Personvern og informasjonssikkerhet ved samhandling

Transkript

1 Personvern og informasjonssikkerhet ved samhandling Helge Veum, senioringeniør Dataforeningens frokostmøte om samhandlingsreformen Oslo 29. november 2011 Agenda 1. Innledning 2. Tilgangsstyring 3. Logging 4. Endringene - samhandlingsreformen 5. Datatilsynets strategi for godt personvern i helsesektoren 6. Hjelp Side 2

2 Innledning Personvern mer enn skjerming Det er også godt personvern at opplysningen brukes i samsvar med formålet og den registrertes ønske og at de er tilgjengelige for slik bruk Samtidig som vi ivaretar individets kontroll med opplysninger om seg selv og sikrer at taushetsplikten består Godt personvern skaper tillit Side 3 Innledning Mye går bra Fokus i sektoren Øket bevissthet, Loggprosjekter mm Normen og oppfølgingen av normen Helseinformasjonssikkerhetsforskriften Meldingsløftet Utfordrende nye løsninger men det lar seg gjøre Og noe står i beste fall stille Side 4

3 Innledning Målet Vi skal lykkes Med å legge til rette for god praktisk ytelse av helsehjelp, og Ivareta taushetsplikten på en god måte Vi trenger regelverk og systemer som støtter dette Det krever innsats fra flere Side 5 Innledning Datatilsynets mål for personvern i helsesektoren nye løsninger og nytt regelverk i sektoren skal ivareta personvernet på en bedre måte, spesielt med hensyn til registerform og individets selvbestemmelse tilgangsstyring og logging i sektoren skal styrkes, og sektoren skal påvirkes til å bidra mer positivt til dette individets mulighet til å ha oversikt og kontroll med opplysninger om seg selv skal styrkes, og det skal legges bedre til rette for at individet kan benytte sine rettigheter Side 6

4 Innledning Datatilsynets syn på samhandling Datatilsynet vil ikke hindre leger i å utveksle nødvendige opplysninger når det trengs i pasientbehandlingen Datatilsynet er ikke imot en samtykkebasert kjernejournal Datatilsynet synes ikke dagens løsninger for kommunikasjon innen sektoren er tilfredsstillende, og er for at man lager løsninger som er tilpasset det konkrete behovet i de ulike behandlingssituasjoner kjernejournal, meldingsutveksling, tilgang på tvers Side 7 2. Tilgangsstyring Konfidensialitetssikring i praksis Sikkerhetsbestemmelsene helseregisterlovens 16 jf POF 2-11 Helseregisterlovens 13 om tilgang til helseopplysninger Krav om nødvendighet Krav om samsvar med taushetsplikten Det blir nå gitt forskrifter Elendig tilgangsstyring er i konflikt med både 13 og Side 8

5 Tilgangsstyring Hva er viktig? At journalen behandles med respekt TAUSHETSPLIKTEN At journalen er tilgjengelig ved behov Tilgjengelighet At journalen ikke er tilgjengelig utover behov konfidensialitet At journalen er til å stole på Kvalitet & Integritet Side 9 Tilgangsstyring Krav om taushetsplikt og nødvendighet Unødvendig! [Datatilsynet og Helsetilsynet] I samsvar med taushetsplikten? [Helsetilsynet] Nødvendig og innenfor taushetsplikten Side 10

6 Tilgangsstyring Status For mange har tilgang til for mye En funksjonell tilgangsstyring må på plass Kombinasjon av vid tilgang og liten evne til å avdekke uautoriserte oppslag Det kreves systemendringer Tilgang må i større grad følge prosessene Prosesstyrt, flytorientert, beslutningsstyrt Side Logging Vi er på vei fra tilstanden: Fraværende, Ubrukelige, eller Ubrukte Til noe som er langt bedre I dag er loggen stort sett Slått på, og Egnet for av bekrefte eller avkrefte mistanke Side 12

7 Logging Veien videre Mot et verktøy for å avdekke uautorisert bruk Loggene må brukes i sikkerhetsarbeidet Logganalyse er nøkkelen Det er viktig at vi lykkes med prosjektene Regelbasert, profilbasert eller en kombinasjon - Det er målet som teller Viktig å også ivareta de ansatte Klare rammer Informasjon Begrense inngrepet mest mulig Side Endringene Hva nå - Samhandlingsreformen Ny forskrift Tilgang på tvers blir tillatt Kjernejournal Hva innebærer det i praksis? Side 14

8 Endringene Hva nå - Internt Ingen lettelser Klarere krav En skjerpelse? Bl.a. krav om Strukturering Bruk av kvalifiserte sertifikater Side 15 Endringene Hva nå Samhandling Den planlagte rutinemessige kommunikasjonen => Fortsatt meldinger Få det på plass! Etter Datatilsynets syn må lokal sikkerhet spille en sentral rolle for sikker bruk av kjernejournal og tilgang på tvers For tilgang på tvers forankret i forskriften 6 og 14 Der hvor pasienten er kan vi Styre tilgangen Følge opp bruken av tilgangen Side 16

9 Endringene Hva nå Samhandling Dere må få på plass lokal tilgangsstyring og logging Bruk av fremtidens verktøy forutsetter dette Knytning mot lokale fagsystemer er også hensiktsmessig for bruken av systemene (antar vi) Bygg personvern inn i løsningene fra starten Side 17 Endringene Hva nå i praksis bør kjernejournalen være en fane i journalsystemet? (for klinikeren) Ser om det finnes en kjernejournal Samtykke før en går inn Mer brukervennlig enn å forholde seg til et eget system På kjøpet får vi lokal styring og kontroll En portalbasert løsning kan evt. være et steg på veien Side 18

10 Endringene Hva nå i praksis bør Tilgang til andres system bør foregå gjennom eget journalsystem Lokal støtte for innhenting av samtykke Mer brukervennlig enn å forholde seg til sitt eget system På kjøpet får vi lokal styring og kontroll Bruk av egen virksomhets tilgangsstyring er en hovedregel etter forskriftens Side Side 20

11 6. Sektoren trenger hjelp Det er ikke bare enkelt å være helseforetak, kommune, legekontor eller leverandør. Dere trenger hjelp til å få klarhet i Hva en strukturert journal innebærer (Nei den er nok ikke strukturert i dag) Hvilken tilgang er det faktisk akseptabelt å gi? Fortutsatt at en ikke oppnår et 1:1 forhold behandler pasient Godkjenningsløpet for journalsystemer Normen Side 21 Sektoren trenger hjelp til å ta seg sammen Få på plass tilgangsstyring Få på plass logging Få på plass meldingsutveksling Bruk mulighetene som regelverket gir til å få på plass god samhandling internt og eksternt Forstå at god samhandling og personvern ikke er motsatte størrelser Side 22

12 Takk for oppmerksomheten! Side 23