Informasjonssikkerhet

Transkript

1 Informasjonssikkerhet Styremøte SSHF Sak Johan Krüger, Informasjonsikkerhetsleder Leif Steinar Brådland, leder Klinisk IKT , Kristiansand

2 Dagens organisering Informasjonsikkerhetsleder Organisert i avdeling for Teknologi og e-helse IKT-sikkerhetsrådgivning til virksomheten Risikovurderinger av nye og endrede løsninger Oppgaver innen regional og nasjonal koordinering Personvernombud Ikke pålagt å ha eget ombud, men bruker Norsk senter for Forskningsdata (NSD).

3 Ny personvernforordning fra EU-forordning som går rett inn i norsk lov Pålegger SSHF å ha eget personvernombud Offentlig virksomhet Behandler sensitive personopplysninger i stor skala

4 Personvernombud Uavhengig rolle. Dybdekompetanse på personvernlovgivning og praksis (juridisk kompetanse). Bindeledd mellom ledelsen, de registrerte og Datatilsynet.

5

6 Mål: Èn journal i Helse Sør-Øst Lokal EPJ En journal for hvert foretak Regional EPJ Tilgang til hele pasientens journal i Helse Sør-Øst

7 Standardisering Første trinn i å etablere en innbygger en journal Regional standard utarbeidet i samarbeid mellom foretakene stadig i utvikling Pågående prosjekt ved SSHF Ferdigstilles i mai 2018

8 Tilganger - sentrale lovreguleringer Pasientjournalloven 19 Innenfor rammen av taushetsplikten skal den databehandlingsansvarlige sørge for at relevante og nødvendige helseopplysninger er tilgjengelige for helsepersonell og annet samarbeidende personell når dette er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til den enkelte. Helsepersonelloven 21a Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte opplysninger som nevnt i 21 uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift.

9 Tilgangskontroll i DIPS Tilgang gis basert på yrkesgruppe og organisatorisk tilhørighet Tilgang åpnes når pasient er aktualisert Automatisert (implisitt) Besluttet (eksplisitt) Den ansatte skal kun lese og søke opp journaler som er relevant for å yte helsehjelp (helsepersonelloven 21a)

10 Hendelseslogger i DIPS Omfattende logging av aktivitet Alle oppslag i journaldokument logges i detalj Innsynslogg er tilgjengelig og synlig for kollegaer Innsynslogg utleveres til pasient på forespørsel

11 Standard tilgangskontroll Tilgang opprettes og fjernes automatisk avhengig av ansettelsesforhold Lik tilgang til journaldeler og funksjoner for samme yrkesgruppe Tilpasset tilgang avhengig av lokale forhold og organisering Tilpassede tilganger kan gis individuelt

12 Stedlig kontroll STHF Sykehuset Telemark har tatt i bruk regional standard inkl. tilgangskontroll Stedlig kontroll av Datatilsynet mars 2017: Tilgang til helseopplysninger i elektronisk pasientjournal Logging og loggkontroll Avvikshåndtering Varsel om pålegg i foreløpig kontrollrapport: Dokumentere tilgang i roller og at tilganger er gitt etter faktisk behov Utføre systematisk oppfølging av logger

13 Standardisert tilgangskontroll ved SSHF Regionale prinsipper for tilganger beskrives Regionale roller beskrives og besluttes Lokale roller utvikles, beskrives og besluttes Tilganger som avviker fra standard beskrives og besluttes Overordnet ROS analyse utføres

14 Oppfølging av logg Rutine eksisterer allerede som beskriver: Målrettet innsynskontroll (utføres ved behov) Systematisk logganalyse (utføres kvartalsvis) Regionalt arbeid med å etablere system for mønstergjenkjenning/statistisk loggkontroll

15 Spørsmål

16 Forslag til vedtak Styret tar informasjonen om informasjonssikkerhet i helseforetaket til orientering.