Når EPJ implementeres og tas i bruk for alt helsepersonell ved et sykehus hvordan ivaretas informasjonssikkerheten?

Transkript

1 Når EPJ implementeres og tas i bruk for alt helsepersonell ved et sykehus hvordan ivaretas informasjonssikkerheten? Else Sandvand Agder University College, Kristiansand S, Norway Svein A. Berntsen Spesialsykehuset for Rehabilitering, SSR, Kristiansand S, Norway

2 Agenda informasjonssikkerhet utspill fra media tidligere prosjekter masteroppgave metode resultater papirfattig sykehus implementering ivaretakelse av informasjonssikkerhet, datadisiplinerklæring etc Berntsen og Sandvand SHI 2

3 Bakgrunn Økt bruk av ikt i helse- og sosialsektoren Tidligere prosjekter med fokus på den enkelte databruker, handtering av personvern, informasjonssikkerhet Informasjonssikker helse for hver bite. Samsvarer krav til personvern og informasjonssikkerhet med hvordan brukere på en sykehusavdeling håndterer ikt? Masterprosjekt sundhedsinformatik, Berntsen og Sandvand SHI 3

4 Informasjonssikkerhet Personopplysningsloven + forskrift til loven [Ikrafttredelse ] Helseregisterloven [Ikrafttredelse ] Helsepersonelloven [Ikrafttredelse ] Pasientrettighetsloven [Ikrafttredelse ] Forskrift om pasientjournal [Ikrafttredelse ] Lov om arkiv [Lov av 04, nr. 126] Berntsen og Sandvand SHI 4

5 Helsevesen gir blaffen i personvern? Datatilsynet 2002: helsevesenets slappe holdning til datasikkerhet", " det er ingen hemmelighet at heter/visartikkel.asp?artid=3485 pasientopplysninger mange steder har vært, og er lett tilgjengelige også for grupper som aldri skulle hatt tilgang, journaler på avveie, eller i hendene på nysgjerrig personell Berntsen og Sandvand SHI 5

6 Stadig dagsaktuelt. Avslørte tyvlesing i Anna Lindhs journal okt Ansatte snoker i pasientjournaler mai Berntsen og Sandvand SHI 6

7 Stadig dagsaktuelt Legevakt får ikke pasientopplysninger Forsikringen vil vite alt om degjuni-05 Må ofre frihet for trygghet Berntsen og Sandvand SHI 7

8 Konsekvenser ved svikt i informasjonssikkerhet fare for tap av liv og helse, feilbehandling av pasienter tap av tillitt til befolkningen uautorisert tilgang til sensitive opplysninger Berntsen og Sandvand SHI 8

9 Med tilfredstillende informasjonssikkerhet forstås: at informasjon : ikke er tilgjengelig uten autorisasjon (konfidensialitet), ikke uautorisert kan endres eller slettes (integritet), er tilgjengelig for medarbeidere slik at pålagte oppgaver kan gjennomføres (tilgjengelighet), er korrekt og komplett (kvalitet) Berntsen og Sandvand SHI 9

10 metode kvalitativ tilnærming med fokusgruppe: god til å produsere data om sosiale gruppers fortolkninger, interaksjoner og normer den sosiale interaksjon er kilden til data produserer konsentrerte data om et bestemt fenomen en "behagelig" måte for deltakerne (Halkier, 2003) Berntsen og Sandvand SHI 10

11 Informasjonssikkerhet Informasjonens kvalitet og integritet Konfidensialitet Tilgjengelighet Berntsen og Sandvand SHI 11

12 Temaområde: Lovverk: Avdelingene: Integritet (informasjon er i overensstemmelse med den virkelighet den skal representere. Bare autorisert kan endre informasjon) Personlige helseopplysninger er: -korrekte -konsistente -fyllestgjørende -oppdaterte -gyldig Informasjon er ikke endret eller slettet på en uautorisert måte Skjer at man dokumenterer på feil pasient Ulik holdning for å rette opp feildokumentering Kopiering/klipp og lim informasjon om en pasient fra et journal-notat til et annet og av andre faggrupper Ingen låner passord av hverandre Hyppig skifte av passord Gode utloggingsrutiner Tilgjengelighet (tilgang til nødvendig informasjon når det er nødvendig) Det skal sikres tilgang til personopplysninger hvor tilgjengelighet er nødvendig. Dette omhandler: -tilgang -stabilitet -driftssikkerhet Antall datamaskiner tilgjengelig kan begrense tilgang Utgangspunktet er snevre/smale tilganger. Fleksibilitet for å kunne gjøre arbeidet i forhold til kveld/helgevakter. Tilganger til flere enn de man skal behandle. Høy moral blant terapeutene. Konfidensialitet (informasjon ikke er tilgjengelig for uautoriserte personer eller ikke-godkjente systemer) Tillit Beskytte sensitive personopplysninger. Informasjonen ikke tilgjengelig for andre. Rettmessig behov Personvern logget av Berntsen og Slurver Sandvand ikke SHI med personvern Skriftlig kontrakt mellom arbeidsgiver og den ansatte. Det rapporteres sensitive opplysninger på avvei: vaskeriet, skjermer som ikke er 12

13 Informasjonens tilgjengelighet Funksjonalitet Personvern Berntsen og Sandvand SHI 13

14 Utfordringer brukerperspektivet: videre tilgang enn nødvendig frihet under ansvar ledelsesperspektivet: ikke-planlagte omrokkeringer sykdom/vikarer Berntsen og Sandvand SHI 14

15 Status SSR Papirfattig sykehus prosjekt alle faggrupper anvender elektronisk journal, EPJ Undervisning/opplæring Datadisiplinerklæring Berntsen og Sandvand SHI 15

16 Datadisiplinerklæring Er en del av arbeidsavtalen som nyansatte må underskrive Omhandler blant annet: påloggingsrutiner handtering av passord feilrapportering etc Berntsen og Sandvand SHI 16

17 Datadisiplinerklæring Jeg,, er ansatt ved Spesialsykehuset for Rehabilitering, SSR, og påtar meg med dette å overholde foretakets retningslinjer for handtering av sensitive personopplysninger og for bruk av sykehusets ikt-utstyr. Jeg er klar over at jeg er pålagt taushetsplikt. Jeg har således gjort meg kjent med nedenforstående punkter og vil rette meg etter følgende: 1.Bruker- ID (brukernavn) er knyttet til de programmer som er nødvendig for meg i mitt daglige arbeid. Jeg er selv ansvarlig for all registrering som gjøres med min bruker-id, og skal derfor beskytte mine data slik at de er utilgjengelige for uvedkommende. 2.Passord legitimerer meg som rettmessig bruker av min personlige bruker-id. Passordet er personlig, og jeg skal holde det hemmelig for andre. Når jeg får beskjed om å bytte det, skal jeg velge et passord som ikke lett kan knekkes av andre. Jeg oppbevarer passordet på lik linje som min minibankkode. 3.Jeg logger meg ut av sensitive systemer når jeg forlater datamaskinen. Når jeg går for dagen logger jeg meg helt ut og skrur av datamaskinen. Jeg er ansvarlig for at uvedkommende ikke skal få tilgang eller innsyn til systemer og sensitiv informasjon gjennom min datamaskin. 4.Lagringsmedier (for eksempel disketter, cd-plater og papirdokumenter) som inneholder sensitive personopplysninger, skal jeg håndterer på en slik måte at slik informasjon ikke kommer på avveie. For øvrig vises det til den enkeltes forpliktelser etter taushetserklæringen ved SSR. 5.Internett eller e-post skal ikke brukes til å formidle sensitiv informasjon. Det påpekes at søk og nedlasting fra internett ikke må være i strid med norsk lov. Jeg skal ikke installere programvare nedlastet fra internett. 6.Fravær. SSR har ikke adgang til mine nettverksområder eller uten avtale. Ved langvarig og uforutsigbart fravær der det ikke har vært mulig å gi min godkjennelse på forhånd, gis SSR adgang til mine nettverkssteder, inklusive . som SSR forstår eller burde forstå er av privat karakter forblir beskyttet etter reglene om personvern. 7.Rapporter feil når du oppdager brudd på sikkerhet (ved at du for eksempel ser informasjon du ikke skal se). Kontakt it-avdelingen. 8.Innkjøp/installering av utstyr og programvare skal ivaretas av ikt-avdelingen Spesialsykehuset for Rehabilitering, SSR Dato: Signatur: Berntsen og Sandvand SHI 17

18 Konklusjon ansatte ved SSR er opptatt av å etterfølge krav til informasjonssikkerhet/personvern. Hva skyldes dette?: tidligere prosjekt-intervensjoner? fokus på denne området, blant annet manifestert i kvalitetsdokumentasjon? opplæring? ledelse? Berntsen og Sandvand SHI 18

19 Takk for oppmerksomheten! Takk for kjempeflott kurs! Vi møtes til neste år Berntsen og Sandvand SHI 19