Dette kopieres automatisk inn i hode meldingen basert på innlogging i PLO EPJ, kan ses i visningsfil, men ikke i den lokale visningen i WinMed. Stor Hvis de ikke haker bort.. Stor Selv om det står i meldingen, blir det ikke tatt med i visningen av meldingen slik den vises i WinMed Liten Viktig info forsvinner i det andre (påvirker også tilgjengelighet) (påvirker også konfidensialitet: Info de ikke skulle videresendt.) Liten Må kanskje finne ut av det på annen måte.. Middels Middels Meldingen genereres automatisk fra PLO-epj. Default er det satt opp (haket av for) at all info skal inn i meldinga. Man må fjerne hake på info som ikke skal med. Det burde vært motsatt. Tromsø m.fl. har deaktivert denne meldingen. Leger (i Vågan) ønsker ikke å motta denne meldingen. Visma er varslet om dette, men de sier det er i hht. KITH-std. FUNNKe tar dette opp nasjonalt (NUIT, Hdir) Må huske å skrive inn avsender manuelt: navn, tittel, telefonnr. Kanskje bør meldingsstandarden endres 39

40 q4 ID Trussel / Kompromittering Årsak Sannsynlighet Konsekvens Risiko Kommentarer, f.eks. beskrivelse av implementerte tiltak Svarmelding kan ikke brukes etter hensikten Eksempel: Forespørsel om tjenestetilbud hvis legen bruker denne typen forespørsel (men spør om noe annet) kan ikke PLO trykke svarknapp slik at meldingen legger seg i dialogtreet, men må lage ei ny melding (ny forespørsel) Feil meldingstype er brukt, i forhold til innhold + ikke mulig å skrive fritekst i enkelte av meldingene i Profil Svært stor Liten- Tungvindt Må informeres til brukerne.. Må finne andre måter å gjøre det på Middels- I kravspeken var det i utg.pkt slik at en type forespørsel skulle generere en forutbestemt svarmelding: Forespørsel tjenestetilbud svar: Orientering om tjenestetilbud Forespørsel tilstandsvurdering svar: Helseopplysning til lege Forespørsel annen henvendelse svar: Svar på forespørsel Kravspeken ble etter hvert moderert til at man skulle kunne velge disse eller Svar på forespørsel, men dette er aldri implementert i Profil. Fra Sandefjord kommune (CosDoc): Orientering om tjenestetilbud. Kommer automatisk opp som svarmelding hvis legen sender forespørsel om tjenestetilbud. Den kan ikke skrives i. Tiltak: Leverandørene må gjøre noe med dette... Tromsø kommune har rapportert feilen til Visma gjentatte ganger siden Tromsø kommune har deaktivert disse meldingene, de bruker bare Forespørsel. 40

41 ID Trussel / Kompromittering Årsak Sannsynlighet Konsekvens Risiko Kommentarer, f.eks. beskrivelse av implementerte tiltak Trusler mot tilgjengelighet t1 t2 t3 Melding feiler i meldingsserver (f.eks. DIPS Comm) hos mottaker, dvs. mottar ikke transp.kvittering Utgående meldinger blir ikke sendt og/eller innkommende meldinger blir ikke mottatt (dvs. mottaker mottar ikke meldinger og avsender mottar ikke kvittering) Melding kommer ikke fram til mottakers fagsystem, dvs. mottar positiv transp.kvitt. men negativ appl.kvitt. Feil adr.info: - feil PKI-sertifikat til mottaker og/eller avsender - Meldingsserver (f.eks. DIPS Comm) hos mottaker er ute av drift (tekniske problemer) eller ikke startet - XML-parser ikke startet Legekontor: - ukjent pasient - manglende fødselsnr, f.eks. innvandrer uten d.nr - ukjent avsender PLO: når meldingene kommer inn i innboks, sendes det positiv appl.kvitt. derfra i disse tilfellene Middels Liten er blitt bedre (startproblem?) Liten Liten - oppdages fort, og kan rettes opp Kan være verre i noen tilfeller? F.eks. forsinkelse i hjemsending av utskrevet pasient fra HF Liten Flere re-sendinger så det vil som oftest komme fram etter noen forsøk Liten Skal oppdages av avsenders fagsystem, de må gjøre noe Lav Lav Lav Se trussel tk4 og th2 hos Gerd & Eirin: Manglende/ feil utfylling av NHN Adresseregister kan skyldes manglende kompetanse hos kommuner og legekontor, og manglende support fra NHN og leverandører av fagsystem. Bedrer seg når det blir automatisk oppdatering og nedlasting til og fra NHN Adr.reg. Tiltak: Bistand fra Helse Nord IKT, i samarbeid med tjenesteansvarlig i NHN, og krav til leverandører om nødvendig funksjonalitet. Rutiner for bestilling av HER-id og sertifikat, f.eks. ved nyansatte leger. Meldingsserver bør alltid være på. Ha rutiner for håndtering av feil. Konfigurere at meldinger forsøkes sendt på nytt ved manglende transp.kvitt., jf. slik de gjør på UNN og i Tromsø kommune Viktig å følge med på kvitteringer hos avsender 41

42 t4 t5 t6 ID Trussel / Kompromittering Årsak Sannsynlighet Konsekvens Risiko Kommentarer, f.eks. beskrivelse av implementerte tiltak Fagsystemet kan ikke lage/sende melding eller lese/motta/tolke melding (negativ applikasjonskvittering) Dårlig oppfølging i PLO av sendte meldinger (Hammerfest kommune) Meldinger kommer ikke direkte til riktig mottaker i HF, kan bli liggende i Udefinert arbeidsflyt og må håndteres manuelt (men PLO/kommunen har fått pos. appl.kvitt.) PLO (og HF? og LK?): XML validerer ikke - f.eks. fordi avsender og mottaker har implementert ulike versjoner av meldinger - f.eks. feil i oppdatering av meldingstyper hos en eller begge parter Manglende overvåkning av meldingstrafikken, spesielt ved fravær (Sør- Varanger) Kommunen sjekker ikke status på kvitteringer (Nordreisa) Eksempler: PLO-meldingene rutes etter hvor pasienten er innlagt, men hvis pasienten ikke er innlagt må meldingen rutes manuelt (fra Udefinert arbeidsflyt), PLOmeldinger adresseres (foreløpig) bare til foretaket. Liten Ikke så ofte nå lenger, stabilt men ved hver oppgradering skjer det noe galt Stor i starten, uten gode rutiner eller før rutiner fungerer NA internt i HF (men viktig å vite for dem i PLO at slikt kan skje) Moderat (ikke effektiv helsehjelp) Tar tid å rette opp, få nye versjoner Alvorlig - hvis meldinger blir liggende for lenge - Avsender tror den er mottatt og behandlet Lav Høy Testing ved oppdatering (ref. minstekravene 3 og 19) Varsle endringer, og være obs på at det kan bli ulike problemer ved oppdatering og endring av versjoner. Lars: PLO-meldinger versjon 1.6 takles ikke av Profil ennå. Sjekker ikke appl.kvitteringer ingen rutiner for å håndtere avviste meldinger viktig å ha dokumenterte rutiner Generelt. Alltids meldinger som må håndteres manuelt, både LK og PLO. Må ha med i rutiner... Følge opp feilsituasjoner som kan gå ut over andre Personell går i vakter. Det hender at alle de som har ansvar er borte samtidig. Må delegere til flere. Utfordring: Overvåke all meldingsflyt når volumet blir stort og ved flere kommuner som samarbeider. Ved manglende transp.kvitt kan man definere hvor mange forsøk som skal gjøres automatisk (jf. Tromsø komm.) NA NA HF skal følge nasjonale retningslinjer for bruk og håndtering av meldinger (sending og mottak) Jf. Krav 4 Jf. krav 5 I dag: Manuell oppfølging på UNN. Kan bli utfordrende ved økende meldingsmengde. 42

43 t7 ID Trussel / Kompromittering Årsak Sannsynlighet Konsekvens Risiko Kommentarer, f.eks. beskrivelse av implementerte tiltak Melding kommer ikke fram til rett fagsystem/ tjeneste i kommunen, de som skal ha meldingen får den ikke Når tjenestebasert adressering ikke brukes og meldinger bare sendes på nivå 1 i adresseringen (f.eks. meldinger fra HF), vil meldinger som er adressert til bare en tjeneste også ses i innboksen av de andre tjenestene som pasienten tilhører. Da kan det skje at meldingen behandles av feil tjeneste. Meldingen blir da ikke synlig i innboksen for den tjenesten som skulle hatt den, etter at den er merket som behandlet av den tjenesten som feilaktig behandlet den. (Den blir borte fra innboksen når den blir merket som ferdig behandlet.) Middels (blir null, ikke mulig, når tjenestebasert adressering brukes) Moderat+ Middels+ Blir bare et problem hvis pas er registrert hos mer enn en tjeneste, og feil tjeneste behandler meldingen. NB: Dette er bare et problem så lenge tjenesteadressering ikke er tatt i bruk. Ved bruk av tjenesteadressering er det bare den tjenesten som meldingen er adressert til som vil se meldingen i innboksen, de andre tjenestene som pasienten er tilknytta, ser ikke meldingen, selv om de også har tilgang til pasienten. Håndtering: Rutiner og opplæring sjekke at man er rett mottaker av meldinger man mottar. Dersom man feilaktig har tatt meldingen og behandlet den må riktig mottaker varsles. 43

44 t8 ID Trussel / Kompromittering Årsak Sannsynlighet Konsekvens Risiko Kommentarer, f.eks. beskrivelse av implementerte tiltak Melding kommer ikke fram til rett fagsystem/ tjeneste i kommunen, de som skal ha meldingen får den ikke Noen få ganger skal det være to mottakere. Profil klarer ikke å håndtere to kopier av melding med samme ID. Kun den første tjenesten som behandler en melding adressert til to tjenester får mulighet til å journalføre meldingen. Den andre tjenesten kan kun lese meldingen i innboksen og slette den. Liten Moderat Ikke så innlysende at de andre ikke fikk den... Men lettere å forstå at de andre også skulle hatt meldinga, kan rette opp, varsle Lav Det den andre tjenesten kan gjøre er å kopiere teksten inn i planen (rapporten, dvs. den løpende journalen). At det skal være to mottakere må oppdages, f.eks. av systemadministratorer/systemansvarlige og meldingsansvarlige på Tildelingskontoret. Når meldingen er adressert til to tjenester blir den ikke borte fra innboksen når en tjeneste har merket den som ferdig behandlet, men kopien som ligger igjen er ikke journalførbar. Tromsø kommune har nevnt dette for utvikler i Visma, men dette er jo ikke et stort problem i dag i og med at HF ikke benytter tjenesteadresser. Dette er noe Visma må gjøre noe med når den tid kommer. De må klare å håndtere meldinger med samme meldings-id som er adressert til ulike tjenesteadresser i fagsystemet. 44

45 t9 ID Trussel / Kompromittering Årsak Sannsynlighet Konsekvens Risiko Kommentarer, f.eks. beskrivelse av implementerte tiltak Melding kommer ikke fram til rett fagsystem/ tjeneste i kommunen, de som skal ha meldingen får den ikke Avsender (fastlege eller HF) har valgt feil tjeneste/mottaker Stor Moderat+ Blir kanskje ikke synlig for noen mottakere. Avsender får positiv appl.kvitt. Middels+ F.eks.: Fastlegene sender henvendelse (forespørsel) til PLO vedrørende saker som ligger utenfor PLO-tjenestens oppfølgingsområde (eks. bolig for vanskeligstilte) Men fastlegene greier ikke alltid å skille f.eks. mellom psykiatri og PU-tjeneste. Det er uheldig at kun EN tjeneste(adresse) har mulighet for å journalføre meldingen. Da vil den for alltid bare være synlig for den tjenesten som journalførte meldingen først. I Tromsø har de løst det ved at meldinger til de adr. som benyttes mest (Sykepleietjenesten og Saksbehandlertjenesten) er synlig for alle som har tilgang til meldinger i Profil. Men dersom meldingen f.eks. sendes til Rehabiliteringstjenesten og Psykisk kommunehelsetjeneste (som det er begrenset tilgang til) er det en klar risiko for at innhold ikke kommer fram til alle adressater. Dette gjelder kun for Profil. Gerica og CosDoc har ikke slike begrensninger på tjenesteadresse. 45

46 ID Trussel / Kompromittering Årsak Sannsynlighet Konsekvens Risiko Kommentarer, f.eks. beskrivelse av implementerte tiltak t10 Sykehuset sender melding om Innlagt pasient på pasienter som (ennå) ikke har noen tjeneste og journal i kommunen. Meldingene blir liggende i kommunens innboks med status ukjent pas. Melding om Innlagt pasient kommer for seint, flere dager etter innleggelse. Kommer noen ganger samtidig med melding om utskrivingsklar pasient HF velger feil type melding (skulle brukt tidligmelding, dvs. meldingen Helseopplysninger (ved søknad), for pasienter som kommer til å trenge tjenester fra kommunen) t11 Ansatte i meldingsgruppa ser ikke meldingen Ukjent bruker: Meldingen fordeles før bruker/pasient er opprettet i Profil med løpenummer (løpenr. må skrives inn på meldingen) Stor Middels - i forhold til andel av alle meldinger ang. ny pasient - avhengig av om rutiner fungerer Liten Pasient som etter hvert vil komme inn i PLO fagsystem. Tildelingskontoret får ekstra jobb med å ettersøke dette. Sykehuset får ikke nødvendig info om innlagt pas. Kommunen får ikke info de skulle fått i tidligmelding Liten Plunder og heft, manuell behandling Middels Lav Rapporteres fra bl.a. Harstad, Lenvik Skal ikke sendes som første melding for ny/ukjent pas Kommunen vet ikke om dette er en reell henvendelse eller feilsending skal brukeren registreres inn i Profil? Dette kan være info som kommunen skal ha, men i form av en annen melding. Heller ikke mulig å knytte meldingene til bruker i etterkant dersom det viser seg at vedkommende SKAL ha tjenester likevel (historikk forsvinner). Slik melding burde kunne sendes fra akuttmottaket. Det burde også være mulig å sende Innleggelsesrapport før man får melding om Innlagt pasient, ved planlagte innleggelser. Meldinger til PLO på nye pasienter. Vises som blå når de ikke er registrert i Profil fra før. Det er mulig å flytte disse meldingene over i noens mappe Mine ubehandlede meldinger. Dette burde ikke være mulig før pasienten var registrert i journalsystemet. Pasienten kan registreres i Profil fra Innboksen og få et løpenummer i Profil. Deretter skal den flyttes inn i Profil ved at den tilordnes en ansvarlig ved å flyttes inn i dennes mappe Mine ubehandlede meldinger. Vil også være synlig for Gruppens ubehandlede meldinger dersom aktuell saksbehandler er borte over tid. Det å se meldinger på ukjente brukere er en funksjon som man kan aktivere for ulike funksjonsgrupper i Profil. 46

47 ID Trussel / Kompromittering Årsak Sannsynlighet Konsekvens Risiko Kommentarer, f.eks. beskrivelse av implementerte tiltak t12 Meldinger blir liggende i kommunens innboks (for lenge) Ingen tar dem og merker med under behandling Den som er angitt som ansvarlig i meldingen er ikke til stede. Leger journalfører ikke meldinger, de bare leser meldingene uten å sette status "Ferdig behandlet". Stor Rutiner Moderat+ mange meldinger i innboks de viktige drukner Også meldinger til legene er synlig i innboksen for alle som har tilgang til pasienten og til funksjonen elektroniske meldinger. Middels+ Opplæring, bevisstgjøring Rutiner: delegering, må kunne behandle meldinger når ansvarlig ikke er tilstede. Sjekke meldinger må inn som eget punkt i arbeidsrutinene. Ulike roller? - sjekke innboks - sjekke Gruppens/Mine ubehandlede meldinger - følge opp avdelinger der meldinger blir liggende for lenge i innboks På sykehjem: hvis meldingene bare leses i innboksen og ikke blir markert som ferdigbehandlet, blir de liggende i innboksen og ikke journalført. Innboksen ligger utenfor selve fagsystemet, men har en tilknytning. Meldinger som ikke er merket som Under behandling, Fordelt til ansvarlig eller Ferdigbehandlet, vil ikke vises inne i fagsystemet, og det vil ikke være noe dokumentasjon på at noen har lest meldingen og ev. gjort noe i hht det som står i meldingen. 47

48 t13 (k) ID Trussel / Kompromittering Årsak Sannsynlighet Konsekvens Risiko Kommentarer, f.eks. beskrivelse av implementerte tiltak t14 Epikrise kommer til feil adressat Kommunen mottar ikke melding fra HF, f.eks. om (innlagte eller) utskrivingsklare pasienter Feil og/eller mangelfull info fra legen som lager epikrisen (skriver, dikterer) Legen... er inne på feil pasient velger feil mottaker glømmer å velge mottaker legger inn feil henviser (det må gjøres manuelt) Vindu som viser mottakere (mottakerboks) viser alle potensielle mottakere. Må fjerne hake på de som ikke skal ha. Lett å velge feil mottaker, ev. alle mottakere. HF sender melding til feil kommune NA Internt i HF, rutiner. Og denne dekkes av andre trusler. Liten NA NA FKU (skrivetjenesten ved UNN) kontrollerer det de kan, f.eks. sjekker om rett pasient, rett fastlege Hvis legen skriver ferdig og godkjenner går elektronisk epikrise direkte til mottaker(e) mens FKU får den til utskrift (til pas). Da hender det at FKU oppdager feil som legen har gjort... FKU rapporterer avvik hvis de oppdager slike feil. Trenger stadig opplæring av leger. - behov for opplæring - behov for felles rutiner FKU har laga egen mal (prosedyre?) for epikriser fra HLA (hjerte-lunge-avd.) færre feil. Men dette er ikke tatt i bruk av andre avd/klinikker. Moderat Går inn i Innboks hos feil kommune, må oppdages og behandles manuelt der. HF oppdager det ikke, de fikk pos appl.kvitt. Lav De som feilaktig fikk meldingen må varsle avsender om feil, og avsender må sende på nytt Viktig i forbindelse med samhandlingsreformen og betaling av liggedøgn. 48

49 Vedlegg B Krav til elektronisk meldingsutveksling Tabellen lister opp krav som er gitt i Normens veiledende dokument Krav til elektronisk meldingsutveksling 27. De fleste tiltakene vi har foreslått i kapittel 0 kan gjenfinnes i form av krav i dette dokumentet. 27 Helsedirektoratet, Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren: Krav til elektronisk meldingsutveksling, Versjon 1.0, 1. desember

50 50

51 51