IKT sikkerhetsleder Informatiker (og pragmatiker) Voksen, men fortsatt i stand til å være uansvarlig

Transkript

1 DAGEN DA MEDISINSK UTSTYR BLE «ALLEMANNSEIE»!

2 Hvem er vi? Kenneth E Oppedal IKT sikkerhetsleder Informatiker (og pragmatiker) Voksen, men fortsatt i stand til å være uansvarlig Svein Medås Seksjonsleder Medisinsk teknisk avdeling Voss sjukehus

3 Noen fakta Helse Vest RHF eier av seks helseforetak i regionen og konsernledelse for foretaksgruppen. I tillegg eier Helse Vest IKT-selskapet Helse Vest IKT AS. Det er rundt 50 ansatte i Helse Vest RHF, som er plassert på Forus i Stavanger kommune. Sørger for at ca. 1,1 million innbyggere i regionen får de spesialisthelsetjenestene de har krav på. Helse Bergen HF Haukeland universitetssykehus har ca ansatte som hver dag har som mål å gi best mulig beh andling og pleie til pasientene våre. I 2015 behandlet vi pasienter og utdannet 2500 helsearbeidere.

4 Noen begrep: Databehandlingsansvarlig Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes Databehandler Den som behandler personopplysninger på vegne av den databehandlingsansvarlige Databehandling Enhver bruk av personopplysninger, som f. eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter Databehandleravtale Inngås når en virksomhet skal behandle personopplysninger på vegne av en annen

5

6 Det startet som en helt vanlig dag i Bergen

7 Saken kronologisk Mandag 12. mars 2012 brev mottatt på avdeling Tirsdag 13. mars 2012 e-post distribuert internt Onsdag 14. mars 2012 sak meldt til Helsetilsynet Torsdag 15. mars 2012 sak meldt muntlig til DT Fredag 23. mars 2012 sak offentlig på HBE nettsider Mandag 26. mars 2012 varsel om vedtak fra DT Fredag 30. mars 2012 henvendelse fra Helse Vest til GE 12. april 2012 mottatt redegjørelse fra GE 17. april 2012 redegjørelse fra HBE til DT 18. juli 2012 vedtak om pålegg fra DT 18. oktober 2012 klage på vedtak 3. april 2013 DT oversender klage til Personvernnemnda 4. september 2013 Personvernnemnda ber om ytterligere informasjon 23. desember 2013 Personvernnemnda 11. februar 2014 Iverksettelse av Datatilsynets vedtak 26. februar 2014 Svar fra HBE til DT på iverksettelse Juni 2014 Brev sendes til berørte pasienter Juni 2014 Annonsering i media Juni 2014 Kontakttelefon tilgjengelig for berørte pasienter Mai 2016 Opplysninger slettet hos GE*

8 Fakta om opplysningene Tidsperiode: desember 2006 mars 2012 Hva ble hentet ut: Fødselsnummer Alder Vekt Medisinsk prosedyre Mammografiprogrammet Alle norske kvinner i en spesifikk aldersgruppe inviteres til mammografiscreening av Kreftregisteret. Registeret sender opplysninger til sykehuset og disse legges inn i vårt utstyr. Ingen kliniske opplysninger om disse kvinnene

9 Noen dypdykk Helse Bergen sin vurdering av omfang og innhold utfordret pålegg fra Datatilsynet Begrenset informasjon Tilbakeføring av data ble vurdert som risikoeksponerende Identifisering av berørte utfordrer ytterligere personvernet Informasjon til berørte kan oppfattes ulikt og i noen tilfeller negativt Datatilsynet opprettholder sitt utgangspunkt og fastholder Helse Bergen sin plikt til å informere Individuell vs kollektiv informasjon Flertall av pasienter knyttet til nasjonalt program for mammografiscreening Klage på vedtak er primært knyttet til denne gruppen 115 telefoner Et klart flertall uttrykte bekymring knyttet til at deres fødselsnummer var på avveie i USA

10

11 Teknisk utstyr var medisinsk utstyr(mu) nærmere bestemt elektromedisinsk utstyr( EMU)

12 Norske lover er styrt av EU direktiver. Forskrift om medisinsk utstyr Lov om medisinsk utstyr Forskrift om håndtering av medisinsk utstyr Dei regulerer livsløpet til MU: innkjøp, opplæring, bruk, vedlikehold, kassasjon Tilsynsmyndighet er DSB.

13 MU og EMU a) medisinsk utstyr: ethvert instrument, apparat, utstyr, programvare, materiale eller annen gjenstand som brukes alene eller i kombinasjon, herunder programvare som av produsenten er tiltenkt å brukes spesielt til diagnostiske og/eller terapeutiske formål og som kreves for riktig bruk, og som er ment å skulle brukes på mennesker med sikte på: 1. diagnostisering, forebygging, overvåkning, behandling eller lindring av sykdom, 2. diagnostisering, kontroll, behandling, lindring eller kompensasjon for skade eller handikap, 3. undersøkelse, utskifting eller endring av anatomien eller av en fysiologisk prosess, eller 4. svangerskapsforebyggelse, og der den ønskede hovedvirkning i eller på menneskekroppen ikke framkalles ved farmakologisk eller immunologisk virkning eller ved å påvirke stoffskiftet, men der slike effekter kan bidra til dets funksjon. b) elektromedisinsk utstyr: ethvert medisinsk utstyr, inkludert systemløsninger, som er avhengig av en elektrisk energikilde for å fungere.

14 Vedlikehold av MU Eigen godkjenning for å ha service på EMU som krever elektro teknisk utdanning og praksis. Det er Medisinsk Teknisk avdeling som har ansvaret for MU på sjukehuset og ofte det som spesialisthelsetjenesten leverer ut til pasienter for heimebruk.

15 Mandat GE saka. 1. Kartlegge omfanget av medisinsk utstyr og laboratorieutstyr som er koplet mot eksterne firma. Lage et mest mulig komplett oversikt over disse tilgangane og kven som er utstyrsansvarlig ved MTA. 2. Undersøke vikle eksisterande avtaler om datatilgang som finnes mellom Helse Bergen og aktuelle eksterne firma. 3. Lage forslag til ny databehandlaravtale som skal gjelde for slike datatilganger. 4. Kartlegge lagring av helseopplysningar i medisinsk utstyr og forholdet til aktuelle formelle regler/lover/forskrifter.

16 Nøkkeltal MU i Helse Bergen Ca registrerte MU. Ca forskjellige typer MU. Etter vasking av listene så stod vi igjen med 1000 typer MU fordelt på 170 firma.

17 Kartleggingsspørsmål. Spørsmål om MTU med tilgang til pasientopplysninger og Helseinformasjonssikkerhetsforskriften Leverandør: Dato: Forklaring av felter som skal fylles ut: Type tilgang On-site: Har deres firma tilgang til pasientopplysninger ved besøk "on-site", f.eks ved service, reparasjon, opplæring, salg, osv Fjerntilgang for feilsøking: Har deres firma fjerntilgang for feilsøking av utstyret, enten direkte eller viderekoplet via annet utstyr? Fjerntilgang for kontinuerlig overvåkning: Har deres firma fjerntilgang for kontinuerlig overvåkning av utstyret, enten direkte eller viderekoplet via via annet utstyr? Behovs-styrt fjerntilgang: Kan fjerntilgang åpnes og lukkes på utstyret av Helse Bergen personell ved behov? Tilgangsnivå Tekniske data: Har deres firma har tilgang til tekniske data lagret på utstyret? Personopplysninger: Har deres firma tilgang til personopplysninger lagret på ustyret? Helseopplysninger: Har deres firma tilgang til helseopplysninger lagret på utstyret, f.eks. bilder, diagnoser, kliniske beskrivelser, DICOM/RIS informasjon, osv? Nedlasting: Lastes det ned person- eller helseopplysninger, direkte eller i tekniske logger? Avtale Er skriftlig avtale inngått med Helse Bergen HF eller Helse Vest IKT som sikrer person- og helseopplysninger? * Hjemmel: helsehjelp, forskning, kvalitet, administrativ støtte, rapportering) Hvis deres firma har utstyr i bruk i Helse Bergen som ikke er inkludert i oversikten, bes det om at dette legges til på listen. Utstyr On-site Fjerntilgang for feilsøking Leverandørtillgang til Medisinsk utstyr Helseinformasjonssikkerhetsforskriften Logging av aktivitet Tilgang Type tilgang (Gjelder både for fjerntilgang og ved personlig oppmøte ved service og reparasjon) Beskriv hvilken funksjonalitet som tilbys for å registrere følgende opplysninger ved bruk av medisinsk teknisk utstyr; - Navn - Rolle - Organisatorisk tilhørighet - Grunnlag for tilgang - Tidspunkt for aktivitet som lesing/skriving/redigering/sletting fjerntilgang Tekniske data Person opplysninger Helse opplysninger Nedlasting HSHF/HVIKT Fjerntilgang for kontinuerlig overvåkning Behovs-styrt av utstyr Tilgang (gjelder både lesetilgang og nedlasting av data) Avtale Beskriv hvilke løsninger som tilbys for tilgangsstyring; - Bruk av roller - Autoriseringsmekanismer - Autoriseringsregister - Autentiseringsmekanismer Kontroll Beskriv hvilke løsning som tilbys for å kunne utføre kontroll med hvem som har hatt tilgang til medisinsk teknisk utstyr Beskriv hvordan fagsystemet kan tilby funksjonalitet for sperring av opplysninger, helt eller delvis, for enkeltindivid eller grupper, med mulighet for å forbigå sperre ved dokumentasjon

18 Resultat av kartlegging. 109 svar fra Firma. 9 firma hadde fjerntilgang til 99 stk. MU. Det vert lagra personopplysningar i 229 typer MU og av dei lagrer 79 stk. helseopplysningar. Det var ikkje nokon avtaler mellom Helse Bergen og eksterne firma om datatilgang til MU. Vår tjenesteleverandør på IKT er den som gir ut sertifikat basert VPN tilgang og Site to Site tilgang til datanettet. Dei hadde ikkje spesifikk oversikt over kva tilgangar som var mot MU. Me og Helse Stavanger har samarbeida i denne prosessen og har gjennomført 3 stk. møter med firma som har fjerntilgang.

19 Tiltak. Servicetilgangsavtaler. Databehandleravtaler. Kartleggings spørsmål/kravstilling ved MU anskaffelser.

20 Oppsiden! (hva godt kunne komme ut av denne saken?) Fokus Oversikt Prioritering Oppmerksomhet fra myndigheter Riksrevisjonen Datatilsynet Helse- og omsorgsdepartementet Direktoratet «en døråpner» En plass i Normen! +++

21 Lenke til saken hos Datatilsynet