Møte i Nasjonalt e-helsestyre

Transkript

1 Møte 5/2017 Dato 11.desember 2017 Tid Kl Sted Medlemmer Møte i Nasjonalt e-helsestyre Radisson Blu Airport Hotell, Oslo Gardermoen Christine Bergland (Direktoratet for e-helse) Cathrine Lofthus (Helse Sør-Øst RHF) Stig Slørdahl (Helse Midt-Norge RHF) Camilla Stoltenberg (Folkehelseinstituttet) Kristin W. Wieland (Bærum kommune) Camilla Dunsæd (Kvinesdal kommune) Anne-Lise Ryel (Kreftforeningen) side 1 Lars Vorland (Helse Nord RHF) Herlof Nilssen (Helse Vest RHF) Bjørn Guldvog (Helsedirektoratet) Inger Østensjø (KS) Nina Mevold (Bergen kommune) Arild Sundberg (Oslo kommune) Lilly Ann Elvestad (FFO) Steffen Sutorius (DIFI) Ivar Halvorsen (fastlegene) Observatører Håkon Grimstad (Norsk Helsenett SF) Lars Bjørgan Schrøder (HOD) Sak Tema Sakstype 44/17 Godkjenning av innkalling og dagsorden Godkjenning 45/17 Godkjenning av referat fra møtet 25. oktober 2017 Godkjenning 46/17 Orientering fra Direktoratet for e-helse Orientering 47/17 sak 1-3 Styringsgruppesaker: «Én innbygger én journal» Orientering/ tilslutning/drøfting 48/17 Komparativ analyse av de regionale helseforetakene på IKT-området Orientering 49/17 Tilleggsoppdrag 4: Informasjonssikkerhet ved bruk av private Orientering leverandører 50/17 Nasjonal e-helseportefølje 2018 Tilslutning 51/17 Videre arbeid med finansieringsmodeller Orientering 52/17 Eventuelt Orientering Sak Tema Sakstype 44/17 Godkjenning av innkalling og dagsorden Godkjenning Forslag til vedtak: Nasjonalt e-helsestyre godkjenner innkalling og dagsorden. 45/17 Godkjenning av referat fra møtet 25.oktober 2017 Godkjenning Forslag til vedtak: Nasjonalt e-helsestyre godkjenner referat fra møtet 25.oktober Vedlegg 1: Referat 46/17 Orientering fra Direktoratet for e-helse Drøfting Direktoratet for e-helse orienterer om status for nasjonalt e- helsearbeid: Orientering om nye krav under EUs personvernforordning Etablering av strategiprosess for å forvalte nasjonal strategi og handlingsplan Vedlegg 2: Toppnotat EUs personvernforordning Vedlegg 2a: Toppnotat strategiprosess Forslag til vedtak: Nasjonalt e-helsestyre tar sakene til orientering. 47/17 Styringsgruppesaker «Én innbygger én journal» Drøfting Det legges frem følgende saker med egne vedtak: Vedlegg 3: Toppnotat Én innbygger én journal»

2 Nr. 1 Generell status i arbeidet med «Én innbygger én journal» Orientering Hensikten med saken er å informere Nasjonalt e-helsestyre om status på arbeidet i «Én innbygger én journal» Forslag til vedtak: Nasjonalt e-helsestyre tar saken til orientering. Nr. 2 Veikart for realisering av «Én innbygger én journal» Tilslutning Hensikten med saken er å få en tilslutning til anbefalt veikart for realisering av «Én innbygger én journal». Forslag til vedtak: Nasjonalt e-helsestyret gir sin tilslutning til Direktoratet for e-helses anbefalinger: Målbildet om en nasjonal løsning står fast, jf. anbefaling fra utredning av én innbygger én journal (jan. 2016). Eksisterende utviklingsretning med etablering av en nasjonal løsning for kommunal helse- og omsorgstjeneste og regional utprøving av det nasjonale målbildet i Midt- Norge (Helseplattformen) ligger fast. Spesialisthelsetjenesten i Nord, Vest og Sør-Øst skal arbeide mot et mål om en felles samordnet PAS/EPJ for de tre regionene. Nr. 3 Plan for 2018 Drøfting Hensikten med saken er å orientere om planlagte aktiviteter i Forslag til vedtak: Nasjonalt e-helsestyre ber prosjektet om å ta med innspill i det videre arbeidet. 48/17 Komparativ analyse av de regionale helseforetakene på IKT-området Orientering (tillegg til hovedrapport fra 1. juli 2017) Direktoratet for e-helse gir et sammendrag av tilleggsrapport til komparativ analyse av de regionale helseforetakene på IKT-området. Rapporten skal oversendes Helse- og omsorgsdepartementet i desember Det gjøres oppmerksom på at noen innspill til rapporten ikke er ferdig innarbeidet. Vedlegg 4: Toppnotat komparativ analyse av RHFene Forslag til vedtak: Nasjonalt e-helsestyre tar saken til orientering. 49/17 Tilleggsoppdrag 4: Informasjonssikkerhet ved bruk av private leverandører Hensikten med saken er å gi en orientering om oppdraget med å gjennomgå informasjonssikkerhet ved bruk av private underleverandører i helse- og omsorgstjenesten, og presentere viktigste funn og konklusjoner i rapporten. side 2 Vedlegg 4a: Komparativ analyse av RHFene- tillegg til hovedrapport Orientering Vedlegg 5: Toppnotat informasjonssikkerhet ved bruk av private leverandører Vedlegg 5A: Rapport informasjonssikk

3 erhet ved bruk av private leverandører Forslag til vedtak: Nasjonalt e-helsestyre tar rapporten til orientering 50/17 Nasjonal e-helseportefølje 2018 Tilslutning Hensikten med saken er at Nasjonalt e-helsestyre er kjent med innholdet av Nasjonal e-helseportefølje 2018 slik de er lagt fram i møtet og er informert om prosessen mht. avklaring av endelig omfang av porteføljen. Forslag til vedtak: Nasjonalt e-helsestyre gir sin tilslutning til Nasjonal e-helseportefølje Dette innebærer en tilslutning til at nasjonal e-helseportefølje består av angitte prosjekter og tar til informasjon prosessen videre for avklaring av endelig fordeling på prioriteringskategorier og finansiering av porteføljen. 51/17 Videre arbeid med finansieringsmodeller Vedlegg 6: Toppnotat Nasjonal e- helseprotefølje Vedlegg 6A: Nasjonal portefølje sortert på strategisk område Vedlegg 6B: Nasjonal portefølje sortert på prioriteringskategorier I møte sluttet Nasjonalt e-helsestyre seg til rapporten «Finansieringsmodeller for nasjonale e-helsetiltak». Hensikten med saken er å orientere Nasjonalt e-helsestyre om prosess for videre arbeid med finansieringsmodeller for nasjonale e-helsetiltak. Vedlegg 7: Toppnotat finansieringsmo deller Forslag til vedtak: Nasjonalt e-helsestyre tar saken til orientering. 52/17 Eventuelt VEDLEGG: Vedlegg 1, sak 45/17: Referat fra møte i Nasjonalt e-helsestyre 25.oktober 2017 Vedlegg 2, sak 46/17: Toppnotat EUs personvernforordning Vedlegg 2a, sak 46/17: Toppnotat strategiprosess Vedlegg 3, sak 47/17: Toppnotat Én innbygger én journal Vedlegg 4, sak 48/17: Toppnotat komparativ analyse av RHF-ene Vedlegg 4a, sak 48/17: Komparativ analyse av RHF-ene- tillegg til hovedrapport Vedlegg 5, sak 49/17: Toppnotat informasjonssikkerhet ved bruk av private leverandører Vedlegg 5a, sak 49/17: Rapport informasjonssikkerhet ved bruk av private leverandører Vedlegg 6, sak 50/17: Toppnotat Nasjonal e-helseportefølje Vedlegg 6a, sak 50/17: Nasjonal portefølje sortert på strategisk område side 3

4 Vedlegg 6b, sak 50/17: Nasjonal portefølje sortert på prioriteringskategorier Vedlegg 7, sak 51/17: Toppnotat finansieringsmodeller side 4

5 Referat fra møte i Nasjonalt e-helsestyre Møte 4/2017 Dato 25. oktober 2017 Tid 25.oktober kl Sted Direktoratet for e-helse, Verkstedveien 1, Skøyen Oslo, møterom 4117 Medlemmer Til stede Christine Bergland (Direktoratet for e-helse) Cathrine Lofthus (Helse Sør-Øst RHF) Kristin W. Wieland (Bærum kommune) Camilla Dunsæd (Kvinesdal kommune) Stig Slørdahl (Helse Midt-Norge RHF) Ivar Halvorsen (fastlegene) Lilly Ann Elvestad (FFO) Herlof Nilssen (Helse Vest RHF) Inger Østensjø (KS) Arild Sundberg (Oslo kommune) Steffen Sutorius (DIFI) Anne-Lise Ryel (Kreftforeningen) Nina Mevold (Bergen kommune) Bjørn Guldvog (Helsedirektoratet) Ikke til stede Observatører Direktoratet for e-helse Lars Vorland (Helse Nord RHF) Camilla Stoltenberg (Folkehelseinstituttet) Håkon Grimstad (Norsk Helsenett SF) Lars Bjørgan Schrøder (HOD) Bodil Rabben Karl Stener Vestli Inga Nordberg Ola Jøsendal Kristin Bang Lene Skjervheim Camilla Smaadal Ida Møller Solheim Robert Nystuen Christian Mjaanes Anette Skotland Hansen Are Muri Norunn Elin Saure Pia Braathen Schønfeldt Sak Tema Sakstype 36/17 Godkjenning av innkalling og dagsorden Godkjenning 37/17 Godkjenning av referat fra møtet 13.september 2017 Godkjenning 38/17 Film fra Kreftforeningen: Holly Orientering 39/17 Tilleggsoppdrag: IKT-organisering i helse- og omsorgssektoren Tilslutning 40/17 Tilleggsoppdrag: Finansieringsmodeller for e-helse Tilslutning 41/17 Styringsgruppesaker: Program Én innbygger én journal Orientering /drøfting 42/17 Ny leder for produktstyret Tilslutning 43/17 Eventuelt Orientering Sak Tema Sakstype 36/17 Godkjenning av innkalling og dagsorden Godkjenning Det kom ingen kommentarer til innkalling og dagsorden. Det ble meldt inn en sak om informasjonssikkerhet til eventuelt. Herlof Nilssen var møteleder. Vedtak: Nasjonalt e-helsestyre godkjenner innkalling og dagsorden. 37/17 Godkjenning av referat fra møtet 13. september 2017 Godkjenning Det ble kommentert at to dager er for kort frist for å gi tilbakemeldinger på referatene. Medlemmene i Nasjonalt e-helsestyre vil få en ukes frist til å gi innspill på referatene fremover. side 1

6 Kommunesektoren har sendt innspill til referatet 13.september. Sekretariatet vil føre inn endringene i referatet. Vedtak: Nasjonalt e-helsestyre godkjenner referat fra møtet 13.september /17 Orientering fra Direktoratet for e-helse Orientering Kreftforeningen ved Anne Lise Ryel viste filmen Holly og forklarte kort om bakgrunnen og formålet med filmen. 39/17 Tilleggsoppdrag: IKT-organisering i helse- og omsorgssektoren Tilslutning Inga Nordberg, Direktoratet for e-helse, orienterte om arbeidet med tilleggsoppdraget Direktoratet for e-helse har fått fra HOD. Oppdraget går ut på å utrede Direktoratet for e-helses myndighetsrolle og leverandørfunksjon for IKT-organisering i helse- og omsorgstjenesten. Nasjonalt e-helsestyre mener det er gjort gode justeringer i rapporten. Det ble kommentert at Digital agenda og OECD-rapporten er godt belyst innledningsvis, men at det på enkelte punkter senere i rapporten er behov for å reflektere disse perspektivene bedre. Det er også viktig å tydeliggjøre sentrale punkt fra perspektivmeldingen. IKT-Norgerapporten er også et viktig dokument som bør omtales. Det ble kommentert at behovet for å videreutvikle modeller for samstyring mellom stat og kommune bør komme tydeligere frem. Det er i tillegg viktig å se på hvordan samstyringen inkluderer fastlegene, da de er en stor del av kommunehelsetjenesten. Nasjonal arkitekturstyring i helsesektoren bør sees i sammenheng med arkitektur på tvers av sektorer i kommunene. Nasjonalt e-helsestyre mener brukernes behov bør komme tydeligere frem i rapporten. Det er ønskelig å få frem hvordan pasienter kan involveres på en god måte. I rapporten anbefales det at nasjonal tjenesteleverandør etableres som statsforetak og at finansieringen bygges på samfinansiering. Det ble stilt spørsmål om dette er robust nok for å sikre låneopptak. Direktoratet for e-helse svarte at spørsmålet vil bli tatt med videre i etableringsprosjektet. Det kom innspill på konkrete endringer i teksten som prosjektet vil innarbeide. Vedtak: Nasjonalt e-helsestyre tilslutter seg anbefalingene i rapporten om IKTorganisering i helse- og omsorgssektoren med endringer som kom frem i møtet. Nasjonalt e-helsestyret har følgende kommentarer: I rapporten anbefales det at nasjonal tjenesteleverandør for både statlige og kommunale tjenester bør etableres som statsforetak, og at Direktoratet for e-helse får en sentral rolle med e-helse på tvers av statlig og kommunal sektor. Direktoratet for e-helse bes, i dialog med HOD, spesialisthelsetjenesten, KMD, KS og representanter for kommunesektoren, inklusive fastlegene, å utrede en modell for samstyring. I denne modellen må kommunesektoren og spesialisthelsetjenesten sikres reell side 2

7 innflytelse over finansiering og utvikling av fellesløsninger samt i styring av nasjonal tjenesteleverandør. Det må utredes hvordan sektoren, herunder spesialisthelsetjenesten, kommuner og fastleger, sikres reell medbestemmelse ved prioritering og finansiering av den nasjonale porteføljen. Det må også tydeliggjøres hva som skal ligge i en nasjonal portefølje. Det må tydeliggjøres at digitalisering skal brukes som verktøy i produktivitetsutviklingen. Det må sikres reell medinnflytelse fra brukerne ved utvikling og valg av IKT-løsninger. 40/17 Tilleggsoppdrag: Finansieringsmodeller for nasjonale e-helsetiltak Tilslutning Karl Stener Vestli, Direktoratet for e-helse, orienterte om tilleggsoppdraget finansieringsmodeller for nasjonale e-helsetiltak. Nasjonalt e-helsestyre mener det er en ryddig og god rapport. Medlemmene er enige i de overordnede prinsippene om samfinansiering, men mener det bør jobbes videre med enkelte problemstillinger. Det ble kommentert at det er viktig å trekke på fagpersoner i utviklingsfasen i større kommuneprosjekter og helseprosjekter. Det kommer ikke tydelig frem om dette skal betales fra finansieringsmidlene eller om kommunene skal stille med ressurser i tillegg. Direktoratet for e- helse svarte at finansieringsmodellen som kommunene har beskrevet bør tas med i rapporten. Det ble kommentert at samstyring ikke er belyst godt nok i rapporten. Direktoratet for e-helse svarte at samstyring må utredes videre og fremstå tydeligere i rapporten. Det ble stilt spørsmål om hvem som skal beslutte hvilke tjenester som er obligatoriske. Det ble i tillegg stilt spørsmål om hvordan Direktoratet for e-helse skal få et mandat til å ivareta e-helseperspektivet i prioritering og utforming av tilskuddsordninger. Direktoratet for e-helse svarte at Helsedirektoratet forvaltet dette i dag, men at det er ønskelig at Direktoratet for e-helse får en rolle i dette videre, noe som vil presiseres i rapporten. Veien videre bør være at HOD tar initiativ til videre forankring av modellene, sammen med kommunene og KS. Vedtak: Nasjonalt e-helsestyre tilslutter seg anbefalingene i rapporten om finansieringsmodeller for nasjonale e-helsetiltak, med endringer som kom frem i møtet. Nasjonalt e-helsestyre viser til vedtak 26/17 nr. 3 fra møtet 22. juni 2017 og ber om at forutsetninger for vedtaket blir tatt med. Nasjonalt e-helsestyre har følgende kommentarer til videre arbeid: Samstyringsmodellen må tydeliggjøres og KMD må involveres i denne prosessen. Det må utredes hvordan sektoren, herunder spesialisthelsetjenesten, kommuner og fastleger, sikres reell side 3

8 medbestemmelse ved prioritering og finansiering av den nasjonale porteføljen. Det må utredes finansieringsordninger for løsninger som er utviklet lokalt men som skal benyttes nasjonalt (sikre insentiv til «first mover»). Konsekvenser av obligatorisk samfinansiering må tydeliggjøres 41/17 Styringsgruppesaker: Prosjekt Én innbygger én journal Orientering/ drøfting Følgende saker ble lagt frem med egne vedtak: Nr. 1 Generell status for Én innbygger én journal Orientering Nr. 2 Ola Jøsendal, Direktoratet for e-helse orienterte Nasjonalt e-helsestyre om status på arbeidet med Én innbygger én journal. Vedtak: Nasjonalt e-helsestyre tar prosjektets status til orientering. Løsningsbeskrivelse av nasjonal løsning for kommunale helse- og omsorgstjenester Are Muri, Direktoratet for e-helse, informerte Nasjonalt e-helsestyre om arbeidet med nasjonal løsning for kommunale helse- og omsorgstjenester. Det har kommet gode tilbakemeldinger på referansemøter fra kommunene. Nasjonalt e-helsestyre kommenterte at det kan være ulike syn på samhandlingsbehovet om man ser det fra fastlegenes side eller fra kommunene. Vedtak: side 4 Drøfting Nasjonalt e-helsestyre tar saken til orientering og ber prosjektet om å innarbeide innspill i videre arbeid. Nr. 3 Veikart for realisering av Én innbygger én journal Drøfting Are Muri, Direktoratet for e-helse, presenterte status til foreløpige vurderinger i arbeidet med veikart for realisering av én innbygger én journal. Spesialisthelsetjenesten utenfor Helse Midt-Norge opplever at usikkerheten rundt DIPS Arena er lavere enn det prosjektet vurderer og at oppgraderingen vil koste mindre enn i Midt-Norge. Det kan være vanskelig å anslå levetider og viktigheten av EPJ/PAS i fremtiden. Dersom DIPS Arena lykkes, vil levetiden være år. Dersom denne ikke lykkes, vil levetiden kunne være kortere enn 5 år, avhengig av viktigheten av PAD/EPJ sett opp mot andre systemer i spesialisthelsetjenesten. Det ble stilt spørsmål om hvor avhengige nasjonal, kommunal EPJ skal være av regionene utenfor Helse Midt-Norge. Direktoratet for e-helse ønsker dialog med spesialisthelsetjenesten om hvilken funksjonalitet man kan legge til grunn fremover, spesielt knyttet til samhandling. Det ble kommentert at kommunene har et akutt behov for bedre funksjonalitet i sine EPJ-/PAS-systemer. Samhandling med spesialisthelsetjenesten må understøttes. Dersom dette ikke realiseres, kan det være vanskelig å få med fastlegene på ny løsning. Innføringsløpet kan gå raskere, men det krever beslutninger. Det kom innspill på at man bør beskrive konsekvensene for politisk nivå dersom man ikke jobber med behovene, eller dersom beslutningene ikke tas.

9 Alternative veikart Det kom innspill på at alle alternativene bygger rundt en større anskaffelse. Det ble diskutert om det er mulig å tenke andre alternativer, som f.eks. å starte med sykehjemjournal, deretter helsestasjon osv. Nasjonalt e-helsestyre konkluderte med at det er gitt et samlet råd til HOD om en nasjonal, kommunal løsning utenfor Helse Midt-Norge. Det er ikke argumenter for å starte diskusjonen på nytt. Direktoratet for e- helse svarte at det tidligere er vurdert ulike alternativer, og at det nå er viktig å komme i gang. Nasjonalt e-helsestyre påpekte at det er høy risiko i store anskaffelser og fare for forsinkelser. Det er viktig å tenke stegvis, og legge til rette for innovasjon og gevinstrealisering underveis. Det ble kommentert at det er vanskelig å åpne opp for opsjon for spesialisthelsetjenesten i dagens prosjekt. Felles EPJ i de tre regionene utenfor helse Midt-Norge ligger langt frem i tid. Alternativ 2 (startpunkt i kommunesektoren, fleksibilitet for nasjonal løsning) vil gi forsinkelse i anskaffelsen av nasjonal, kommunal EPJ. Nasjonalt e-helsestyre mener derfor at alternativ 2 bør utelukkes. Det ble kommentert at alternativ 3 (regionale realiseringer i et samarbeid mellom virksomheter) er krevende. Det ble kommentert at det er vanskelig å kommunisere det lange tidsperspektivet. Det er viktig å kommunisere budskapet på en god måte til omverdenen, slik at tilliten til helsesektoren ikke svekkes. Direktoratet for e-helse svarte at denne historiefortellingen er viktig å synliggjøre. Vedtak: Nasjonalt e-helsestyre ber prosjektet om å ta med innspill i det videre arbeidet. Nr. 4 Styring og organisering Drøfting 42/17 Are Muri, Direktoratet for e-helse, la frem saken om styring og organisering. Vedtak: Nasjonalt e-helsestyre tar saken til orientering. Ny leder for produktstyret Bodil Rabben, Direktoratet for e-helse, presenterte forslaget til ny leder for produktstyret. Tilslutning Vedtak: Nasjonalt e-helsestyre innstiller Erik Hansen som ny leder av produktstyret for helsenorge. 43/17 Eventuelt Orientering Det kom innspill om at Nasjonalt e-helsestyre bør vie mer tid til informasjonssikkerhet som tema. Direktoratet vurderer hvilken rolle som er hensiktsmessig å ta fremover, og vil involvere sektoren, inkludert Nasjonalt e-helsestyre i dette. side 5

10 Nasjonalt e-helsestyre Vedlegg 2 Til Dato Saksnummer Type Møte 5/ /17 Orienteringssak Fra Saksbehandler Christine Bergland Birgitte Egset Orientering om nye krav under EUs personvernforordning Forslag til vedtak Nasjonalt e-helsestyre tar saken til orientering. Hensikt med saken Direktoratet for e-helse orienterer om nye krav under EUs nye personvernforordning General Data Protection Regulation (GDPR). Bakgrunn Direktoratet for e-helse har etablert prosjektet «Forberedelse for innføring av EUs personvernforordning (GDPR)». Prosjektet har bakgrunn i et oppdrag fra Helse- og omsorgsdepartementet (HOD) om å gjøre nødvendige forberedelser for innføring av EUs personvernforordning i 2018, herunder vurdere nødvendige tiltak i egen virksomhet og for sektoren for øvrig. Prosjektet har aktiviteter i 3 spor: 1. Internt kartlegging og ev. tilpasning av behandling av personopplysninger i de nasjonale e- helseløsningene og i direktoratet for øvrig 2. Normen avklare Normens rolle som rettskilde og bruk av den som et virkemiddel for å bidra til etterlevelse av forordningen 3. Informasjonstiltak mot sektoren ved informasjon og veiledning bidra til at behandling av personopplysninger i helse- og omsorgssektoren er i samsvar med forordningen når den trer i kraft Gjennomføring av personvernforordningen i norsk rett En forordning er en EU-lov som gjelder etter sin ordlyd direkte i EUs medlemsstater. Når forordningen er innlemmet i EØS-avtalen vil den også gjelde i Norge. Justis- og beredskapsdepartementet har foreslått at forordningen gjennomføres i norsk rett ved en henvisningsbestemmelse i en ny personopplysningslov. Forslag til nye personopplysningslov har nylig vært på høring. Den nye loven og forordningen vil erstatte nåværende personopplysningslov og tilhørende forskrifter. Den nye personopplysningsloven inneholder generelle bestemmelser om behandling av personopplysninger, der forordningen pålegger eller åpner for nasjonale regler. Sektorspesifikke regler skal fortsatt gis i særlovgivningen. Helse- og omsorgsdepartementet arbeider med tilpasninger i helselovgivningen som følge av forordningen.

11 Justis- og beredskapsdepartementet tar sikte på at den nye personopplysningsloven skal tre i kraft i Norge 25. mai 2018, det vil si til samme tid som forordningen begynner å gjelde i EU. Dette forutsetter at forordningen formelt er innlemmet i EØS-avtalen, og at Stortinget har samtykket til innlemmelsen. Til orientering vises det til Direktoratets høringsuttalelse til utkast til ny personopplysningslov, Nye krav under GDPR Behandling av personopplysninger var tidligere regulert i et EU-direktiv. Forordningsformen innebærer full harmonisering av personvernreglene i EU/EØS. Det er ett av formålene med forordningen å skape et felles regelverk for personvern i hele Europa. Det bidrar til å styrke europeiske borgeres rettigheter og gjør det samtidig enklere for leverandører å tilby sine løsninger i flere land. Det er også et formål med forordningen å styrke tilliten til digitale tjenester og dermed legge til rette for ytterligere digitalisering. Forordningen består av 99 artikler og 173 fortalepunkter, og inneholder både oppdaterte og nye regler. Grunnprinsippene som ble nedfelt i EUs personverndirektiv videreføres og det er tatt inn bestemmelser som klargjør flere rettigheter som er etablert gjennom europeisk rettspraksis. Mange av kravene til behandling av personopplysninger videreføres fra dagens regelverk og det innføres en del nye regler som alle som behandler personopplysninger må ta hensyn til. Blant de viktigste nye kravene er: 1. Styrking av den registrertes rettigheter Den registrerte får noen nye rettigheter, for eksempel retten til dataportabilitet. Det stilles også mer detaljerte krav til hvordan virksomhetene skal oppfylle den registrertes rettigheter. 2. Flere plikter for databehandlingsansvarlig og databehandler Databehandlingsansvarlig og databehandler har både selvstendige og felles plikter. 3. Strengere krav til samtykke Samtykkeskjema må være klart, konsist og ikke unødvendig forstyrrende for bruken av tjenesten. Inaktivitet/passivitet er ikke lovlig samtykke. 4. Krav til innebygd personvern og personvern som standardinnstilling Virksomheter som behandler personopplysninger må bygge personvern inn i løsningene. Det skal tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Det minst personverninngripende alternativet skal brukes. 5. Krav til vurdering av personvernkonsekvenser Virksomheter som skal behandle personopplysninger som sannsynligvis vil utgjøre høy risiko for personers rettigheter, må utrede personvernkonsekvensene før behandlingen tar til. 6. Strengere krav til avvikshåndtering Alle avvik som skyldes brudd på personopplysningssikkerheten skal meldes til Datatilsynet. Det stilles krav til at avviksmeldingen skal leveres til Datatilsynet innen 72 timer. Dersom virksomheten ikke har full oversikt over avviket, kan de sende avviksmeldingen trinnvis. 7. Strengere sanksjoner Datatilsynet får mulighet til å ilegge vesentlig høyere overtredelsesgebyr (opp til EUR 20 million eller 4 % av global omsetning). Notat side 2 av 2

12 Nasjonalt e-helsestyre Vedlegg 2a Til Dato Saksnummer Type Møte 5/ /17 Orienteringssak Fra Saksbehandler Christine Bergland Irene Olaussen Prosess for forvaltning av nasjonal strategi og handlingsplan for e-helse ( ) Forslag til vedtak Nasjonalt e-helsestyre tar saken til orientering og ber Direktoratet for e-helse ta med innspill fra møtet i det videre arbeid. Hensikt med saken Direktoratet ønsker å orientere NEHS om utvikling og etablering av prosess for forvaltning av nasjonal strategi og handlingsplan for e-helse ( ). Overordnet rammeverk for Strategiprosessen er illustrert i figuren under. Lagt ut i tid representerer dette rammeverket en årlig, gjentakende prosess for revidering av strategi og handlingsplan. Denne sykliske prosessen skal gi økt transparens rundt arbeidet med

13 å utvikle og realisere nasjonal strategi for e-helse, og tydeliggjøre når og hvordan det er mulig for aktørene å påvirke revidering av strategi og handlingsplan. Strategiprosessen skal bidra med et robust og velfundert kunnskapsgrunnlag for strategisk beslutningstaking. Årlig publikasjon av situasjonsbeskrivelser vil gi oversikt over strategisk måloppnåelse og identifisere kontekstuelle drivere og trender som kan danne grunnlag for revisjon. Strategiprosessen vil inngå i et produktivt samspill med de andre nasjonale prosessene porteføljestyring, forvaltning av nasjonale løsninger og arkitekturstyring. Strategiprosessen skal legge til rette for at utvalgene i den nasjonale styringsmodellen er aktivt involvert gjennom årshjulets ulike faser. Samlet sett skal dette bidra til at aktørene på e-helseområdet opplever nasjonal strategi for e- helse som aktuell, relevant og virkningsfull. Direktoratet ønsker å invitere NEHS til å drøfte rammeverket som blir presentert og gi innspill til operasjonalisering av dette. Spørsmål til videre drøfting: Tilfredsstiller prosessbeskrivelsens ulike faser NEHS forventninger til involvering i strategiprosessen? Bakgrunn I mars 2017 ble Nasjonal strategi og handlingsplan for e-helse ( ) overlevert Helse- og omsorgsdepartementet. Strategien skal legge til rette for at ambisjonene for Én innbygger én journal nås. Nasjonalt e-helse styre har gitt sin tilslutning til de overordnede føringene i strategien, som er utviklet i samarbeid med et bredt sett av sentrale aktører fra helse- og omsorgssektoren. På oppdrag fra HOD utarbeidet Helsedirektoratet i 2015 Rapporten «Styrket gjennomføringsevne for IKT-utvikling i helse- og omsorgstjenesten». Her pekes det på at de nasjonale ambisjonene for e-helse gjennomgående har vært høye. Samtidig vises det til relativt lav måloppnåelse. I forbindelse med lansering av ny nasjonal strategi for e-helse er det derfor viktig med tiltak som kan bidra til en god og kontinuerlig oppfølging av strategien og tilhørende handlingsplan. På den bakgrunn ønsker Direktoratet nå å etablere en prosess for forvaltning av nasjonal e- helsestrategi og handlingsplan ( ) - Strategiprosessen. Innkomne innspill fra NUFA og NUIT Strategiprosessen er presentert for NUFA 1. november og Direktoratet for e-helse fikk følgende innspill som tas med videre i arbeidet: Notat side 2 av 5

14 Innspill 1: Det ble kommentert at det er positivt at utvalgene i den nasjonale styringsmodellen blir invitert til å mene noe om dette. Innspill 2: Det ble kommentert at det er krevende, men også viktig at budskapene fra aktørene er koordinert fra de mellom de ulike nasjonale arenaene (NUFA, NUIT og NEHS) Innspill 3: Det er nyttig med en transparent prosess, og publikasjon av tydelige kriterier for strategisk kvalifisering og prioritet. Innspill 4: Vurdere om en kan styrke rollen som foreskriver NEHS i Strategiprosessen. Innspill 5: Det ble kommentert at det er viktig at Direktoratet som del av Strategiprosessen følger med på sektorens overordnede strategiske utvikling, som denne fremkommer gjennom offentlige dokumenter som NOUer, Stortingsmeldinger, tildeling- og oppdragsbrev, mm. Dette bør inngå som del av kunnskapsgrunnlaget for revisjon av strategi og handlingsplan. Samtidig ble det også påpekt at det virker utfordrende å se på alle helserelaterte strategier som ikke nødvendigvis er reflektert i e-helsestrategien omfanget på dette arbeidet er stort. NUIT ble orientert om Strategiprosessen 22. november 2017 og Direktoratet for e-helse fikk følgende innspill som tas med videre i arbeidet: Innspill 1: NUIT tok saken til orientering, og åpnet samtidig for å nominere kontaktpunkter fra medlemmenes respektive organisasjoner som direktoratet kan benytte for å få tilgang til relevant informasjon til situasjonsbeskrivelser Formål for Strategiprosessen Målsetningen er: Bedre nasjonal styring og økt gjennomføringsevne på e-helseområdet. Samhandling og beslutninger knyttet til nasjonal strategi og handlingsplan er integrert i den nasjonale styringsmodellen. Kunnskapsbasert strategisk styring med utgangspunkt i relevante og robuste situasjonsbeskrivelser og analyser. Økt kjennskap og eierskap til nasjonal strategi og handlingsplan i sektoren og transparens rundt strategiske beslutningsprosesser på nasjonalt nivå. Strategiprosessen vil gjennom en årlig gjennomgang av tiltakene i handlingsplanen bidra til økt kunnskap om strategisk måloppnåelse og ivareta behov for revidering av strategi og handlingsplan. Rammeverk for Strategiprosess Rammeverket for Strategiprosessen består av seks faser: 1. Planlegge 2. Situasjonsbeskrivelse Notat side 3 av 5

15 3. Analysere 4. Revidere 5. Beslutte 6. Kommunikasjonsplan Fase 1 og 6 er administrative av natur, og skal støtte opp under aktivitetene i de fire andre fasene. Fokus i fase 2-5 er på innholdsproduksjon, dvs. analyse, revisjon og involvering. Under følger en kort beskrivelse av hver fase: 1. Planlegge Den første fasen i strategiprosessen er Planlegge. Den har tre leveranser; et årshjul for strategiprosessen, de strategiske tiltakene fra handlingsplanen organisert i en tiltaksliste med tilhørende KPIer og kriterier for å kvalifisere og prioritere tiltak. 2. Situasjonsbeskrivelse For å kunne utvikle analyser og illustrere alternative veivalg som grunnlag for strategisk diskusjon og beslutning trenger Strategiprosessen oppdaterte situasjonsbeskrivelser fra ulike deler av e-helseområdet. Kunnskapsgrunnlaget som etableres i denne fasen vil bestå av status på tiltak i Handlingsplanen og omgivelsesanalyser innen følgende fire områder: Politikkutvikling og reformarbeid, strategisk styring, utvikling og økonomiske rammer innen IKT, teknologitrender og medisinsk og helsefaglig utvikling. 3. Analysere Analysefasen trekker sammen situasjonsbeskrivelser og andre innspill for å analysere strategisk måloppnåelse og vurdere om det er behov for revisjon av Strategi, Handlingsplan og kriterier for kvalifisering og prioritering av tiltak. Som del av analysefasen vil det gjennomføres en gap-analyse. 4. Revidere Revideringsfasen i Strategiprosessen bygger på analysefasen. Gap-analysen og situasjonsbeskrivelsen denne bygger på, gir et faglig fundament for å vurdere behovet for revisjon på følgende områder: Strategi (ved behov, vurderes årlig), Handlingsplan og kriterier for kvalifisering og prioritering av tiltak. 5. Beslutte Målet er at deltakerne opplever prosessen som transparent, forutsigbar og konsistent. En beslutningsmodell har som mål å løfte strategiske beslutninger til riktig nivå, og samtidig holde de taktiske og operasjonelle beslutningene på et lavest mulig nivå, basert på konsensus blant beslutningstakerne. Forslag til revidering av Strategi, Handlingsplan, kriterier for kvalifisering og prioritering av tiltak skal fremmes i Ledermøte i Direktoratet for e-helse for beslutning og til NEHS for tilslutning. Helse- og omsorgsdepartementet orienteres om revisjoner/endelige versjoner. Notat side 4 av 5

16 6. Kommunikasjonsplan Formålet med en kommunikasjonsplan er å gjøre strategi og handlingsplan kjent, inkl. årlig måloppnåelse, tydeliggjøre målbildet i strategien og hvordan langsiktige og kortsiktige tiltak underbygger strategien. Kommunikasjonsplanen skal også bidra til å øke eierskapet i strategiprosessen ved å gjøre Strategiprosessen kjent og beslutningsprosessen transparent. Koordinering av nasjonale prosesser og videre arbeid Det vil bli etablert et Strategikontor i Direktoratet for e-helse for å sikre involvering og leveranser tilknyttet Strategiprosessen. Strategikontoret vil samarbeide tett med de andre nasjonale prosessene; Porteføljekontoret, Forvaltning av nasjonale løsninger og Arkitekturstyring. Formålet er å sikre at disse prosessene henger sammen, og at nasjonal strategi for e-helse er førende for sektorens arbeid med e-helse. Samtidig med etableringen av strategiprosessen styrker Direktoratet sin følge-med rolle. Det etableres en Strategisk Følge- med funksjon (SFF) som skal bidra med et oppdatert kunnskapsgrunnlag for strategisk diskusjon og beslutningstaking. Det vil utarbeides omgivelsesanalyser på områdene: Politikkutvikling og reformarbeid, strategisk styring, utvikling og økonomiske rammer innen IKT, teknologitrender, og medisinsk og helsefaglig utvikling. Aktørene i sektor er en viktig kilde til kunnskap og erfaring om e-helse. En viktig oppgave for den strategiske følge-med funksjonen blir derfor ikke bare å følge med på utviklingen blant aktørene i sektor, men også å evne og stimulere til at det dannes nettverk og trekke inn relevant kompetanse i arbeidet med å innhente, analysere, kvalitetssikre og formidle kunnskap og posisjoner. Det blir viktig å finne frem til et organisatorisk grensesnitt mot sektor som gjør innhenting og deling av kunnskap til en god prosess. Strategikontoret vil i den forbindelse benytte NUIT kontaktene som veivisere til relevant informasjon. Det er lagt opp til at NEHS skal involveres i Strategiprosessen gjennom to møter i året, det første møtet i mars som er planlagt i 2018-årshjulet for nasjonal styringsmodell, mens det andre møtet er ønskelig i september for å diskutere revidert handlingsplan og strategirundskriv. I det første møtet vil det legges fram gap-analyser og kriterier for kvalifisering og prioritering av tiltak til diskusjon, mens i det andre møtet vil forslag til revidert handlingsplan og strategirundskriv legges fram for diskusjon. Notat side 5 av 5

17 Nasjonalt e-helsestyre Vedlegg 3 Til Dato Saksnummer Type Møte 5/ /17 Orientering, drøfting og tilslutning Prosjekt «Én innbygger én journal» Sak 47/17-1: Generell status for «Én innbygger én journal» Forslag til vedtak: Nasjonalt e-helsestyre tar saken til orientering. Hensikt med saken Gi en status på arbeidet i «Én innbygger én journal». Bakgrunn Prosjektets aktivitet er knyttet til følgende oppdrag fra Helse- omsorgsdepartementet, jf. tildelingsbrev for 2017: Utarbeide et veikart for den samlede gjennomføringen av arbeidet med «Én innbygger én journal» (i saken omtalt som «veikart»). Videreføre arbeidet med forslag til gjennomføringsstrategi for realisering av en nasjonal løsning for kommunal helse- og omsorgstjeneste. Strategien skal omfatte oppdeling av utviklingsretningen og fremdriftsplan, anbefalinger knyttet til styring, roller og ansvar, kontrakt-/anskaffelsesstrategi, anbefaling om fremtidig drift- og forvaltningsmodell, samt kostnadsoverslag, gevinstplan og finansieringsplan (i saken omtalt som «styrings- og beslutningsunderlag»). Følge med på de regionale helseforetakenes utvikling av IKT-systemer og deres samarbeid om dette, samt om utviklingen støtter opp under målbildet for én innbygger én journal. Rammen rundt oppdragene over er at arbeidet skal lede frem til en anbefaling om det bør etableres en felles nasjonal løsning for kommunal helse- og omsorgstjeneste og at direktoratet skal samarbeide med Helseplattformen i Midt-Norge. Oppdraget med å «følge med på de regionale helseforetakenes utvikling (..)» ivaretas primært gjennom arbeidet med veikart. Nedenfor gjøres det rede for fremdrift og status for de sentrale aktivitetene. Status Veikart for realisering av «Én innbygger én journal» Veikart med anbefalinger skal overleveres Helse- og omsorgsdepartementet i desember 2017, jf. sak 47/17-1. Arbeidet legger til grunn anbefalinger fra utredningen januar 2016 og behandling juni 2016 i regi av Helse- og omsorgsdepartementet, inkludert beslutning om regional utprøving av nasjonalt målbilde i Helseplattformen i Midt-Norge.

18 Beslutningsunderlag for nasjonal løsning for kommunale helse- og omsorgstjenester Styrings- og beslutningsunderlaget utformes med utgangspunkt i krav i Finansdepartementets KS-ordning og har leveranse i Arbeidet legger til grunn anbefalinger og beslutninger i parallelle oppdrag om fremtidig IKT-organisering og finansieringsmodeller. Høsten 2017 er arbeidet fokusert mot kost- /nytteestimering, styring og organisering og juridiske problemstillinger innen kontraktsstrategi og anskaffelse. Prosjektet er i dialog med Helse- og omsorgsdepartementet vedrørende videre beslutningsprosess, og vil i møtet orientere om status. Løsningsbeskrivelse av nasjonal løsning for kommunal helse- og omsorgstjeneste Arbeidet med løsningsbeskrivelsen gir underlag for anbefaling om det bør etableres en felles nasjonal løsning for kommunal helse- og omsorgstjeneste, samt underlag for arbeidet med styrings- og beslutningsunderlag. I høst er det gjennomført en møteserie med de fire kommunegruppene der hovedtema har vært behov for og krav til integrasjon og samhandling med øvrige kommunale tjenesteområder og spesialisthelsetjenesten. 30. oktober ble det gjennomført fellesmøte for alle kommunegruppene for en samlet vurdering av omfang og samhandlingsbehov for nasjonal kommunal løsning. Det har vært gjennomført arbeidsmøter med pasient- og brukerorganisasjonene (19. oktober og 14. november), og for fastlegetjenesten (24. oktober). I tillegg har det vært gjennomført arbeidsmøte med spesialisthelsetjenesten 3. november og NAV 10. oktober. Fagdirektørene i RHFene har fått overordnet orientering 20. november og det vurderes videre oppfølging (18. desember). I tillegg er det heldags arbeidsmøte med NIKT fagforum for arkitektur 13. desember. Prosjektet har arbeidet med å beskrive behov og krav til samhandling mellom den nasjonale kommunale løsningen og andre tjenester og løsninger. Det har vært en omfattende prosess med bred involvering. Behovene ble bekreftet av representantene fra kommunegruppene den 30. oktober og er oppsummert punktvis under. Innspillene bekrefter funnene og de funksjonelle kravene fra utredningen av «Én innbygger én journal». Gjennom prosessen er kommunenes selvstendige behov for ny løsning fremhevet og forsterket. I tillegg må løsningen inkludere god samhandling med andre aktører. Behovene for samhandling er konsistente på tvers av større og mindre kommuner, både for samhandling mellom ulike etater og tjenester internt i kommunene, og med etater og tjenester som ikke er kommunale. Kommunene belyser et større antall samhandlingsbehov med høy prioritet enn forventet og behovene for gode samhandlingsløsninger har blitt ytterligere forsterket Kommunene og fastlegene forventer god støtte for samhandling med spesialisthelsetjenesten, også for strukturerte og felles elementer Kommunene forventer støtte for samhandling med ulike tjenester utenfor helse- og omsorgstjenesten (eks. NAV, apotek, skole og barnevern) Kommunene etterspør støtte for samhandling med ulike administrative løsninger innenfor egen sektor (eks. turnus- og avvikssystem, regnskap, HR og lønn) Kommunene trenger gode digitale løsninger for samhandling med innbygger og hjem, inkludert samhandling med løsninger for velferdsteknologi, responssenter etc. Ut over det som er dekket i dag er de mest etterspurte samhandlingsbehovene deling av: Plan: Ulike pasient- eller behandlingsplaner (inkludert individuell plan og tiltak) Legemiddelliste (historisk, nåtid og planlagt behandling og administrasjon) Labsvar og svarrapporter, inkl. radiologi Data fra medisinsk-teknisk utstyr og velferdsteknologi Mulighet for elektronisk dialog på tvers av aktører/tjenester Notat side 2 av 11

19 Juridiske vurderinger knyttet til nasjonal løsning for kommunal helse- og omsorgstjeneste Rettsgrunnlag Løsningen innebærer at det etableres et felles nasjonalt behandlingsrettet helseregister for kommunal helse- og omsorgstjeneste. Det innebærer at opplysninger om pasienter i primærhelsetjenesten samles i én løsning. For å gjøre dette kreves et rettsgrunnlag for løsningen. Vår vurdering er at det ikke er rettsgrunnlag innenfor gjeldende rett, og at løsningen ikke kan etableres innenfor eksisterende bestemmelser i pasientjournalloven: 9 frivillig samarbeid, grense mot nasjonale helseregistre 10 «begrenset område», grense mot hele journalen Formålet med pasientjournalloven legger imidlertid i seg selv ikke begrensinger for en slik løsning. Vår vurdering er at etablering av løsningen vil kreve en lovendring i pasientjournalloven med en tilhørende forskrift for å regulere løsningen. Vi er dialog med Helse- og omsorgsdepartementet, som er orientert om dette. Det må også i denne sammenheng vurderes om virksomhetene skal pålegges å ta i bruk løsningen. Databehandlingsansvar Det anbefales at databehandlingsansvaret for løsningen legges til én virksomhet, som utpekes i lov eller forskrift. Virksomheten som utpekes må være kapabel for å ta et slikt ansvar og bør ha en sentral rolle innen digitalisering av helsetjenester. Vurderingen av hvilken virksomhet som skal utpekes bør ses i sammenheng med og gjøres parallelt med andre tiltak våren 2018, som bl.a. planleggingen av en Nasjonal tjenesteleverandør. Databehandlingsansvaret handler om ansvaret for etterlevelse av personvernregler og ansvaret ved brudd på regelverket. Sentrale plikter er å: Sørge for tilfredsstillende informasjonssikkerhet og internkontroll Sørge for tilgangsstyring, logging og etterfølgende kontroll Gi den registrerte informasjon og innsyn Sørge for rutiner for sletting og sperring Drift, forvaltning mv. kan uansett settes ut til en databehandler. Da som en annen virksomhet som utøver oppgavene på vegne av og iht. avtale med den som utpekes som databehandlingsansvarlig. Selv om det utpekes en databehandlingsansvarlig, vil det likevel måtte ligge igjen noe ansvar på den enkelte virksomhet som skal bruke løsningen. Hva dette er og hvordan dette skal håndteres må gås opp i det videre arbeidet med løsningen. Det skal i det videre gjøres en vurdering av bl.a. innebygd personvern (2018). Bistand til Helseplattformen Helseplattformen holder overordnet sin tidsplan. I oktober ble det gjort et nedvalg, og tre leverandører er med i den videre dialogen. Det ble gjennomført dialogmøter med de tre leverandørene i oktoberdesember, og Direktoratet for e-helse har deltatt som observatør på utvalgte tema. Det er etablert en referansegruppe for pasientrettet saksbehandling, med representasjon fra det nasjonale prosjektet og referansekommunene i det nasjonale prosjektet. Det har vært møte mellom jurister i Helseplattformen og Direktoratet for e-helse om bl.a. databehandlingsansvaret for løsningen. Her er det avtalt videre prosess og samarbeid. Helseplattformen vil i løpet av sin dialogprosess gjøre oppdateringer og presiseringer i konkurransegrunnlaget. Direktoratet legger opp til en prosess der sektoren involveres i oppdateringen. Dette skjer tentativt mars og mai. Endelig konkurransegrunnlag er planlagt utsendt august Notat side 3 av 11

20 Det gjenstår fortsatt avklaringer fra Helseplattformen hva gjelder arbeidsomfang og behov innen de tidligere omtalte «nasjonale særtema». Det kan synes som om dette arbeidet vil øke i omfang Det foreligger som tidligere varslet fortsatt en risiko for at det vil komme opp problemstillinger av nasjonal betydning som ikke kan besluttes innenfor den tidsrammen Helseplattformen ønsker. Direktoratet for e-helse gjør også en selvstendig vurdering av behov for forberedende arbeid, også sett i lys av en nasjonal, kommunal løsning. Sak 47/17-2: Veikart for realisering av «Én innbygger én journal» Forslag til vedtak: Nasjonalt e-helsestyret gir sin tilslutning til Direktoratet for e-helses anbefalinger: Målbildet om en nasjonal løsning står fast, jf. anbefaling fra utredning av én innbygger én journal (jan. 2016). Eksisterende utviklingsretning med etablering av en nasjonal løsning for kommunal helseog omsorgstjeneste og regional utprøving av det nasjonale målbilde i Midt-Norge (Helseplattformen) ligger fast. Spesialisthelsetjenesten i Nord, Vest og Sør-Øst skal arbeide mot et mål om en felles samordnet PAS/EPJ for de tre regionene. Hensikt med saken Hensikten med saken er å få en tilslutning til anbefalt veikart for realisering av «Én innbygger én journal». Direktoratet for e-helse fikk følgende oppdrag i tildelingsbrevet for 2017: Utarbeide et veikart for den samlede gjennomføringen av arbeidet med én innbygger én journal. Veikartet må også inkludere de områder som krever nasjonale beslutninger i forbindelse med Helseplattformen. Arbeidet må gjennomføres i dialog med Helse- og omsorgsdepartementet og i samarbeid med de regionale helseforetakene og ha kommunal deltakelse. Bakgrunn for det eksisterende veikartet Vurderingen som er gjennomført tar utgangspunkt i anbefalingene fra utredning av Én innbygger én journal (januar 2016) og behandling juni 2016 i regi av Helse- og omsorgsdepartementet, inkludert beslutning om regional utprøving av nasjonalt målbilde i Helseplattformen i Midt-Norge. En felles, nasjonal løsning for klinisk dokumentasjon, prosesstøtte og pasient-/brukeradministrasjon for helse- og omsorgstjenesten bør være målbilde og utviklingsretning for realisering av målene i Én innbygger én journal. Helseplattformen i Midt-Norge skal gjennomføres som et regionalt utprøvingsprogram for det anbefalte nasjonale målbildet i «Én innbygger én journal» og er et mulig startpunkt for en felles nasjonal løsning for kommunal helse- og omsorgstjeneste. Direktoratet for e-helse skal starte planleggingen av en nasjonal løsning for kommunal helse- og omsorgstjeneste som et neste steg i utviklingsretningen mot det nasjonale målbildet. Helse Sør-Øst RHF, Helse Vest RHF og Helse Nord RHF sørger for en felles plan og koordinert utvikling av elektronisk pasientjournal (EPJ) og pasientadministrative system (PAS) for å realisere neste generasjons EPJ/PAS, blant annet for å danne grunnlag for realisering av Én innbygger - én journal. Notat side 4 av 11

21 Direktoratet for e-helse anbefaler at eksisterende veikart opprettholdes Vurderingen konkluderer med at det finnes gode grunner for å opprettholde eksisterende veikart. Anskaffelsesprosessen i Helseplattformen viser så langt at leverandørmarkedet kan tilby løsninger som dekker de samlede behovene, også de som gjelder kommunale helse- og omsorgstjenester (inkludert fastleger) og avtalespesialister. Gjennomgangen av planene for spesialisthelsetjenesten i Nord, Sør-Øst og Vest viser at det er blitt tatt viktige grep når det gjelder utvidet strategisk samarbeid med DIPS som en del av planen mot neste generasjons EPJ/PAS. Initiativet er foreløpig for perioden frem til en vellykket leveranse av DIPS Arena (slutten av 2018). Direktoratet for e-helse sitt arbeid med beslutningsunderlag for en nasjonal løsning for kommunale helseog omsorgstjenester (inkl. fastleger) utenfor Midt-Norge bekrefter kommunehelsetjenestens selvstendige behov for nye løsninger, og bekrefter at behov i stor grad er sammenfallende med de behov som ligger til grunn i Helseplattformens konkurransedokumentasjon. Kartleggingen bekrefter foreløpig at kommunenes funksjonelle behov er konsistent på tvers av geografi og størrelse. De funksjonelle behovene er også foreløpig uavhengige av hvordan den enkelte kommune har valgt å organisere helse- og omsorgstjenesten. Dette understøtter muligheten for å løse behovene gjennom en nasjonal anskaffelse. Beslutningene knyttet til neste steg i veikartet (etablering av nasjonal løsning for kommunal helseog omsorgstjeneste) vil definere utviklingsretning i perioden frem til Helseplattformens planer, slik de foreligger, tilsier at anskaffelsesprosessen avsluttes i 1. kvartal Tilpasning og innføring vil foregå over flere steg og er anslått å kunne ferdigstilles i løpet av Levetiden på denne investeringen er anslått til å være år. Utviklingen i spesialisthelsetjenesten i Nord, Sør-Øst og Vest mot regionalt konsoliderte løsninger basert på neste generasjons PAS/EPJ, inkludert kurvefunksjonalitet og funksjonalitet for medikasjonshåndtering, er kun delvis besluttet. De tre regionale helseforetakene baserer utviklingen av neste generasjons EPJ/PAS på en løsningsstrategi der en oppgradering til DIPS Arena er sentral. Denne er planlagt levert i slutten av 2018 og detaljerte planer for å ta i bruk denne versjonen er ennå ikke fastsatt og besluttet. Direktoratet vurderer at det gjenstår utviklingsarbeid, avhengig av hvilke ambisjoner foretaksgruppene setter seg, etter at den grunnleggende overgangen fra DIPS Classic til DIPS Arena er gjennomført. Levetiden på denne investeringen er anslått til å være 5-10 år. Med et beslutningsunderlag for nasjonal løsning for kommunal helse- og omsorgstjeneste ferdigstilt og kvalitetssikret av ekstern kvalitetssikrer (EKS) innen 2019, vil satsingsforslag 2020 foreligge for regjeringsog stortingsbehandling. Anskaffelsen kan settes i gang i 2020, med en endelig kontraktsinngåelse innen medio Fase for tilpasning og utvikling av løsning vil foregå i perioden Innføring av løsningen i virksomhetene er tentativt planlagt til å foregå i perioden , men er avhengig av at det sikres forpliktende deltakelse fra kommune. Levetiden på denne investeringen er anslått til å være år. Vurderinger av et påfølgende steg i utviklingsretningen mot målbildet om en nasjonal løsning for helse- og omsorgstjenesten, ligger da så langt frem i tid at vi mener det ikke er hensiktsmessig å beskrive tiltaket. De finansielle, demografiske og teknologiske rammebetingelsene vil i denne perioden kunne endre seg så mye at det vil være hensiktsmessig med en ny konseptvurdering før et slikt tiltak besluttes. Direktoratet for e-helse anbefaler at målbildet om en nasjonal løsning står fast Direktoratet for e-helse har vurdert alternative veikart. Det mest aktuelle veikartet har vært å velge en strategi lik den som Helseplattformen følger. Et slikt veikart innebærer at man utnytter kapasitet og kompetanse som er bygget opp i de regionale helseforetakene og de største kommunene i respektive region. Løsningene etableres ved at nye regionale kjernesystemer anskaffes for å realisere utviklingen mot neste generasjons EPJ/PAS. Det etableres felles regionale løsninger som omfatter kommunal helse- og Notat side 5 av 11

22 omsorgstjeneste og spesialisthelsetjenesten med felles regionalt ansvar for å gjennomføre anskaffelse, etablere løsning, implementering og forvaltning. Kommunenes store og selvstendige behov tilsier at en slik strategi bør iverksettes i perioden Dette innebærer at de tre foretaksgruppene Helse Nord, Helse Sør-Øst og Helse Vest ikke viderefører eksisterende løsningsstrategier for neste generasjons EPJ/PAS. De bør i så fall i 2018 få i oppdrag å planlegge sammen med kommunene i regionene hvordan et slikt veikart kan realiseres. Gjennomføringen av dette veikartet innebærer at helse- og omsorgstjenesten får en sterkere regional struktur. Direktoratet for e-helse anbefaler at en rekke igangsatte tiltak videreføres Følgende tiltak som allerede er igangsatt anbefales videreført. Helseplattformen sluttfører sin anskaffelsesprosess og viderefører arbeidet med styrings-, finansierings-, og leveransemodell for å sikre at kommuner, fastleger og avtalespesialister har insentiv for å ta i bruk ny løsning. Direktoratet for e-helse utarbeider beslutningsgrunnlag for nasjonal løsning for kommunal helse- og omsorgstjeneste. Beslutningsunderlaget må adressere de påpekte usikkerhetene, spesielt men ikke avgrenset til etableringen av en styringsmodell for å ivareta kommunenes forpliktende deltakelse og som sikrer effektive beslutningsprosesser for programmet. Det må spesielt rettes fokus på å etablere en styringsmodell for å ivareta forbedring og forenkling av arbeidsprosesser og helsefaglig standardisering. Det anbefales at arbeidet med å planlegge og å beslutte etableringen av en nasjonal tjenesteleverandør gjennomføres med mål om at en slik tjenesteleverandør er etablert innen oppstart av anskaffelsesprosessen av nasjonal løsning for kommunal helse- og omsorgstjeneste. Direktoratet for e-helse fortsetter arbeidet med å videreutvikle nasjonal grunnmur for digitale tjenester i helse- og omsorgstjenesten innenfor de rammene som avklares med Helse- og omsorgsdepartementet og den samfinansieringen som prioriteres innenfor den nasjonale porteføljestyringen. Direktoratet for e-helse anbefaler å utarbeide en kontraktsstrategi for anskaffelse av nasjonal løsning av kommunal helse- og omsorgstjeneste som gir muligheter for å kunne gjenbruke løsningen til oppfølgningsinvesteringer Det anbefales at Helse- og omsorgsdepartementet vurderer å utvide oppdraget til Direktoratet for e-helse slik at beslutningsunderlaget for nasjonal løsning for kommunal helse- og omsorgstjeneste omfatter en kontraktsstrategi som gir mulighet til å bruke anskaffet løsning til å betjene hele helse- og omsorgstjenesten (nasjonal lisens). En slik kontraktsstrategi vil adressere noen av de usikkerhetene som er identifisert: Endelig forpliktelse fra opsjonskommunene i Helseplattformen vil først være bekreftet når anskaffelsesprosessen er gjennomført og finansieringsbehov og -modell er avklart og besluttet i hver enkelt kommune. Tilsvarende vil tilknytning for fastleger og avtalespesialister i Midt-Norge også bestemmes på senere tidspunkt. En eller flere av de regionale helseforetakene i Nord, Sør-Øst og Vest endrer sine løsningsstrategier knyttet til neste generasjons EPJ/PAS, enten etter en pilotering av DIPS Arena i 2019 eller ved et senere tidspunkt. Avtalespesialister utenfor region Midt-Norge slutter seg ikke til de regionale helseforetakenes strategi for EPJ og samhandling, og ønsker å benytte den nasjonale løsningen for kommunal helse- og omsorgstjeneste. Verken den vedtatte kontraktsstrategien i Helseplattformen eller den kontraktsstrategien som det arbeides med i forprosjektet for kommunal helse- og omsorgstjeneste gir mulighet for å utnytte inngåtte kontrakter til oppfølgningsinvesteringer for å nå det nasjonale målbildet. Notat side 6 av 11

23 Direktoratet for e-helse bør i den sammenheng i samarbeid med de regionale helseforetakene vurdere hvilken deltakelse fra foretakene som er nødvendig i anskaffelsen av en nasjonal lisens og hvilke konsekvenser dette vil medføre for gjennomføring av foretaksgruppenes eksisterende planer. Kontraktsstrategien bør også inkludere en vurdering av alternative kommunikasjonsstrategier ovenfor leverandørmarkedet for ikke å skape unødvendig risiko med hensyn til den videreutviklingen som vil foregå i parallell med anskaffelsen og innføring av nasjonal løsning for kommunal helse- og omsorgstjeneste. Direktoratet for e-helse anbefaler at det utarbeides detaljerte planer for å etablere neste generasjon EPJ/PAS i spesialisthelsetjenesten i Nord, Sør-Øst og Vest (som anbefalt i komparativ analyse, jf. sak 48/17). Helse- og omsorgsdepartementet bør for 2018 gi de tre foretaksgruppene Helse Nord, Helse Sør-Øst og Helse Vest i oppdrag å detaljere en felles plan for videreutvikling av DIPS Arena etter at den grunnleggende overgangen fra DIPS Classic er gjennomført. Planen bør inneholde tidsangivelse for planlagt realisering av viktig funksjonalitet for helsepersonell og pasienter samt inneholde kostnadsoverslag og risikovurdering. Helse- og omsorgsdepartementet bør vurdere å etablere en fast og flerårig ekstern vurdering av hvilken tilstand og funksjonalitet som foretaksgruppene i spesialisthelsetjenesten oppnår innen e-helse frem mot 2025, og særskilt innen løsningsområdet EPJ/PAS, kurve og medikasjon. Vurderingen kan f.eks. baseres på tjenester som tilbys av organisasjonen HIMSS (Healthcare Information and Management Systems Society). En slik måling vil også gi oss et bedre grunnlag for å sammenligne utviklingen mot helsesystemer i Norden og internasjonalt. Om utprøving og innføring av DIPS Arena i Helse Nord, Helse Vest og Helse Sør-Øst fører til at én foretaksgruppe konkluderer med at den må iverksette en alternativ strategi, bør Helse- og omsorgsdepartementet gi føringer for at foretaksgruppen går i dialog med nasjonal tjenesteleverandør for å planlegge videreutvikling og bruk av den nasjonale løsningen. Videre arbeid Anbefalinger overleveres Helse- og omsorgsdepartementet i desember Sak 47/17-3: Plan for 2018 Forslag til vedtak: Nasjonalt e-helsestyre ber prosjektet om å ta med innspill i det videre arbeidet. Hensikt med saken Orientere om planlagte aktiviteter i Planlagte aktiviteter i 2018 Prosjektet har startet planleggingen av aktiviteter for Planen tar utgangspunkt i oppdrag fra Helse- og omsorgsdepartementet, jf. tildelingsbrev for I planlegging legger prosjektet foreløpig til grunn Prop. 1S for 2018, hvor det er foreslått 50 MNOK til videreføring av arbeidet. Prosjektet er i dialog med departementet vedrørende beslutningsprosessen og hvordan denne vil påvirke planer for Prosjektet forventer en avklaring av videre beslutningsprosess i løpet av januar/tidlig februar 2018 og vil tilpasse planen deretter. Notat side 7 av 11

24 Det vil i kommende periode bli gjennomført møter med sentrale aktører for å avklare ambisjonsnivå, tilnærming og mulig bidrag. Overordnet planlegger vi for følgende hovedaktiviteter i 2018: 1. Veikart for realisering av «Én innbygger én journal» 2. Løsningsbeskrivelse for nasjonal løsning for kommunal helse- og omsorgstjeneste 3. Beslutningsunderlag for en nasjonal løsning for kommunal helse- og omsorgstjeneste 4. Bistand til Helseplattformen 5. Ekstern kvalitetssikring Aktivitetene skissert i plan for 2018 har forbehold om at prosess for leveranse av beslutningsunderlag opprettholdes jf. dialog med Helse- og omsorgsdepartementet. I tillegg gjenstår noe planlegging med referansekommunene og KS for å finne riktig ambisjonsnivå og form på samarbeidet med kommunene. Vi tar utgangspunkt i at modellen med referansekommuner og tilhørende kommunegrupper videreføres. Tilsvarende vil prosjektet sammen med Helseplattformen avstemme ønsket samarbeidsform og ambisjonsnivå på deltakelse i Helseplattformens anskaffelse inkl. nasjonale særtema. 1. Veikart for realisering av «Én innbygger én journal» I 2018 videreføres arbeidet med å utrede strategi og plan for realisering av nasjonalt målbilde. Dette arbeidet inngår i direktoratets prosjekt Arkitekturstyring. Hovedrapport (Rapport 1) leveres desember 2017, men vil kreve oppfølging og etterbehandling i Rapport 2 vil behandle konsekvenser av anbefalingene i Rapport 1, bl.a. for øvrige nasjonale løsninger og tiltak knyttet til grunnmur, spesielt mht. løsninger for integrasjon og samhandling. 2. Løsningsbeskrivelse for nasjonal løsning for kommunal helse- og omsorgstjeneste Prosjektet vil fortsette sin aktivitet sammen med referansekommunene og andre våren 2018 for å spesifisere løsningsbeskrivelsen. Løsningsbeskrivelsen vil gi viktig input til beslutningsunderlaget for nasjonal kommunal løsning. Prosjektet ønsker i tillegg å styrke arbeidet med å tydeliggjøre budskap og fremme innbyggerperspektiv for løsningen i denne perioden. Dette arbeidet vil involvere både pasient- og brukerforeninger og helsepersonell. Innbygger Prosjektet ønsker å styrke arbeidet med helhetlig budskap og innbyggerperspektiv. Formålet er å tydeliggjøre brukerstemmen og bedre illustrere hva en fremtidig løsning vil være for ulike brukergrupper. Prosjektet vurderer alternativer med bruk av teknikker fra tjenestedesign, og planlegger for dette arbeidet i Referansekommunegrupper og KS Prosjektet ønsker å videreføre samarbeidet med referansekommunene og KS i Arbeidsform vil være en kombinasjon mellom felles arbeidsmøter og eget arbeid i referansekommunene. Arbeidsmøtene vil veksle mellom å være møteserier med arbeidsmøte ute i hver referansekommune og fellesmøter der alle referansekommunene er samlet med utvalgte representanter. Det vil tentativt være 1-2 arbeidsmøter per halvår. Det vil være behov for å gå inn i noen tema særskilt i forkant av en anskaffelse. Temaene omtales som fokusområder. Prosjektet vil i samarbeid med KS og referansekommunene velge ut aktuelle fokusområder. Eksempler på utvelgelseskriterier er 1) oppgaver av særlig betydning på tvers av ulike tjenester (eks. legemiddelhåndtering og individuell plan), 2) områder der Norge kan ha særskilte behov (eks. kommunal saksbehandling eller bruk av velferdsteknologi og responssenter) og 3) områder som er ekstra utfordrende mht. samhandling (eks. helhetlig pasientforløp, akuttmedisinsk kjede). I tillegg kan temaene listet som nasjonale særtema i arbeidet med Helseplattformen være aktuelle som fokusområder. Prosjektet ønsker å utarbeide både beskrivelser og prosesskartlegging der det er relevant, i samarbeid med referansekommunene. Notat side 8 av 11

25 Helsepersonell fra referansekommunene vil også bli involvert i arbeidet med å utvikle helhetlig budskap og styrke innbyggerperspektivet. Spesialisthelsetjenesten Prosjektet skal gjennomføre en vurdering av løsningsvalg knyttet til integrasjon og samhandling basert på identifiserte samhandlingsbehov. Dette arbeidet må gjøres i samarbeid med spesialisthelsetjenesten da grad av krav- og måloppfyllelse er avhengig av god samhandling mellom nasjonal kommunal løsning og løsninger i spesialisthelsetjenesten. Prosjektet planlegger møteserie med spesialisthelsetjenesten for å sikre en så god samhandling som mulig mellom den nasjonal kommunale løsningen og spesialisthelsetjenesten. Det vil være behov for møter både med teknisk og helsefaglig personell. Fastlegetjenesten Det ble høsten 2017 etablert en arbeidsgruppe for fastlegetjenesten med både fastleger og helsesekretærer. Dette er gjort for å bidra til involvering av fastlegetjenesten og sikre at den nasjonale kommunale løsningen dekker tjenestens behov. Deltakerne er identifisert i samarbeid med Legeforeningen og Helsesekretærforbundet. Det planlegges med et nytt møte første kvartal 2018 og ev. ved behov videre i Andre aktører Det er behov for å avklare behov, prioritering og muligheter for samhandling og teknisk integrasjon med andre kommunale tjenester og andre sentrale etater. Det foregår flere parallelle møteaktiviteter da prosjektet løpende vurderer behovet for tettere dialog med enkelte aktører. Foreløpig gjelder dette møteaktivitet knyttet til NAV og apotek. Prosjektet vil løpende også vurdere behov for dialog med andre aktører som eksempelvis skole, barnehage, barnevern, PPT, politi, tannhelse, forsvarets sanitet, biltilsynet, Norsk senter for pasientskadeerstatning, bedriftshelsetjeneste og HELFO. 3. Beslutningsunderlag for nasjonal løsning for kommunal helse- og omsorgstjeneste Prosjektet vil videreføre arbeidet med å utarbeide et beslutningsunderlag utformet iht. metodekrav i KSordningen. Ambisjonen er å levere beslutningsunderlaget høsten Tema knyttet til gjennomføring, drift og forvaltning Det er ønskelig å etablere arbeidsgrupper som skal utarbeide anbefalinger knyttet til temaer som blant annet gjennomføringsstrategi, gevinstrealiseringsplan, styring, organisering og ansvar i program- og driftsperioden. Arbeidsgruppene vil ha behov for deltakelse fra blant annet KS, referansekommunegrupper og spesialisthelsetjenesten. Kost/nytte Kommuner, spesialisthelsetjenesten og innbyggere vil involveres i arbeid med å beskrive dagens situasjon og identifisere virkninger av en nasjonal løsning for kommunene. I den forbindelse planlegges det blant annet å gjennomføre intervjuer og møter med helsepersonell fra referansekommunene. Kontraktsstrategi Arbeidet med kontraktsstrategien vil fortsette i Arbeidet skal oppsummere og bygge på funn fra andre deler av prosjektet som har betydning for anskaffelsesprosessen. Det skal også vurderes hvilken betydning disse har for valg av anskaffelsesform og kontraktsform, samt hvordan anskaffelsesprosessen og kontraktene kan benyttes for å optimalisere gevinstpotensialet og redusere prosjektrisiko. Iht. metodekrav skal det utredes minimum to alternative kontraktsstrategier. Juridiske vurderinger Arbeidet med juridiske vurderinger vil fortsette neste år med vurdering av innebygd personvern. Etablering av en nasjonal kommunal løsning vil kreve en lovendring, antagelig i pasientjournalloven, med en tilhørende forskrift for å regulere løsningen. I tillegg inngår det flere juridiske vurderinger av EØS- Notat side 9 av 11

26 konkurranseretten i arbeidet med kontraktsstrategi og med styrings- og forvaltningsmodell for den nasjonale løsningen. Referansebesøk Prosjektet ser behov for å få erfaringer fra tilsvarende prosjekter og arbeid, både innenfor helse- og omsorgssektoren og fra andre sektorer. Prosjektet planlegger å gjennomføre referansebesøk til blant annet Finland, Sverige og Danmark. 4. Bistand til Helseplattformen Prosjektet skal fortsette samarbeidet med Helseplattformen gjennom følgende tre hovedområder i 2018: 1. Representasjon i Helseplattformens programstyre og helsefaglige referansegruppe 2. Fagstøtte i dialogprosess, herunder nasjonale særtema 3. Læring og gjenbruk av innsikt ved beskrivelse av kommunal løsning Direktoratet legger opp til en prosess der sektoren involveres i oppdateringen av konkurransegrunnlaget. Dette skjer tentativt mars og mai. Det gjenstår fortsatt avklaringer fra Helseplattformen hva gjelder arbeidsomfang og behov innen de tidligere omtalte «nasjonale særtema». Det kan synes som om dette arbeidet vil øke i omfang i Ekstern kvalitetssikring Det planlegges for at en ekstern kvalitetssikring iht. Finansdepartementets KS-ordning, kan starte høsten Oversikt over planlagte aktiviteter ut mot innbygger og helse- og omsorgstjenesten i 2018 Aktører Planlagte aktiviteter Innbygger, pasientog brukerforeninger Referansekommunegrupper og KS Spesialisthelsetjenesten Fastlegetjenesten 1. Deltakelse i arbeidsgruppe med å få frem innbyggerperspektiv og brukerstemmen 2. Deltakelse i arbeidet med å identifisere virkninger og nyttevurderinger, eks. ved intervju og deltakelse i arbeidsmøter 1. Fokusområder: Selvstendig arbeid og felles arbeidsmøter 2. Deltakelse i arbeidsgruppe med å få frem innbyggerperspektiv og brukerstemmen 3. Deltakelse i arbeidet med å identifisere virkninger og nyttevurderinger, eks. ved intervju og deltakelse i arbeidsmøter 4. Deltakelse i arbeidsgrupper knyttet til styring, organisering og finansiering og gjennomføringsstrategi 5. Delta i nasjonal prosess knyttet til Helseplattformens oppdatering av konkurranseunderlaget 1. Arbeid med å avklare samhandlingsbehov, prioritering og muligheter for samhandling og tekniske integrasjon. Behov for møter med både teknisk og helsefaglig personell. 2. Deltakelse i arbeidet med å identifisere virkninger og nyttevurderinger, eks. ved intervju og deltakelse i arbeidsmøter 3. Deltakelse i arbeidsgrupper knyttet til gjennomføring, drift og forvaltning 4. Delta i nasjonal prosess knyttet til Helseplattformens oppdatering av konkurranseunderlaget - Arbeidsgruppe for å sikre at fastlegetjenestens behov dekkes. Oppfølging av arbeidsmøte høsten NAV - Arbeidsmøte planlagt 23. januar 2018 som oppfølging av arbeidsmøter i 2017 Apotek Ev. andre aktører - Arbeidsmøte planlagt 4. januar 2018 for å identifisere og prioritere samhandlingsbehov - Prosjektet vurderer ev. videre aktivitet for å kartlegge samhandlingsbehov mot eksempelvis skole, barnehage, barnevern, PPT, politi, tannhelse, forsvarets sanitet, biltilsynet, Norsk senter for pasientskadeerstatning, bedriftshelsetjeneste, HELFO etc. Notat side 10 av 11

27 Notat side 11 av 11

28 Nasjonalt e-helsestyre Vedlegg 4 Til Dato Saksnummer Type Møte 5/ /17 Orientering Sak 48/17: Komparativ analyse av de regionale helseforetakene på IKT-området (tillegg til hovedrapport fra 1. juli 2017) Forslag til vedtak: Nasjonalt e-helsestyre tar saken til orientering. Hensikt med saken Direktoratet for e-helse gir et sammendrag av tilleggsrapport til komparativ analyse av de regionale helseforetakene på IKT-området. Rapporten skal oversendes Helse- og omsorgsdepartementet i desember Det gjøres oppmerksom på at noen innspill til rapporten ikke er ferdig innarbeidet. Sammendrag av rapporten I perioden har spesialisthelsetjenestens måloppfyllelse innen IKT vært høy. Helse Nord og Helse Vest har levert på sine planer om konsolidering til én regional EPJ/PAS-løsning med tilgang til pasientinformasjon på tvers av foretakene. Helse Sør-Øst har gjennomført et stort EPJ/PAS-løft ved OUS. Helse Vest og Helse Sør-Øst har hatt stor fremgang i innføring av kurveløsninger og Helse Sør-Øst har videreutviklet løsning for medikamentell kreftbehandling. Helse Midt-Norge har i perioden etablert et samarbeid med alle kommunene i regionen og samlet regionen om et mål og en anskaffelse av en felles, regional EPJ/PAS-løsning. Helse Midt-Norge og Helse Sør-Øst har kommet langt i innføring av nye løsninger for økonomi og logistikk og Helse Vest har sluttført sin anskaffelse. Samlet har spesialisthelsetjenesten IT-løsninger med varierende og mangelfull funksjonalitet. En hovedutfordring er mangelfull informasjonsutveksling mellom virksomheter og tjenestenivå. Dette er en risiko for pasientsikkerhet og kvalitet. Løsningene er til hinder for realisering av helsepolitiske mål om pasientens helsetjeneste og helhetlige og koordinerte pasientforløp på tvers av tjenestenivåer og virksomheter. Politiske mål og innbyggernes forventninger om en koordinert og sammenhengende helsetjeneste vil ikke kunne oppfylles uten en mer helhetlig og koordinert utvikling av fremtidens IKTløsninger. Med dagens løsninger er det svært utfordrende å ta ut potensial for utvikling av helsetjenesten med økt kvalitet og effektivisering som ligger i nye arbeidsformer og prosesser basert på ny teknologi. Eksisterende IKT-løsninger og informasjonsstruktur er også til hinder for å utvikle effektive løsninger for helseanalyse, ledelse og forskning. Spesialisthelsetjenestens satsing på IKT har vært stor de siste årene. De regionale helseforetakene har årlige IKT-driftskostnader på over 6 milliarder kroner og investerer årlig mellom 2 og 2,5 milliarder kroner i IKT. Over egne årsverk er direkte knyttet til drift og utvikling av IKT-løsninger. Veksten i IKT driftskostnader var 17 % i perioden Budsjettet for 2017 innebærer en økning på 33 % fra Direktoratet for e-helse står ved sin vurdering fra 1. juli at det i de tre siste årene ikke har vært økt grad av samordning og vekst i antallet felles prosjekter og løsninger i spesialisthelsetjenesten. Dette

29 resulterer i høyere kostnader både til anskaffelser, tilpasninger og senere drift og forvaltning enn fellesløsninger gir. Beslutninger tatt over flere år i det enkelte regionale helseforetak preger dagens situasjon. Manglende helhetlig styring av IKT på tvers av foretaksgruppene har ført til at ulikhetene har blitt gradvis større. Ulikhetene er nå en barriere for økt samarbeid og bedre bruk av begrensede ressurser på tvers. Kvinnsland-utvalget (NOU 2016:25) pekte på den manglende nasjonale samordningen som en betydelig utfordring. I rapporter til Helse- og omsorgsdepartementet om IKT organisering og finansiering (november 2017) foreslår Direktoratet for e-helse tiltak som kan bedre situasjon og de regionale helseforetakene stiller seg bak i likhet med de andre aktørene som er representert i nasjonalt e- helsestyre. Nasjonal IKT HF har ikke blitt spesialisthelsetjenestens arena for strategisk koordinering og felles tilnærming innen IKT. Spesialisthelsetjenestens Felles plan for utvikling av nye tjenester og løsninger peker ikke i retning av at regionene planlegger nye felles prosjekter og felles løsninger seg i mellom. Planen peker på årlige planprosesser hvor nye ideer og forslag vurderes. Forsøket med et felles samarbeid om anskaffelse av en ny løsning for den akuttmedisinske kjeden har ikke lykkes. Det er gode eksempler på fellesløsninger der det foreligger sentral finansiering eller nasjonal styring som for eksempel helsenorge.no. Samarbeid og fellesløsninger har også blitt bedre løst der foretaksgruppene har etablert egne selskaper. Innsatsen på nasjonalt nivå for helhetlige løsninger har ikke økt siden Felles ambisjoner i nasjonale planer innen for eksempel meldingsutveksling, felleskomponenter, kodeverk og terminologier, informasjonssikkerhet og legemiddelfeltet blir ikke realisert som følge av dette. Det er derfor viktig at Helse- og omsorgsdepartementet følger opp anbefalingene om obligatoriske samfinansiering. Direktoratet for e-helse er positiv til at foretaksgruppene i Nord, Vest og Sør-Øst skal arbeide mot et felles samordnet PAS/EPJ for de tre regionene med et felles grensesnitt mot nasjonale løsninger. Det er uklart når en modernisert PAS/EPJ-løsning med god integrasjon til kurve- og medikasjonsløsninger vil være innført i disse regionene og kostnadene fremgår ikke av felles plan. Helse- og omsorgsdepartementet bør for 2018 gi de tre foretaksgruppene i oppdrag å lage en felles plan for videreutvikling av EPJ/PAS-løsningen basert på DIPS Arena etter at den grunnleggende overgangen fra DIPS Classic er gjennomført. Planen bør konkretisere fremdriften mot et felles samordnet PAS/EPJ for de tre regionene og inneholde tidsangivelse for planlagt realisering av viktig funksjonalitet for helsepersonell og pasienter. Planen bør inneholde kostnadsoverslag og risikovurdering. Bakgrunn for anbefalingen er at vi vurderer at overgangen til neste generasjons PAS/EPJ og strukturert journal med prosesstøtte og beslutningsstøtte ikke er oppfylt gjennom den grunnleggende overgangen til DIPS Arena i Direktoratets forståelse er at DIPS Arena er tilrettelagt for stor grad av tilpasning og videreutvikling. Vi vurderer at det gjenstår tilpasning og utvikling, avhengig av hvilke ambisjoner foretaksgruppene setter seg frem mot 2025, særlig innen innføring av strukturert journal, standardisering av pasientforløp, prosesstøtte og beslutningsstøtte. Realisering av et felles samordnet PAS/EPJ for de tre regionene krever en forpliktende og felles styring og organisering av arbeidet. Helse- og omsorgsdepartementet bør vurdere å etablere en fast og flerårig ekstern vurdering av hvilken tilstand og funksjonalitet som foretaksgruppene oppnår innen e-helse frem mot 2025, og særlig innen området EPJ/PAS, kurve og medikasjon. Vurderingen kan f.eks. baseres på tjenester som tilbys av organisasjonen HIMSS (Healthcare Information and Management Systems Society). En slik måling vil også gi oss et bedre grunnlag for å sammenligne utviklingen mot helsesystemer i Norden og internasjonalt. Helse- og omsorgsdepartementet bør gi foretaksgruppene i oppgave å rapportere relevant status, fremdrift og risiko i foretaksgruppenes strategiske IKT-prosjekter til Direktoratet for e-helse. Helse Midt- Norge har iverksatt dette og de øvrige regionene har sluttet seg til behovet for en nasjonal oversikt over strategiske prosjekter. Rapporteringen innebærer ingen endring av styring og ansvarslinjer for prosjektene. Bakgrunn for anbefalingen er at realisering av nasjonale e-helse mål og videreutvikling av Notat side 2 av 3

30 nasjonale løsninger har stor avhengighet til fremdriften i foretaksgruppenes strategiske IKT-prosjekter. Kunnskap om fremdrift og risiko vil gi Direktoratet for e-helse et bedre grunnlag til å følge med og administrere den nasjonale prosjektporteføljen, fasilitere de årlige nasjonale prioriteringene og vurdere fremdrift i realisering av de nasjonale e-helse målene. Om utprøving og innføring av DIPS Arena i Helse Nord, Helse Vest og Helse Sør-Øst fører til at én foretaksgruppe konkluderer med at den må iverksette en alternativ strategi, bør Helse- og omsorgsdepartementet gi føringer for at de to andre foretaksgruppene involveres i arbeidet og at de i fellesskap vurderer et alternativ med en felles tilnærming. Om vi forutsetter at overgangen til DIPS Arena skjer i 2019 og at det deretter skal skje tilpasning og videreutvikling så sammenfaller det med tilsvarende fase i Helseplattformen. Et slikt sammenfall kan gi grunnlag for økt samarbeid på tvers av spesialisthelsetjenesten på områder som er sentrale mht. å oppnå bedre nasjonal samhandling, bl.a. innen legemiddelhåndtering, kodeverk og terminologi og helsefaglig standardisering. Spesialisthelsetjenesten og Direktoratet for e-helse bør vurdere denne muligheten nærmere i Direktoratet for e-helse vurderer at risiko og usikkerhet i Helseplattformen er særlig knyttet til styring og organisering, økonomi og finansiering, helsefaglig standardisering og standardisering av arbeidsprosesser. Vi opplever at Helseplattformen arbeider med alle disse områdene. Med hensyn til styring og organisering har Helseplattformen lagt ned et stort arbeid i og lykkes med å skape engasjement for en felles, regional løsning. Kvaliteten i og omfanget på samarbeid og involvering av kommuner og fastleger i anskaffelsesprosessen er vesentlig for å redusere risikoen for at kommunene ikke utløser sine opsjoner. Den fremforhandlede løsningen må balansere behov og krav i primærhelsetjenesten og spesialisthelsetjenesten. Virksomhetene som inngår i Helseplattformen må bli enige om en styringsmodell og fordeling av fullmakter og ansvar for perioden etter anskaffelsen, etablere en innføringsplan for regionen, og bli enige om hvor drift og forvaltning av løsningen skal organiseres. I lys av eksisterende tilbydersituasjon må Helseplattformen påregne høyere kostnader til tilpasning av løsningen til norske krav, finansieringsmodeller og regelverk. Helseplattformen kan realisere storskalaeffekter, men det er krevende å etablere en finansieringsmodell for investeringsperioden, utvikle en forpliktende innføringsplan som sikrer fordeling av kostnader samt håndtere en risiko for at fremtidige drift- og forvaltningskostnader kan overstige det kostnadsnivået mange kommuner er vant med i dag. For Helse Midt-Norge og kommunene i Midt-Norge stiller det ekstra høye krav til arbeidet med helsefaglig standardisering og standardisering av arbeidsprosesser fordi Helseplattformen skal understøtte arbeidsprosesser på tvers av flere tjenestenivå og virksomheter. Helsefaglig praksis og terminologi, prosesser, rutiner og prosedyrer i primær- og spesialisthelsetjenesten skal med stor sannsynlighet forenes i samme systemløsning. En vellykket og helhetlig løsning krever at fremtidige behov og kompleksitet innen kommunale helse- og omsorgstjenester ivaretas. I sum innebærer dette en stor organisatorisk omstilling og en endring av arbeidshverdagen for mange medarbeidere. Virksomhetene i Midt-Norge må samarbeide godt om denne omstillingen og det må etableres gode styringsmodeller. Videre arbeid Rapporten skal oversendes Helse- og omsorgsdepartementet i desember Notat side 3 av 3

31 Vedlegg 4a Komparativ analyse av de regionale helseforetakene på IKT-området Tillegg til hovedrapport (1. juli 2017) November 2017

32 Kolofon Publikasjonens tittel: Komparativ analyse av de regionale helseforetakene på IKT-området, tilleggsrapport til hovedrapport 1. juli Utgitt: 27. november 2017 Publikasjonsnummer: IA Utgitt av: Direktoratet for e-helse Kontakt: Postadresse: Postboks 6737 St. Olavs plass, 0130 OSLO Besøksadresse: Verkstedveien 1, 0277 Oslo Tlf.: Rapporten kan lastes ned på: Illustrasjoner: IA

33

34 Innhold 1 BAKGRUNN LEDELSESSAMMENDRAG NÅSITUASJON SAMMENDRAG AV 1. JULI-RAPPORT NESTE GENERASJON PAS/EPJ HELSE MIDT-NORGE, HELSEPLATTFORMEN HELSE NORD, HELSE VEST OG HELSE SØR-ØST: FELLES PLAN OM NESTE GENERASJON PAS/EPJ NASJONAL LØSNING FOR KOMMUNALE HELSE- OG OMSORGSTJENESTER FELLES PLAN FOR UTVIKLING AV NYE TJENESTER OG LØSNINGER ANBEFALINGER TIL HELSE- OG OMSORGSDEPARTEMENTET VEDLEGG... 22

35 1 Bakgrunn Dette dokumentet er et tillegg til rapport Komparativ analyse av de regionale helseforetakene på IKT-området, oversendt til Helse- og omsorgsdepartementet 1. juli Direktoratet for e-helse fikk våren 2017 i oppdrag fra Helse- og omsorgsdepartementet å oppdatere den komparative analysen av de regionale helseforetakene på IKT-området fra 2014, jf. tillegg til tildelingsbrev nr. 1 for 2017 (16/1713). Oppdraget skulle svares ut innen 1. juli Som følge av parallelle oppdrag til direktoratet og de regionale helseforetakene ble det avtalt med Helse- og omsorgsdepartementet at 1. juli-rapporten skulle konsentreres om oppdatering av sentrale nøkkeltall. Vurderinger og forslag knyttet til foretaksgruppenes samordning innen IKT skulle besvares i oktober, i etterkant av fristene foretaksgruppene og direktoratet hadde på øvrige oppdrag. Foretaksgruppene i Nord, Vest og Sør-Øst oversendte sin Felles plan neste generasjon PAS/EPJ til Helse- og omsorgsdepartementet 20. oktober. Foretaksgruppene i Nord, Midt-Norge, Vest, Sør-Øst oversendte sin Felles plan for utvikling av nye tjenester og løsninger til Helse- og omsorgsdepartementet 25. oktober. Rapporten er utarbeidet i samarbeid med Nasjonal IKT HF. Dette dokumentet tar utgangspunkt i de overordnede vurderingene i 1. juli-rapporten og vurderer de i lys av foretaksgruppenes to rapporter fra oktober. Foretaksgruppenes felles plan om neste generasjon PAS/EPJ inneholder synspunkter på alternative modeller for realisering av én innbygger én journal, jf. kapittel «strategisk kontekst». Disse synspunktene behandler direktoratet i andre leveranser i prosjekt én innbygger én journal. Helse Midt-Norge er ikke en del av «felles plan om neste generasjon PAS/EPJ». Helse Midt-Norges strategi og planer vurderes likevel kort. Helse Midt-Norge inngår i «felles plan for utvikling av nye tjenester og løsninger». Dokumentet er konsentrert om spesialisthelsetjenesten, men for å gi kontekst til vurderingene er det tatt inn en kort beskrivelse av pågående arbeid med nasjonal EPJ/PAS-løsning for kommunale helse- og omsorgstjenester. 4

36 2 Ledelsessammendrag I perioden har spesialisthelsetjenestens måloppfyllelse innen IKT vært høy. Helse Nord og Helse Vest har levert på sine planer om konsolidering til én regional EPJ/PAS-løsning med tilgang til pasientinformasjon på tvers av foretakene. Helse Sør-Øst har gjennomført et stort EPJ/PAS-løft ved OUS. Helse Vest og Helse Sør-Øst har hatt stor fremgang i innføring av kurveløsninger og Helse Sør-Øst har videreutviklet løsning for medikamentell kreftbehandling. Helse Midt-Norge har i perioden etablert et samarbeid med alle kommunene i regionen og samlet regionen om et mål og en anskaffelse av en felles, regional EPJ/PAS-løsning. Helse Midt-Norge og Helse Sør-Øst har kommet langt i innføring av nye løsninger for økonomi og logistikk og Helse Vest har sluttført sin anskaffelse. Samlet har spesialisthelsetjenesten IT-løsninger med varierende og mangelfull funksjonalitet. En hovedutfordring er mangelfull informasjonsutveksling mellom virksomheter og tjenestenivå. Dette er en risiko for pasientsikkerhet og kvalitet. Løsningene er til hinder for realisering av helsepolitiske mål om pasientens helsetjeneste og helhetlige og koordinerte pasientforløp på tvers av tjenestenivåer og virksomheter. Politiske mål og innbyggernes forventninger om en koordinert og sammenhengende helsetjeneste vil ikke kunne oppfylles uten en mer helhetlig og koordinert utvikling av fremtidens IKT-løsninger. Med dagens løsninger er det svært utfordrende å ta ut potensial for utvikling av helsetjenesten med økt kvalitet og effektivisering som ligger i nye arbeidsformer og prosesser basert på ny teknologi. Eksisterende IKT-løsninger og informasjonsstruktur er også til hinder for å utvikle effektive løsninger for helseanalyse, ledelse og forskning. Spesialisthelsetjenestens satsing på IKT har vært stor de siste årene. De regionale helseforetakene har årlige IKTdriftskostnader på over 6 milliarder kroner og investerer årlig mellom 2 og 2,5 milliarder kroner i IKT. Over egne årsverk er direkte knyttet til drift og utvikling av IKT-løsninger. Veksten i IKT driftskostnader var 17 % i perioden Budsjettet for 2017 innebærer en økning på 33 % fra Direktoratet for e-helse står ved sin vurdering fra 1. juli at det i de tre siste årene ikke har vært økt grad av samordning og vekst i antallet felles prosjekter og løsninger i spesialisthelsetjenesten. Dette resulterer i høyere kostnader både til anskaffelser, tilpasninger og senere drift og forvaltning enn fellesløsninger gir. Beslutninger tatt over flere år i det enkelte regionale helseforetak preger dagens situasjon. Manglende helhetlig styring av IKT på tvers av foretaksgruppene har ført til at ulikhetene har blitt gradvis større. Ulikhetene er nå en barriere for økt samarbeid og bedre bruk av begrensede ressurser på tvers. Kvinnslandutvalget (NOU 2016:25) pekte på den manglende nasjonale samordningen som en betydelig utfordring. I rapporter til Helse- og omsorgsdepartementet om IKT organisering og finansiering (november 2017) foreslår Direktoratet for e- helse tiltak som kan bedre situasjon og de regionale helseforetakene stiller seg bak i likhet med de andre aktørene som er representert i nasjonalt e-helsestyre. Nasjonal IKT HF har ikke blitt spesialisthelsetjenestens arena for strategisk koordinering og felles tilnærming innen IKT. Spesialisthelsetjenestens Felles plan for utvikling av nye tjenester og løsninger peker ikke i retning av at regionene planlegger nye felles prosjekter og felles løsninger seg i mellom. Planen peker på årlige planprosesser hvor nye ideer og forslag vurderes. Forsøket med et felles samarbeid om anskaffelse av en ny løsning for den akuttmedisinske kjeden har ikke lykkes. Det er gode eksempler på fellesløsninger der det foreligger sentral finansiering eller nasjonal styring som for eksempel helsenorge.no. Samarbeid og fellesløsninger har også blitt bedre løst der foretaksgruppene har etablert egne selskaper. Innsatsen på nasjonalt nivå for helhetlige løsninger har ikke økt siden Felles ambisjoner i nasjonale planer innen for eksempel meldingsutveksling, felleskomponenter, kodeverk og terminologier, informasjonssikkerhet og legemiddelfeltet blir ikke realisert som følge av dette. Det er derfor viktig at Helse- og omsorgsdepartementet følger opp anbefalingene om obligatoriske samfinansiering. Direktoratet for e-helse er positiv til at foretaksgruppene i Nord, Vest og Sør-Øst skal arbeide mot et felles samordnet PAS/EPJ for de tre regionene med et felles grensesnitt mot nasjonale løsninger. Det er uklart når en modernisert PAS/EPJ-løsning med god integrasjon til kurve- og medikasjonsløsninger vil være innført i disse regionene og kostnadene fremgår ikke av felles plan. Helse- og omsorgsdepartementet bør for 2018 gi de tre foretaksgruppene i oppdrag å lage en felles plan for videreutvikling av EPJ/PAS-løsningen basert på DIPS Arena etter at den grunnleggende overgangen fra DIPS Classic 5

37 er gjennomført. Planen bør konkretisere fremdriften mot et felles samordnet PAS/EPJ for de tre regionene og inneholde tidsangivelse for planlagt realisering av viktig funksjonalitet for helsepersonell og pasienter. Planen bør inneholde kostnadsoverslag og risikovurdering. Bakgrunn for anbefalingen er at vi vurderer at overgangen til neste generasjons PAS/EPJ og strukturert journal med prosesstøtte og beslutningsstøtte ikke er oppfylt gjennom den grunnleggende overgangen til DIPS Arena i Direktoratets forståelse er at DIPS Arena er tilrettelagt for stor grad av tilpasning og videreutvikling. Vi vurderer at det gjenstår tilpasning og utvikling, avhengig av hvilke ambisjoner foretaksgruppene setter seg frem mot 2025, særlig innen innføring av strukturert journal, standardisering av pasientforløp, prosesstøtte og beslutningsstøtte. Realisering av et felles samordnet PAS/EPJ for de tre regionene krever en forpliktende og felles styring og organisering av arbeidet. Helse- og omsorgsdepartementet bør vurdere å etablere en fast og flerårig ekstern vurdering av hvilken tilstand og funksjonalitet som foretaksgruppene oppnår innen e-helse frem mot 2025, og særlig innen området EPJ/PAS, kurve og medikasjon. Vurderingen kan f.eks. baseres på tjenester som tilbys av organisasjonen HIMSS (Healthcare Information and Management Systems Society). En slik måling vil også gi oss et bedre grunnlag for å sammenligne utviklingen mot helsesystemer i Norden og internasjonalt. Helse- og omsorgsdepartementet bør gi foretaksgruppene i oppgave å rapportere relevant status, fremdrift og risiko i foretaksgruppenes strategiske IKT-prosjekter til Direktoratet for e-helse. Helse Midt-Norge har iverksatt dette og de øvrige regionene har sluttet seg til behovet for en nasjonal oversikt over strategiske prosjekter. Rapporteringen innebærer ingen endring av styring og ansvarslinjer for prosjektene. Bakgrunn for anbefalingen er at realisering av nasjonale e-helse mål og videreutvikling av nasjonale løsninger har stor avhengighet til fremdriften i foretaksgruppenes strategiske IKT-prosjekter. Kunnskap om fremdrift og risiko vil gi Direktoratet for e-helse et bedre grunnlag til å følge med og administrere den nasjonale prosjektporteføljen, fasilitere de årlige nasjonale prioriteringene og vurdere fremdrift i realisering av de nasjonale e-helse målene. Om utprøving og innføring av DIPS Arena i Helse Nord, Helse Vest og Helse Sør-Øst fører til at én foretaksgruppe konkluderer med at den må iverksette en alternativ strategi, bør Helse- og omsorgsdepartementet gi føringer for at de to andre foretaksgruppene involveres i arbeidet og at de i fellesskap vurderer et alternativ med en felles tilnærming. Om vi forutsetter at overgangen til DIPS Arena skjer i 2019 og at det deretter skal skje tilpasning og videreutvikling så sammenfaller det med tilsvarende fase i Helseplattformen. Et slikt sammenfall kan gi grunnlag for økt samarbeid på tvers av spesialisthelsetjenesten på områder som er sentrale mht. å oppnå bedre nasjonal samhandling, bl.a. innen legemiddelhåndtering, kodeverk og terminologi og helsefaglig standardisering. Spesialisthelsetjenesten og Direktoratet for e-helse bør vurdere denne muligheten nærmere i Direktoratet for e-helse vurderer at risiko og usikkerhet i Helseplattformen er knyttet til styring og organisering, økonomi og finansiering, helsefaglig standardisering og standardisering av arbeidsprosesser. Vi opplever at Helseplattformen arbeider med alle disse områdene. Med hensyn til styring og organisering har Helseplattformen lagt ned et stort arbeid i og lykkes med å skape engasjement for en felles, regional løsning. Kvaliteten i og omfanget på samarbeid og involvering av kommuner og fastleger i anskaffelsesprosessen er vesentlig for å redusere risikoen for at kommunene ikke utløser sine opsjoner. Den fremforhandlede løsningen må balansere behov og krav i primærhelsetjenesten og spesialisthelsetjenesten. Virksomhetene som inngår i Helseplattformen må bli enige om en styringsmodell og fordeling av fullmakter og ansvar for perioden etter anskaffelsen, etablere en innføringsplan for regionen, og bli enige om hvor drift og forvaltning av løsningen skal organiseres. I lys av eksisterende tilbydersituasjon må Helseplattformen påregne høyere kostnader til tilpasning av løsningen til norske krav, finansieringsmodeller og regelverk. Helseplattformen kan realisere storskala-effekter, men det er krevende å etablere en finansieringsmodell for investeringsperioden, utvikle en forpliktende innføringsplan som sikrer fordeling av kostnader samt håndtere en risiko for at fremtidige drift- og forvaltningskostnader kan overstige det kostnadsnivået mange kommuner er vant med i dag. For Helse Midt-Norge og kommunene i Midt-Norge stiller det ekstra høye krav til arbeidet med helsefaglig standardisering og standardisering av arbeidsprosesser fordi Helseplattformen skal understøtte arbeidsprosesser på tvers av flere tjenestenivå og virksomheter. Helsefaglig praksis og terminologi, prosesser, rutiner og prosedyrer i primær- og spesialisthelsetjenesten skal med stor sannsynlighet forenes i samme systemløsning. En vellykket og helhetlig løsning krever at fremtidige behov og kompleksitet innen kommunale helse- og omsorgstjenester ivaretas. I 6

38 sum innebærer dette en stor organisatorisk omstilling og en endring av arbeidshverdagen for mange medarbeidere. Virksomhetene i Midt-Norge må samarbeide godt om denne omstillingen og det må etableres gode styringsmodeller. 7

39 3 Nåsituasjon Eksisterende IKT-løsninger for dokumentasjon av helsehjelp og pasientadministrasjon vil ikke oppfylle de politiske målene knyttet til «Én innbygger én journal». Svært fragmenterte IT-løsninger med varierende og mangelfull funksjonalitet er en risiko for pasientsikkerhet og kvalitet. Løsningene er til hinder for realisering av helsepolitiske mål om pasienten i sentrum og helhetlige og koordinerte pasientforløp på tvers av tjenestenivåer og virksomheter. Politiske mål og innbyggernes forventninger om en koordinert og sammenhengende helsetjeneste vil ikke kunne oppfylles uten en mer helhetlig og koordinert utvikling av fremtidens IKT-løsninger. Dagens løsninger er til hinder for å ta ut potensial for utvikling av helsetjenesten med økt kvalitet og effektivisering som ligger i nye arbeidsformer og prosesser basert på ny teknologi. Eksisterende IKT-løsninger og informasjonsstruktur er også til hinder for å utvikle effektive løsninger for helseanalyse, ledelse og forskning. Det er behov for bedre IKT-ressursbruk i helse- og omsorgssektoren og de helsepolitiske målene krever at virkemiddelbruken innen IKT må innrettes mot flere fellesløsninger. Dagens modell med desentralisert anskaffelse av IKT-løsninger som skal understøtte felles nasjonal samhandling, er kostnadsdrivende og samfunnsøkonomisk ineffektiv. I tillegg er dagens fragmenterte IKT-løsninger til hinder for utvikling av en konkurransedyktig norsk IKTnæring innen helse i et internasjonalt perspektiv. Arbeidet med utredning av én innbygger én journal viste at alternativet med å fortsette som i dag er det minst kostnadseffektive alternativet med lavest behovs- og måloppfyllelse. 8

40 4 Sammendrag av 1. juli-rapport Nedenfor gis det et kort sammendrag av de sentrale funnene i rapporten som ble overlevert Helse- og omsorgsdepartementet 1. juli Foretaksgruppene har samlet sett årlige IKT-driftskostnader på over 6 milliarder kroner. IKT-driftskostnadene har økt vesentlig fra 2014, men er stabile som andel av foretaksgruppenes totale driftskostnader. Det er relativt store forskjeller i IKT-driftskostnader mellom foretaksgruppene. De fire foretaksgruppene har i 2017 budsjettert med IKT-driftskostnader på 6,3 milliarder kroner eksklusiv merverdiavgift og 6,8 milliarder kroner inklusiv merverdiavgift (mva.). Sammenlignet med 2014 representerer budsjettet en økning på 33 %. Regnskapene viser at IKT-driftskostnadene (inkl. mva.) i perioden økte med 17 %. Veksten har vært høyest i Helse Nord (34 %) og lavest i Helse Sør-Øst (11 %). IKT-driftskostnader inkluderer avskrivninger fra historiske investeringer. I perioden er snitt avskrivninger som andel av driftskostnadene om lag 20 %. Helse Sør-Øst har i perioden relativt høy avskrivningsgrad (24-29 %), mens Helse Midt-Norge har relativ lav avskrivningsgrad (14-18 %). IKT-driftskostnader per DRG-poeng har i perioden økt i alle foretaksgruppene og er nå fra kroner (Helse Vest) til kroner (Helse Midt-Norge). IKT-driftskostnader som andel av foretaksgruppenes totale driftskostnader har vært forholdsvis uendret i perioden (-0,5 % til +0,2 %). Helse Midt-Norge bruker relativt sett mest penger på IKT-drift (5 % av totale driftskostnader), mens Helse Vest bruker minst (3,7 % av totale driftskostnader). Gjennomsnittlig IKT-driftskostnad per årsverk i foretaksgruppene var i 2016 om lag kroner, en økning på 15 % fra IKT-kostnader per årsverk er høyest i Helse Nord ( kroner) og lavest i Helse Vest ( kroner). Foretaksgruppene investerer samlet sett mellom 2 og 2,5 milliarder kroner årlig innen IKT. De fire foretaksgruppene har for 2017 budsjettert med IKT-investeringer på 2,4 milliarder kroner. Dette er en økning fra 2016 (2,1 milliarder kroner), men det er noe lavere enn i 2014 (2,6 milliarder kroner). Merk at investeringsbeløpene estimeres med ulik praksis, spesielt mht. om innsats fra helseforetakene og fagsiden beregnes med i investeringsbeløpene. Basert på oppgitte tall er sammensatt årlig vekst i investeringene fra 2014 til 2017 størst i Helse Nord (12 %) og minst i Helse Sør-Øst (-6 %). Basert på oppgitte tall har IKT-investeringene i perioden ligget på mellom og kroner per DRGpoeng. Helse Nord og Helse Sør-Øst har for perioden hatt et investeringsnivå på i overkant av kroner per DRGpoeng, mens Helse Vest og Helse Midt-Norge har investert om lag kroner per DRG-poeng. Helse Midt-Norge sine investeringer vil øke kraftig de neste årene, spesielt fra 2019 når tilpasning og innføring av Helseplattformen er planlagt å starte. Foretaksgruppene har samlet sett om lag egne, dedikerte IKT-årsverk. De fire foretaksgruppene har om lag egne, dedikerte IKT-årsverk, en vekst på 12 % siden Økningen har vært størst i Helse Vest (32 %) og minst i Helse Sør-Øst (4 %). En del av økningen skyldes forflytning av personell internt i foretaksgruppene gjennom virksomhetsoverdragelser og etablering av kliniske forvaltningsmiljøer. Helse Vest og Helse Midt-Norge har kommet lengst i å etablere ett regionalt IKT-miljø ved at henholdsvis 88 % og 97 % av IKTårsverkene er tilknyttet den regionale IKT-tjenesteleverandøren (Helse Vest IKT AS og Hemit). I Helse Nord og Helse Sør-Øst er tilsvarende tilhørighet til henholdsvis Helse Nord IKT HF og Sykehuspartner HF om lag 80 %. 9

41 Foretaksgruppenes strategisk prosjektportefølje for preges av at det gjenstår arbeid med regional standardisering og konsolidering, og modernisering og fornying av EPJ/PAS/kurve-løsningene. Helse Nord og Helse Vest planlegger å gjennomføre oppgradering til neste versjon av DIPS sin EPJ/PAS-løsning, Arena. Konsolideringen til én regional EPJ/PAS-løsning, med tilgang til pasientinformasjon på tvers av helseforetakene, ble sluttført i 2015/16. Begge foretaksgruppene skal i perioden ferdigstille innføring av nye løsninger for kurve, MetaVision (imdsoft) i Helse Nord og Meona i Helse Vest. I Helse Vest skal ny løsning for økonomi, virksomhetsstyring og logistikk (SAP) innføres basert på kontrakt inngått med IBM i En SAP-løsning fra IBM er også under innføring i Helse Midt-Norge. Helse Nord og Helse Vest fortsetter sin satsing på digitale innbyggertjenester. Den strategiske prosjektporteføljen i Helse Midt-Norge er sterkt påvirket av programmet Helseplattformen, der målet er å etablere en felles, regional løsning for EPJ/PAS på tvers av kommunale helse- og omsorgstjenester og spesialisthelsetjenesten. Helseplattformen har status som regionalt utprøvingsprogram av det nasjonale målbilde knyttet til én innbygger én journal. Dette innebærer samarbeid med Direktoratet for e-helse og Helsedirektoratet, bl.a. for å legge grunnlag for gjenbruk i senere nasjonale anskaffelser og mulig nasjonal standardisering og normering innen e-helse feltet. Løsningen som Helseplattformen anskaffer og innfører kan ikke brukes av virksomheter utenfor regionen. Helseplattformen er midt i sin anskaffelse, per nå med tre internasjonale tilbydere, og kontraktsinngåelse er planlagt tidlig i I Helse Midt-Norge er andre strategiske prosjekter knyttet til ny Lab-løsning og videre innføring av ny løsning for økonomi, virksomhetsstyring og logistikk. Ny lab-løsning for medisinsk biokjemi, medisinsk mikrobiologi og klinisk farmakologi skal anskaffes i 2018 og er planlagt innført i 2020, i forkant av Helseplattformen. Nytt sykehus i Nordmøre og Romsdal er også en del av Helse Midt-Norges strategiske IKT-prosjektportefølje. Helse Sør-Øst skal videreføre sitt arbeid med program Regional klinisk løsning (RKL), hvor bl.a. EPJ/PAS, kurve, Lab, Radiologi, E-resept, Kjernejournal og digitale innbyggertjenester inngår. RKL-programmet omfatter standardisering, konsolidering og modernisering av kliniske løsninger. Ny kurve-løsning er delvis innført og foretaksgruppen er i sluttføring av en anskaffelse som kan muliggjøre regional innføring innen Helse Sør-Øst avslutter sin standardisering av EPJ/PAS (DIPS) i 2018 og helseforetakenes 9 selvstendige EPJ/PAS-løsninger vil da ha en mer standardisert brukerflate og funksjonalitet enn i dag. Styret i Helse Sør-Øst RHF har ikke besluttet plan for oppgradering av EPJ/PAS (DIPS Arena), hvordan og hvorvidt det skal etableres en løsning for tilgang til pasientinformasjon på tvers av helseforetakene og eventuell konsolidering til færre løsninger. Helse Sør-Østs fremdrift innen EPJ/PAS og RKL-programmet har stor avhengighet til fremdrift i arbeidet med IKT-infrastrukturmodernisering. Direktoratet for e-helse oppfatter at Sykehuspartner HF nå vurderer ulike alternativer for videreføring av tiltaket for IKT-infrastrukturmodernisering og at en eventuell beslutningssak i styret i Helse Sør-Øst RHF kan skje første halvår Helse Sør-Øst viderefører sin innføring av ny, regional løsning for virksomhetsstyring (Oracle). Det siste tiltaket i Helse Sør-Østs strategiske IKT-prosjektportefølje er knyttet til et regionalt IKT-løft for forskningsvirksomheten. I Vedlegg inngår en tabell som viser de de sentrale avvikene i foretaksgruppenes måloppfyllelse, sammenlignet med de resultatmålene som var en del av den komparative analysen i Vurderinger fra 1. juli-rapporten som behandles videre i dette dokumentet er: Sammenlignet med strategier fra 2012/2014 er det mangelfull måloppfyllelse innen etablering av regionale løsninger for EPJ/PAS/kurve med oppgradert funksjonalitet for bl.a. prosesstøtte og beslutningsstøtte. Det har ikke vært økt grad av samordning og vekst i antallet strategiske felles prosjekter i spesialisthelsetjenesten. Nasjonal IKT er per nå ikke spesialisthelsetjenestens arena for strategisk koordinering, prioritering og forankring av en felles tilnærming til viktige IKT-spørsmål. Nasjonal IKT er ikke posisjonert som RHF-enes samarbeidspart overfor myndighetene i nasjonale tiltak. Vurderingene behandles opp mot de to oktober-rapportene som foretaksgruppene har levert til Helse- og omsorgsdepartementet. I 1.juli rapporten ble det vist til at både Helsetjenestens Driftsorganisasjon for Nødnett (HDO) og Norsk Helsenett SF drifter og forvalter kritisk infrastruktur for store deler av helsetjenesten, og at det kan være mulige synergier mellom disse virksomhetene. Denne situasjonen og behovet for en nasjonal leverandørfunksjon er behandlet i parallelt oppdrag i Direktoratet for e-helse (IKT-organisering). 10

42 5 Neste generasjon PAS/EPJ De fire foretaksgruppene har overordnet to hovedstrategier i utviklingen mot moderne EPJ/PAS- og kurveløsninger: videreutvikling av eksisterende løsninger for spesialisthelsetjenesten i Nord, Vest og Sør-Øst, og anskaffelse og innføring av en ny, felles løsning for spesialisthelsetjenesten, kommuner og fastleger i Midt-Norge. Helse Nord, Helse Vest og Helse Sør-Øst bygger videre på sentrale løsningsvalg og leverandørvalg fra perioden 2007 (Vest), 2011 (Nord) og 2012 (Sør-Øst) og en utvikling mot standardiserte, regionale løsninger for spesialisthelsetjenesten. Helse Midt-Norge har valgt en regional, geografisk tilnærming med mål om en ny, felles EPJ/PAS-løsning på tvers av fastleger, kommuner og spesialisthelsetjenesten. Alle foretaksgruppenes strategier omfatter utvikling mot strukturert journal med prosesstøtte og beslutningsstøtte. Denne strategien forutsetter høyere grad av helsefaglig standardisering, økt standardisering innen medisinske kodeverk og terminologier og økt standardisering av arbeidsprosesser. Strategien skal understøtte bedre pasient- og behandlingsforløp, økt pasientsikkerhet og gi grunnlag for å redusere uønsket klinisk variasjon. Helse Midt-Norge er i anskaffelse og det er derfor for tidlig å sammenligne de fire foretaksgruppenes løsningsstrategier. Men om Helse Midt-Norge velger en løsning hvor all sentral funksjonalitet for EPJ/PAS og kurve, inkludert støtte for håndtering av pasientforløp, leveres i «ett system» vil det representere et klart skille mot de tre andre foretaksgruppene. Foretaksgruppene i Nord, Vest og Sør-Øst har valgt en «best-of-breed» strategi med ulike systemvalg innen ulike funksjonelle områder. Det mest sentrale eksemplet er ulike leverandører og systemløsninger for hhv. EPJ/PAS og kurve, men det omfatter også løsninger for bilde- og mediehåndtering, spesialløsninger for ulike fagområder, for eksempel svangerskap og kreft, og løsninger som gir økt funksjonalitet for utførelse av kliniske arbeidsprosesser og samarbeid mellom helsepersonell. Merk at det er sentrale likheter i strategiene til Helse Nord, Helse Vest og Helse Sør-Øst, men de har ikke tatt de samme løsnings- og leverandørvalgene for de samme funksjonelle områdene og «like» løsninger har blitt tilpasset og innført på ulikt vis. Det er ikke et fasitsvar på hvilken løsningsstrategi som gir høyest kost/nytte og best grunnlag for økt pasientsikkerhet og kvalitet. «Best of breed» velges ofte som løsningsstrategi på områder der virksomhetene ønsker å differensiere seg mot andre virksomheter og oppnå konkurransefortrinn. En «best-of-breed» strategi kan gi markedets beste løsning innen ulike funksjonelle områder og redusere innlåsing mot leverandører. Strategien stiller store krav til system- og prosessintegrasjon, masterdataforvaltning og håndtering av at ulike leverandører har ulike utviklingsløp for sine produkter og tjenester. I arbeidet med utredning av én innbygger én journal har Direktoratet for e-helse uttrykt bekymring for at flere systemløsninger og leverandørvalg innen klinisk dokumentasjon (EPJ), pasientadministrasjon (PAS) og forløp/medikasjon (kurve) kan føre til brudd i arbeidsprosesser, gi en krevende arbeidshverdag for helsepersonell pga. flere arbeidsflater, samt en risiko for at samme informasjon må registreres flere ganger i ulike system. Direktoratet for e-helse mener også at flere systemer i kjernen av EPJ/PAS/kurve øker sannsynligheten for at pasientens journal ikke er autoritativ og komplett, med risiko for pasientsikkerhet og kvalitet. En «ett system» strategi innenfor EPJ/PAS og kurve kan innebære at virksomheten velger å operere med dårligere funksjonalitet på utvalgte områder, men at tapet oppveies mot lavere kompleksitet i system- og prosessintegrasjon og færre brudd i arbeidsprosessene. Strategien kan føre til større leverandøravhengighet og eventuelt høyere byttekostnader. 5.1 Helse Midt-Norge, Helseplattformen Helse Midt-Norge satte seg som mål i 2012 å etablere journalsystemer i strukturert form og med aktiv beslutningsstøtte. Målet ble besluttet av RHF-styret i 2013 og var en del av handlingsplanen for perioden I perioden ble strategien endret til et konsept med en felles EPJ/PAS-løsning for hele regionen, på tvers av spesialisthelsetjenesten og kommunale helse- og omsorgstjenester, inkludert fastlegene. Arbeidet er organisert i programmet Helseplattformen og anskaffelse pågår, per nå med tre internasjonale tilbydere. Kontraktsinngåelse er planlagt tidlig i 2019 og planen er at de første foretakene tar i bruk den nye løsningen i 2021/2022. Intensjonen er at Trondheim kommune skal utløse sin opsjon og være en del av løsningen fra 2021/2022. Endelig gjennomførings- og innføringsplan utarbeides som en del av anskaffelsesprosessen. Strategiendringen innebærer at spesialisthelsetjenesten får ny EPJ/PAS-løsning 3-4 år senere enn opprinnelig plan fra 2013, gitt at eksisterende 11

43 planer opprettholdes. Helseplattformens anskaffelsesprosess ble forskjøvet med ett år som følge av nasjonalt oppdrag tildelt i Spesialisthelsetjenesten og kommunene i Midt-Norge sine ambisjoner og planer samsvarer på regionalt nivå med det målbilde som ble anbefalt i utredning av én innbygger én journal. Helseplattformen har derfor fått i oppdrag å være et regionalt utprøvingsprogram av det nasjonale målbilde. En helhetlig løsning på tvers av tjenestenivå og virksomheter gir grunnlag for å realisere større gevinster, oppnå økt samarbeid på tvers av helsetjenesten og innføre mer helhetlige og sammenhengende pasient- og behandlingsforløp. En helhetlig løsning som Helseplattformen, med prosess- og beslutningsstøtte, kan realisere større gevinster innen pasientsikkerhet, kvalitet og tids- og ressursbruk. Helseplattformen kan gi mulighet for tettere vertikal integrasjon mellom ulike tjenestenivå og virksomheter, og dermed gi mulighet for å raskere innføre endringer i roller og ansvar mellom tjenestenivå og virksomheter. Helseplattformen er tidlig ute i en Nordisk sammenheng og etter direktoratets vurdering er det kun Apotti-programmet i Helsinki-regionen som foreløpig er direkte sammenlignbart. Apotti har flere innbyggere i sitt opptaksområde (om lag 5 millioner) og omfatter også sosiale tjenester. Apotti har i utgangpunktet en mindre krevende styringsmodell enn Helseplattformen ved at kommunene i Helsinki-regionen også har ansvar for spesialisthelsetjenester. Helseplattformen har også likhetstrekk med Sundhedsplatformen i Region Hovedstaden og Region Sjælland i Danmark og Region Skåne i Sverige ved at de alle omfatter en komplett overgang til en helt ny EPJ/PAS-løsning. Programmet i Region Skåne omfatter også en felles løsning på tvers av primær- og spesialisthelsetjenesten. Helseplattformen er om lag midtveis i sin anskaffelse, i henhold til plan, og per nå er det tre tilbydere i dialogprosessen. Risikoen knyttet til at relevante leverandører ikke ville melde sin interesse slo ikke til. Helseplattformen utløste interesse og kvalifikasjonssøknader fra et stort antall nasjonale, nordiske og internasjonale tilbydere. At de tre gjenstående tilbyderne er store, internasjonale leverandører reflekterer Helseplattformens ambisjoner og tiltakets omfang. Direktoratet for e-helse vurderer at risiko og usikkerhet i Helseplattformen er særlig knyttet til styring og organisering, økonomi og finansiering, helsefaglig standardisering og standardisering av arbeidsprosesser. Med hensyn til styring og organisering har Helseplattformen lagt ned et stort arbeid i og lykkes med å skape engasjement for en felles, regional løsning. Alle kommunene er omfattet gjennom opsjoner og Helse Midt-Norge og Trondheim kommune har inngått en egen samarbeidsavtale. Kvaliteten i og omfanget på samarbeid og involvering av kommuner, fastleger og avtalespesialister i anskaffelsesprosessen er vesentlig for å redusere risikoen for at de kommunene ikke utløser sine opsjoner. Den fremforhandlede løsningen må balansere behov og krav i primærhelsetjenesten og spesialisthelsetjenesten. Helseplattformens omfang stiller krav om at virksomhetene frigjør kapasitet og kompetanse, og at utviklingsbehov innen andre områder prioriteres ned eller forskyves. Samarbeidsavtalen med Trondheim kommune og fullmakter fra de øvrige kommunene i anskaffelsesfasen skal de neste 1-2 årene utvikles til avtaler som regulerer samarbeidet i en ressurskrevende tilpasningsfase ( /2022), en innføringsperiode på anslagsvis 3-6 år og deretter en drift- og forvaltningsperiode på år. Virksomhetene må bli enige om en styringsmodell og fordeling av fullmakter og ansvar i de ulike fasene, en innføringsplan for regionen, og bli enige om hvor drift og forvaltning av løsningen skal organiseres. Helseplattformen jobber nå med disse avklaringene. Helseplattformens anskaffelse har en økonomisk ramme på milliarder kroner. 1 Den økonomiske rammen omfatter ikke alle investeringer og kostnader som kreves for å etablere, innføre og drifte løsningen. I lys av eksisterende tilbydersituasjon bør Helseplattformen være forberedt på høyere kostnader til tilpasning av løsningen til norske krav, finansieringsmodeller og regelverk. Det er potensiale for storskala-effekter ved at 14 % av den norske spesialisthelsetjenesten og 85 kommuner går sammen om en felles løsning. Direktoratet for e-helse vurderer at det er særlig krevende å etablere en finansieringsmodell for investeringsperioden (pukkelkostnader), utvikle en forpliktende innføringsplan som sikrer fordeling av kostnader og risiko for at fremtidige drift- og forvaltningskostnader kan overstige det kostnadsnivået mange kommuner er vant med i dag. Utarbeidelse av realistiske planer for gevinstrealisering som underlag for fordeling av kostnader blir viktig. Helseplattformen jobber nå med modeller for finansiering og fordeling av kostnader. 1 Kilde: Helseplattformen, Invitation to dialogue (ITD), side 20: The procurement is dependent on being allocated sufficient funds. The estimated procurement value is, throughout its estimated lifespan expected to be between NOK 1.4 and 2.7 billion excl. VAT, including Options. This estimate has a high degree of uncertainty, and the final outcome of the Contract value can be either higher or lower than this. Related to budget constraints this amount is not the same as the one allocated for the initial investment and operations of the new EHR solution. 12

44 Alle foretaksgruppene sine strategier innen IKT generelt og EPJ/PAS/kurve spesielt stiller krav til mer helsefaglig standardisering og standardisering av arbeidsprosesser. For Helse Midt-Norge og kommunene i Midt-Norge stilles det ekstra høye krav til arbeidet fordi Helseplattformen skal understøtte arbeidsprosesser på tvers av flere tjenestenivå og virksomheter. Helsefaglig praksis og terminologi, prosesser, rutiner og prosedyrer i primær- og spesialisthelsetjenesten skal med stor sannsynlighet forenes i samme systemløsning. Helseplattformen har sitt primære startpunkt i et kritisk behov for ny EPJ/PAS-løsning i spesialisthelsetjenesten, men en vellykket og helhetlig løsning krever også ivaretakelse av fremtidige behov og kompleksitet innen kommunale helse- og omsorgstjenester. I sum innebærer dette en stor organisatorisk omstilling og en endring av arbeidshverdagen for mange medarbeidere. Virksomhetene i Midt-Norge må samarbeide godt om denne omstillingen og det må utarbeides gode styringsmodeller for utviklings- og tilpasningsfasen og drift-/forvaltningsfasen. 5.2 Helse Nord, Helse Vest og Helse Sør-Øst: Felles plan om neste generasjon PAS/EPJ Direktoratet for e-helse vurderer at det fortsatt er grunnlag for å hevde at foretaksgruppene har mangelfull måloppfyllelse innen etablering av regionale løsninger for EPJ/PAS/kurve med oppgradert funksjonalitet. Foretaksgruppene i Nord og Vest har levert på sine planer om konsolidering til én regional EPJ/PAS-løsning med tilgang til pasientinformasjon på tvers av foretakene. Helse Nord har ikke levert på mål om å modernisere EPJ/PASløsningene til strukturert journal med prosesstøtte og beslutningsstøtte. Helse Sør-Øst har gjennomført et stort EPJ/PAS-løft ved OUS og gjennomfører standardisering av eksisterende løsninger, men har ikke gjennomført en regional konsolidering. Foretaksgruppene i Vest og Sør-Øst har hatt stor fremgang i innføring av kurveløsninger og Helse Sør-Øst har videreutviklet løsning for medikamentell kreftbehandling. Sammenlignet med situasjonen i 2015/2016 og basert på foretaksgruppenes felles plan vurderer vi at det er en samlet og fortsatt usikkerhet om planer og mål innen EPJ/PAS-modernisering i de tre foretaksgruppene og usikkerhet om videre konsolidering i Helse Sør-Øst. Vår vurdering er basert på den usikkerhet som de tre foretaksgruppene selv uttrykker knyttet til overgangen fra DIPS Classic til DIPS Arena, foreløpig tidshorisont på fellesplanen, en uavklart strategi og plan for konsolidering i Helse Sør-Øst, samt et uklart bilde av tids- og kostnadsomfanget på videreutvikling av DIPS Arena til et nivå som tilfredsstiller foretaksgruppenes krav og behov. Vi er positive til at de tre foretaksgruppene nå mener at risikoen for ferdigstillelse av DIPS Arena er redusert og at det dermed er mer sannsynlig at skifte fra DIPS Classic kan skje fra Direktoratet for e-helse er positiv til at foretaksgruppene i Nord, Vest og Sør-Øst skal arbeide mot et felles samordnet PAS/EPJ for de tre regionene med et felles grensesnitt mot nasjonale løsninger. Dette er i tråd med de anbefalinger som ble gitt i utredning av én innbygger én journal. Foretaksgruppene er tydelige på at det er usikkerhet knyttet til overgangen til DIPS Arena, og at denne usikkerheten først er nærmere avklart i første halvår Vi er enige med foretaksgruppene i at denne usikkerheten tilsier at felles planer i perioden frem til 2019 bør baseres på informasjonsdeling og erfaringsutveksling mellom selvstendige prosjekter i hver foretaksgruppe, og ikke organiseres som felles prosjekter. Vi er enige med de avgrensninger som foretaksgruppene har lagt til grunn for perioden frem til utgangen av Om utprøving og innføring av DIPS Arena fører til at én foretaksgruppe konkluderer med at den må iverksette en alternativ strategi, bør Helse- og omsorgsdepartementet vurdere å gi føringer for at de to andre foretaksgruppene involveres i arbeidet og at de i fellesskap vurderer et alternativ med en felles tilnærming. Direktoratet for e-helse vurderer at foretaksgruppenes overgang til neste generasjons PAS/EPJ ikke er oppfylt med den grunnleggende overgangen til DIPS Arena i Vi vurderer at det gjenstår tilpasning og utvikling, avhengig av hvilke ambisjoner foretaksgruppene setter seg frem mot Vi vurderer at utviklingsbehovet er særlig knyttet til utvikling av strukturert journal, inkludert nødvendig definisjon av arketyper og kliniske informasjonsmodeller, standardisering av pasientforløp, samt utvikling av mer avansert prosesstøtte og beslutningsstøtte. Dette er et utviklingsbehov som stiller større krav til samarbeid mellom IKT-funksjonene og de helsefaglige miljøene. Direktoratets forståelse er at DIPS Arena er et programvareprodukt som er tilrettelagt for tilpasning og videreutvikling. Om de tre foretaksgruppene skal lykkes med å utvikle et felles samordnet PAS/EPJ for de tre regionene vil det kreve felles styring og organisering av arbeidet. Informasjonsdeling og erfaringsutveksling er ikke forpliktende nok til å oppnå samordning og gir ikke en effektiv bruk av begrensede ressurser. Vi mener at en slikt samlet og strukturert tilnærming for videreutvikling av DIPS Arena bør planlegges av foretaksgruppene i 2018 og følges opp av Helse- og omsorgsdepartementet, slik at planen kan iverksettes så snart foretaksgruppene beslutter innføring av DIPS Arena. 13

45 Planen bør inneholde tidsangivelse for planlagt realisering av viktig funksjonalitet for helsepersonell og pasienter og inneholde kostnadsoverslag og risikovurdering. Planen bør adressere hvordan Nasjonal IKT sin rolle innen utvikling og forvaltning av arketyper og kliniske informasjonsmodeller skal videreføres, samt om det er satt av tilstrekkelige ressurser til arbeidet. Planen bør belyse hvordan dette støtter opp om samhandling på tvers av sektoren i henhold til nasjonale standarder, kodeverk og terminologi. Planen bør beskrive hvordan foretaksgruppene skal utvikle et felles grensesnitt mot nasjonale løsninger og en planlagt nasjonal EPJ/PAS-løsning for kommunale helse- og omsorgstjenester, samt klargjøre foretaksgruppenes strategi for elektronisk samhandling med avtalespesialistene. Om vi forutsetter at overgangen til DIPS Arena skjer i 2019 og at det deretter skal skje tilpasning og videreutvikling så sammenfaller det med tilsvarende fase i Helseplattformen. Et slikt sammenfall kan gi grunnlag for økt koordinering på tvers av spesialisthelsetjenesten på områder som er sentrale mht. å oppnå bedre samhandling, bl.a. innen legemiddelhåndtering, kodeverk og terminologi og helsefaglig standardisering. Hvilke muligheter og begrensninger som ligger i at spesialisthelsetjenesten har to ulike EPJ/PAS-løsningsleverandører er foreløpig uklart. De tre foretaksgruppenes felles plan har en foreløpig horisont på ett år, men tiltakene er aktuelle for flere år fremover. Planen er lite konkret på tidslinjer og resultatmål etter Vi legger til grunn at planer i Helse Nord (Fresk) og Helse Vest (HELIKS) er mer konkrete. Fellesplanen inneholder lite beskrivelse av hvilken tilstand eller verdi som helsepersonell, den mest sentrale brukergruppen, skal oppleve på ulike tidspunkt fremover i tid. Vi legger til grunn at DIPS Arena vil gi omfattende forbedringer og ny funksjonalitet når den i 2019 er klar til å erstatte DIPS Classic. Vi mener at Helse- og omsorgsdepartementet bør vurdere å etablere en fast og flerårig ekstern vurdering av hvilken tilstand og funksjonalitet som foretaksgruppene oppnår innen e-helse frem mot 2025, og spesielt innen området EPJ/PAS, kurve og medikasjon. Vurderingen kan f.eks. baseres på tjenester som tilbys av organisasjonen HIMSS (Healthcare Information and Management Systems Society). En slik måling vil også gi oss et bedre grunnlag for å sammenligne utviklingen mot helsesystemer i Norden og internasjonalt. En baseline- eller nullpunktsmåling bør gjennomføres i De tre foretaksgruppene har tatt et viktig grep når de har etablert et utvidet strategisk samarbeid med DIPS. Initiativet er foreløpig for perioden frem til en vellykket leveranse av DIPS Arena (slutten av 2018). Vi mener at foretaksgruppene i løpet av 2018 bør detaljere hvordan felles leverandørstyring skal skje fra 2019, og særlig hvordan partene skal prioritere, styre, organisere og finansiere gjenstående utviklingsarbeid. DIPS sin videre produktutvikling er avhengig av at de tre foretaksgruppene prioriterer og samordner arbeidet med å utvikle en strukturert journal som understøtter arbeidsprosesser og pasientforløp. De tre foretaksgruppene er i internasjonal sammenheng «én» svært stor kunde. Sett opp mot de tre foretaksgruppene og sammenlignet med de internasjonalt ledende selskapene er DIPS ASA et lite selskap med begrensede ressurser. Vi forstår at DIPS ASA ønsker å videreutvikle sin løsning for å være relevant og oppnå videre vekst i det internasjonale markedet, men vi vurderer at disse ambisjonene kan stå i spenn mot behovet i de tre foretaksgruppene. Foretaksgruppene har delvis ulike behov ved at Helse Sør-Øst har en uavklart konsolideringsstrategi og foretaksgruppene har gjort delvis ulike løsningsvalg for de systemene som skal være tett integrert med EPJ/PAS. Vi mener at det er spesielt viktig at det strategiske samarbeidet omfatter avklaringer av hvordan DIPS sin utvikling skal understøtte foretaksgruppenes løsningsstrategier. Foretaksgruppenes løsningsstrategier og delvis ulike løsningsvalg stiller store krav til at DIPS kan integreres med flere løsninger fra flere leverandører og at det etableres en arbeidsflate som gir helsepersonell en mest mulig effektiv arbeidshverdag med færrest mulig arbeidsflater og systemer å forholde seg til. Foretaksgruppenes felles kvalitetssikring av tilgangsstyring er et viktig tiltak som kan bidra til lik tolking av regelverk og lik praksis i løsningsutformingen på tvers av helseregionene. Dette er en tilnærming som kan anvendes på andre områder, f.eks. personvern, og bidra til målet om et mer samordnet PAS/EPJ og lik faglig praksis i de tre foretaksgruppene. Kapitlene under gir mer bakgrunn for vår vurdering Regionale løsninger for journal og pasientadministrasjon Konsolidering innebærer å redusere eller slå sammen flere selvstendige EPJ/PAS-løsninger som har samme formål og funksjon og/eller at data sentraliseres i færre eller i én database. For en pasient, som gjennom et livsløp og flere pasientforløp mottar behandling i flere foretak innenfor en foretaksgruppe, er det graden av konsolidering og fellesløsninger som langt på vei bestemmer om foretakene har ett samlet bilde av pasienten. Pasienten kan slippe å gjenta sin historie og være tryggere på at behandlende helsepersonell har relevant informasjon tilgjengelig, og dermed et bedre grunnlag for å yte god helsehjelp. Fra et fag- og virksomhetsperspektiv muliggjør konsolidering og 14

46 fellesløsninger mer og bedre samarbeid på tvers av foretak, det kan redusere tiden som går med til å innhente informasjon, det kan forhindre unødvendige gjentatte undersøkelser, og det legger til rette for bedre virksomhetsstyring. Felles systemløsninger gir grunnlag for harmonisering og standardisering av arbeidsprosesser på tvers av foretak og legger til rette for økt innsats innen reduksjon av uønsket klinisk variasjon. Fra et IKT-perspektiv kan konsolidering gi en vesentlig reduksjon i kostnader knyttet til support, vedlikehold, drift og forvaltning av selve systemløsningen, i kostnader til tilhørende database- og back-up løsninger, samt i kostnader til infrastruktur som løsningene «kjører» på. Reduksjon av antall systemløsninger kan redusere kompleksiteten i integrasjoner til andre systemløsninger, gjøre det lettere å integrere med løsninger utenfor virksomheten, og dermed lette informasjonsdeling og samhandling på tvers av helsetjenesten. Konsolidering kan også lette arbeidet med rapportering til nasjonale registre. Høy konsolideringsgrad, felles løsninger eller felles datagrunnlag på tvers av virksomheter stiller krav til sikker tilgangsstyring og løsninger som ivaretar krav til personvern og informasjonssikkerhet. I anbefalingen fra utredning av én innbygger én journal ble det lagt til grunn at foretaksgruppene i spesialisthelsetjenesten konsoliderte sine EPJ/PAS-løsninger slik at kompleksitet og kostnader til integrasjonen med en nasjonal, kommunal løsning ble redusert. Regionale løsninger i spesialisthelsetjenesten innebærer også at foretaksgruppene standardiserer terminologi og informasjonsmodeller, og det ble antatt at dette kunne legge grunnlag for lettere og mer samhandling med kommunesektoren og fastlegene. Utredningens anbefaling i 2016 var i tråd med foretaksgruppenes eksisterende strategier. Utredningen la i tillegg til grunn at spesialisthelsetjenestens løsninger også skulle omfatte avtalespesialistene. Denne muligheten har vært vurdert av flere foretaksgrupper, men har ikke vært en del av besluttede planer. Alle foretaksgruppene har lenge uttrykt ambisjoner og mål knyttet til etablering av regionale EPJ/PAS/kurve-løsninger. Regionale journalløsninger, som gir helsepersonell lettere tilgang til relevant pasientinformasjon på tvers av helseforetakene, ble likevel først lovlig i Foretaksgruppene i Nord, Vest og Midt-Norge, dvs. om lag 45 % av spesialisthelsetjenesten, hadde per 2016 etablert slike regionale løsninger. Helse Sør-Øst har gjennomført et stort EPJ/PAS-løft ved OUS, men har ikke gjennomført en regional konsolidering. Helse Sør-Øst har valgt å prioritere en standardisering av de eksisterende 9 EPJ/PAS-løsningene. Helse Sør-Øst har per nå 9 EPJ/PAS-løsninger og helsepersonell har ikke tilgang til pasientinformasjon på tvers av løsningene. Helse Sør-Øst har utarbeidet planer og kost/nytte-vurderinger for tilgang til pasientinformasjon på tvers av foretakene/løsningene og en eventuell reduksjon av antall løsninger. Planene er ikke besluttet, men direktoratet oppfatter at den mest aktuelle tilnærmingen vil bety at behandlingsansvarlig lege kan få dokumentbasert tilgang til pasientinformasjon på tvers av foretakene/løsningene innen 2020/2021, og at øvrig, relevant helsepersonell kan få tilsvarende tilgang i 2024/2025. Denne tilnærmingen kan innebære en reduksjon av antall EPJ/PAS-løsninger (DIPS) fra 9 til 3 innen Merk at foretaksgruppene i Nord, Vest og Sør-Øst i fellesskap nå vurderer hvordan tilgangsstyring til pasientinformasjon i DIPS bør håndteres. Direktoratet er ikke kjent med om dette kan endre Helse Sør-Øst sine planer eller om det kan kreve endringer av de løsningene som allerede er innført i Helse Nord og Helse Vest Modernisering av EPJ/PAS og kurve, strukturert journal med funksjonalitet for prosesstøtte og beslutningsstøtte EPJ/PAS-løsninger med kurvefunksjonalitet er virksomhetskritiske løsninger som skal sikre at pasienter møtes, behandles og følges opp og at kvalitet og pasientsikkerhet ivaretas. EPJ/PAS/kurve-løsningene er helsepersonellets daglige arbeidsverktøy hvor dokumentasjonsplikten utøves og ansvaret for pasienten og behandlingen forvaltes. Helsepersonellets arbeidshverdag og deres evne til å yte kvalitet i tjenestene er betinget av at de har brukervennlige EPJ/PAS/kurve-løsninger som gir lett og riktig tilgang til relevant pasientinformasjon og som sikrer en mest mulig effektiv utførelse av dokumentasjonsplikten. Dagens EPJ/PAS-løsninger i den norske helsetjenesten er i stor grad utviklet med utgangspunkt i helsepersonellets dokumentasjonsplikt og den enkelte virksomhets behov og ansvar. I den internasjonale litteraturen omtales EPJ/PASløsninger som er begrenset til medisinsk journalføring i én virksomhet som EMR Electronic Medical Record. Løsningsutviklingen de siste årene har gått mot EHR Electronic Health Records. EHR-løsninger, her omtalt som moderne EPJ/PAS-løsninger, er innrettet mot pasientens samlede sykdomshistorie, på tvers av de virksomhetene som har vært involvert i behandlingsforløpene, og med relevant tilgang for behandlende helsepersonell på tvers av ulike virksomheter. Moderne EPJ/PAS-løsninger tilbyr vesentlige rikere funksjonalitet for helhetlige pasientforløp, dvs. funksjonalitet for samarbeid i team, informasjonsutveksling, felles behandlingsplan, 15

47 oppgavekoordinering og ansvarsoverføring mellom helsepersonell, avdelinger og virksomheter. Løsningene tilbyr helsepersonellet prosesstøtte til utførelse av konkrete arbeidsprosesser og oppgaver. Moderne løsninger har funksjonalitet som gir medisinsk-faglig støtte til helsepersonellet (beslutningsstøtte) tilpasset behandlingssituasjonen de står i. Helsefaglige veiledere, prosedyrer og rutiner, som i dag ofte kun er tilgjengelig som dokumenter eller i egne oppslagsverk, tilbys nå som en integrert del av de moderne EPJ/PAS- og kurveløsningene. Beslutningsstøtte kan også omfatte at helsepersonell får automatiske anbefalinger, advarsler eller «alarmer», f.eks. ved fare for feilbehandling. Moderne EPJ/PAS-løsninger, har også funksjonalitet som skal sikre at pasienten og innbyggeren får lettere tilgang til sin egen informasjon, og mulighet for pasienten til å involvere seg i sitt eget behandlingsforløp, jf. «ingen avgjørelser om meg, uten meg». Dagens EPJ/PAS-løsninger i spesialisthelsetjenesten i Norge er i stor grad basert på fritekst journalføring og dokumenter. En strukturert journal kan bidra til at helsepersonell lettere kan oppfylle sin dokumentasjonsplikt, gi høyere kvalitet i registreringen og effektivisere innhenting av data fra medisinteknisk utstyr og andre kliniske IKTsystemer. Strukturert journal er en forutsetning for å tilby beslutningsstøtte og det gir nye muligheter til raskere utveksling og utnyttelse av data i ytelse av helsehjelp, men også for formål innen helseanalyse, forskning og virksomhetsstyring. Strukturerte data kan gjøre det lettere og raskere for helsepersonell å få oversikt over tilstanden til hver pasient, identifisere pasienter for aktiv oppfølging og vurdere behov for forebygging. I anbefalingen fra utredning av én innbygger én journal ble det lagt til grunn at foretaksgruppene i spesialisthelsetjenesten skulle modernisere sine EPJ/PAS-løsninger. Løsningene skulle tilby strukturert informasjonsbehandling og tilby prosesstøtte og beslutningsstøtte. Utredningen la til grunn at en slik modernisering ville øke mulighetene for bedre informasjonsutveksling og samhandling med kommunesektoren og fastlegene, men det forutsatte et tett samarbeid mellom tiltaket i kommunesektoren og spesialisthelsetjenesten. Utredningens anbefaling i 2016 var i tråd med de gjeldende regionale strategiene. Regionale planer tilsa at foretaksgruppene i Nord, Vest og Sør-Øst skulle bygge videre på eksisterende investeringer og løsninger og gjennomføre en modernisering innen 2020/2021 gjennom en oppgradering til DIPS Arena og innføring av nye kurveløsninger. Alle foretaksgruppene har lenge uttrykt ambisjoner og mål knyttet til å innføre kliniske IKT-løsninger med strukturert informasjon og med funksjonalitet for prosesstøtte og beslutningsstøtte. I 2009 satte Helse Nord i gang en anskaffelsesprosess for modernisering av kliniske systemer. Målsettingen var å bygge en konsolidert og standardisert systemportefølje for regionen, som bl.a. skulle inneholde fremtidens teknologi for strukturerte journaler og beslutningsstøtte. Programmet FIKS skulle i perioden levere løsningene og i forbindelse med RHF komparativ analyse i 2014 var rapporteringen fra Helse Nord at målene skulle være oppfylt i 2016/2017. FIKS-programmets mål om utvikling og innføring av DIPS Arena er ikke oppnådd. Helse Nord vil fra 2018 videreføre sitt utviklingsarbeid i program Fresk med prosjekter knyttet til innføring av kurve (MetaVision), DIPS Arena, strukturert journal og pasientforløp. I ekstern kommunikasjon opplyses det at programmet er 5-årig, med en økonomisk ramme på 450 millioner kroner. Helse Vest satte sine sentrale IKT-mål i strategiplanen Helse2020, vedtatt i 2011, og i Teknologiplanen for , vedtatt i Ett av hovedmålene var å oppnå kliniske IKT-system i strukturert form og innen 2015 skulle det tas i bruk kliniske informasjonsmodeller, prosess- og beslutningsstøtte. I samme periode skulle det innføres et helhetlig system for kurve og medikasjon. Planene ble senere justert med en tidsplan for innføring av DIPS Arena innen 2018 og anskaffelse av kurveløsning innen Kurveløsningen skulle integreres med EPJ og inngå som en integrert del av den regionale EPJ-løsningen. Helse Vest planlegger nå pilotering av basisfunksjonalitet i DIPS Arena i slutten av 2018, med påfølgende utrulling fra 2. kvartal I Helse Sør-Øst sin strategi fra 2012, med handlingsplan frem til 2016, var de relevante moderniseringsmålene knyttet til innføring av en regional PAS/EPJ-løsning på ST, SØ, OUS og psykiatrien ved SIV. Et sentralt tiltak i arbeidet var ny felles PAS/EPJ for OUS og overgangen fra Siemens DocuLive til DIPS. Ytterligere regional standardisering av PAS/EPJ skulle skje fra Regionaliseringen er ikke gjennomført, men standardisering av de 9 selvstendige løsningene skal være sluttført i midten av Innen kurve var målet å innføre en felles regional kurveløsning i alle helseforetak som inkluderer intensiv og operasjonsenheter og sengeposter/intermediær-avdelinger. Utover kontinuerlig forbedring av løsningene har foretaksgruppene i Nord, Vest og Sør-Øst ikke gjennomført en modernisering av EPJ/PAS-løsningene. Direktoratet for e-helse definerer ofte funksjonalitet for kurve og medikasjon som en del av EPJ-begrepet. Innføring av regionale kurveløsninger i Helse Nord, Helse Vest og Helse Sør-Øst er i 16

48 ulike faser av innføring og anskaffelse. Gjeldende planer tilsier at Meona-løsningen i Vest skal være innført innen 2019, MetaVision løsningen skal være innført i Helse Nord innen 2022 og valgt løsning i Helse Sør-Øst skal være innført innen 2022 (eksisterende MetaVision-løsning er innført i halve foretaksgruppen). Direktoratet kjenner ikke til hvor tett integrasjonen vil være mellom kurveløsningene og DIPS-løsningene. Tett og god integrasjon er svært sentralt for helsepersonellet, bl.a. for å unngå eller redusere behovet for dobbeltregistrering, men også for å sikre oppfyllelse av dokumentasjonsplikten. I Helse Midt-Norge inngår regional kurveløsning i Helseplattformen. Modernisering av EPJ/PAS-løsningene i de tre foretaksgruppene er knyttet til oppgradering eller overgang til DIPS sin siste programvareversjon, DIPS Arena. I de tre foretaksgruppenes felles plan forklares forsinkelsen med to års forsinkelse fra DIPS sin side. Denne tidsangivelsen er knyttet til forventning om at DIPS Arena versjon 18.1 leveres medio 2018 og at det er først på denne versjonen at eksisterende DIPS-versjon (Classic) kan skiftes ut. Vellykket pilotering i 2017 og 2018 vil bety at skiftet fra Classic til Arena kan skje fra Fellesplanen sier ingenting om hvor lang tid det forventes å ta. I videre oppfølging bør det skilles mellom den «tekniske» overgangen til Arena, dvs. at Classic skiftes ut og at helsepersonellet har én arbeidsflate å forholde seg til, og den utviklingen som gjenstår før løsningen kan defineres som en «strukturert journal med prosesstøtte og beslutningsstøtte», som oppfyller foretakenes krav og behov. Den «tekniske» overgangen kan forhåpentligvis gjennomføres relativt raskt, for eksempel i løpet av Hva som deretter er behovet for videreutvikling er uklart for direktoratet. I Helse Nord sine dokumenter for program Fresk er dette illustrert med at utfasing av Classic er planlagt ferdigstilt innen medio 2019, mens gjennomføringsfasen for innføring av DIPS Arena er planlagt frem til Vi vurderer at det er uklart hva som gjenstår av tilpasning og utvikling før DIPS Arena kan sies å være, iflg. DIPS, «et journalsystem i verdensklasse» med strukturert journal, prosesstøtte og beslutningsstøtte. Vi er også usikre på hvilken del av videreutviklingen DIPS vil stå for og hvilken egenutvikling de tre foretaksgruppene selv må gjøre. Dokumentasjon fra Program Fresk i Helse Nord illustrerer dette: «Innføringsprosjektet for DIPS Arena har frem til medio 2019 som primært mål å fase ut DIPS Classic og erstatte denne med DIPS Arena, da med et omfang som inkluderer funksjonalitet levert av leverandøren (enkelte strukturerte dokument, enklere form for prosess- og beslutningsstøtte). Når hele regionen er løftet over til Arena kan man gå i gang å innføre mer avansert funksjonalitet som gir høyere grad av strukturering, forløp og prosess- og beslutningsstøtte. Hvordan videre innføring skal organiseres må vurderes når vi har mer kompetanse og oversikt over hva DIPS Arena blir etter versjon 18.2 i 2018.» Gjenstående utvikling og tilpasning av DIPS Arena er avhengig av hvilke ambisjoner foretaksgruppene setter seg frem mot 2025, særlig innen utvikling av strukturert journal, inkludert nødvendig definisjon av arketyper og kliniske informasjonsmodeller, standardisering av pasientforløp, samt utvikling av mer avansert prosesstøtte og beslutningsstøtte. Direktoratets forståelse er at DIPS Arena er et programvareprodukt som er tilrettelagt for tilpasning og videreutvikling. Om de tre foretaksgruppene skal lykkes med å utvikle et felles samordnet PAS/EPJ for de tre regionene vil det kreve felles styring og organisering. Dokumentasjon fra Program Fresk i Helse Nord illustrerer denne situasjonen: «Teknologien som er valgt for DIPS Arena vil gi systemeier/ brukere stor fleksibilitet med hensyn til å tilpasse teknologistøtte for arbeidsprosesser. Dette legger imidlertid også betydelige arbeidsoppgaver på kunde/brukersiden, som å konfigurere systemet og definere innholdet. Arena legger til rette for strukturert journal, men det vil kreve betydelig innsats å strukturere opp informasjonselementene som pr i dag er fritekst i DIPS Classic.» 5.3 Nasjonal løsning for kommunale helse- og omsorgstjenester I utredning av én innbygger én journal ble det anbefalt et nasjonalt målbilde og et startpunkt i kommunesektoren. Helse- og omsorgsdepartementet har gitt Direktoratet for e-helse i oppdrag å utarbeide et beslutningsunderlag for etablering av en nasjonal løsning for kommunale helse- og omsorgstjenester, inkludert fastlegene, med integrasjon til spesialisthelsetjenesten. Kommunene og fastlegene i Midt-Norge er utenfor omfanget. Direktoratet har i 2017 jobbet tett med 44 kommuner med utgangspunkt i Tromsø, Bergen, Kristiansand og Bærum. Kommunenes selvstendige behov innen helse og mellom helsetjenesten og andre kommunale tjenesteområder, samt samhandlingsbehov med spesialisthelsetjenesten, er gjennomgått i mye mer detalj enn hva utredningen i tillot. Direktoratets vurdering er at behovet for ny EPJ/PAS-løsning er stort og at flere trekk i samfunnsutviklingen tilsier at kommunenes behov vil øke vesentlig. Foreløpig fremstår kommunenes behov å være konsistent på tvers av geografi, størrelse og variasjoner i organisasjonsform. Vurderingene vil fortsette i

49 En realisering av en nasjonal løsning for kommuner og fastleger forutsetter tett samarbeid mellom nasjonale myndigheter, KS og kommunene. Løsning krever etablering av modeller for styring, organisering og finansiering som det er lite praksis for. Etablering av en nasjonal løsning innebærer en omstilling fra at ansvar og utførelse har vært håndtert av hver enkelt kommune til at kommunene skal få levert løsningen som en tjeneste fra en nasjonal tjenesteleverandør. Kommunene må etablere en styringsstruktur som sikrer at kommunene samlet kan opptre som én «kunde» og «bestiller». En nasjonal løsning, med tilhørende investering, vil sannsynligvis også innebære regulering av plikt til å bruke. Direktoratet vil i 2018 jobbe sammen med KS og kommunene for å utarbeide anbefalinger knyttet til styring, organisering og finansiering. Kommunene har et stort selvstendig behov og et stort potensiale for bedre samhandling mellom ulike kommunale enheter og tjenestenivå. I tillegg må løsningen bidra til bedre samhandling med spesialisthelsetjenesten. Dagens tekniske løsninger for samhandling er ikke tilstrekkelige og må videreutvikles for å sikre bedre pasientflyt og samarbeid i pasientforløpet. Direktoratet for e-helse, KS og kommunesektoren vil i 2018 fortsette arbeidet med spesialisthelsetjenesten for å vurdere ulike former for teknisk integrasjon. En nasjonal EPJ/PAS-løsning for kommunale helse- og omsorgstjenester utfordrer dagens leverandørmarked. Erfaringen fra arbeidet med Helseplattformen i Midt-Norge er at det er stort sammenfall i behov og krav mellom primær- og spesialisthelsetjenesten. Dette gir et godt utgangspunkt for at kommunene kan mobilisere leverandører som i hovedsak har fokusert på spesialisthelsetjenesten. Direktoratet vurderer likevel fortsatt at kommunene har en selvstendig kompleksitet og behov som vil kreve nyutvikling og tilpasning fra leverandørenes side. Ovenstående usikkerhet og risiko skal jobbes videre med i 2018 som del av et beslutningsunderlag. Foreløpig tidsplan har som ambisjon at en anskaffelse kan iverksettes i

50 6 Felles plan for utvikling av nye tjenester og løsninger De fire foretaksgruppene har for dette oppdraget valgt å levere et sammendrag av eksisterende prosjektportefølje som forvaltes av Nasjonal IKT HF, inkludert samarbeidsprosjekter med Direktoratet for e-helse. Planen gir med andre ord ingen nye forslag til mulige felles tiltak og nye løsninger, men det vises til årlige masterplanprosesser hvor nye ideer og forslag vurderes. Foretaksgruppenes beskrivelse av rammebetingelser og utfordringer tilsier at vi ikke kan forvente økt grad av felles samordning og strategiske felles prosjekter i spesialisthelsetjenesten. Direktoratet for e-helse står fast ved sin vurdering i 1. juli rapporten om samarbeid og felles prosjekter i spesialisthelsetjenesten og status for Nasjonal IKT sin rolle. Direktoratet for e-helse hadde ønsket å kunne forholde til én samlet og strategisk koordinerende funksjon for spesialisthelsetjenesten. Nasjonal IKT har ikke det ansvaret og de fullmaktene i dag, og har foreløpig ikke en strategisk og koordinerende rolle i prosjekter knyttet til videreutvikling av EPJ/PAS. For disse strategiske prosjektene må direktoratet forholde seg til hver enkelt foretaksgruppe. Nasjonal IKT bør utarbeide en beskrivelse av hvordan Nasjonal IKT sine fagfora kan samspille bedre med de fagforum som er etablert i den nasjonale styringsmodellen. I nasjonal styringsmodell er det etablert nasjonale fora og prosesser som foretaksgruppene er sentrale aktører i. Det savnes en beskrivelse av hvordan samordningsaktiviteter på tvers av regionene spiller sammen med den nasjonale styringsmodellen og hvordan dette bidrar til en effektiv ressursutnyttelse. Tilsvarende er det i Felles plan for utvikling av nye tjenester og løsninger beskrevet standardiseringsinitiativ på tvers av de regionale helseforetakene uten at dette reflekterer hvordan de forholder seg til implementering og utvikling av nasjonale standarder. De regionale helseforetakene sin felles plan er utydelig på roller og ansvar sett i forhold til standardisert utveksling av klinisk og administrativ informasjon og felles kliniske informasjonsmodeller. Standardisert utveksling av informasjon er i denne sammenhengen ensbetydende med samhandling mellom virksomheter som yter helsetjenester. Direktoratet for e-helse har i dag det overordnede ansvaret for dette. Gjennom samarbeid med direktoratet og deltakelse i HL7 Norge får sektoren anledning til å bidra i dette arbeidet. HL7 FHIR er omfattet av dette. Beskrivelse av felles kliniske informasjonsmodeller er i denne sammenhengen knyttet til løsninger som baseres på openehr standarden og utvikling av arketyper. Direktoratet for e-helse stiller ikke krav til bruk av en spesifikk standard for dette formålet og dette er et standardiseringsarbeid som vi oppfatter er sterkt knyttet til utvikling av en strukturert pasientjournal og beslutningsstøtte i Helse Nord, Helse Vest og Helse Sør-Øst. Det bør belyses hvordan de tre foretaksgruppenes valg av standard for strukturert journal påvirker muligheter og kostnad for samhandling på tvers av helsetjenesten. Vi forventer at foretaksgruppene og Nasjonal IKT vil vurdere hvordan videre arbeid med kliniske informasjonsmodeller og arketyper, basert på de standarder som DIPS har valgt, skal organiseres og sikres en fremdrift som understøtter de tre foretaksgruppenes behov og mål for modernisering av EPJ/PAS. Samarbeidet i spesialisthelsetjenesten de neste årene forventes å skje på flere arenaer: Felles prosjekter i regi av Nasjonal IKT. Mulighetsrommet og omfanget fremstår som svært begrenset frem mot 2022, sett i lys av foretaksgruppenes totale årlige investeringer på mellom 2 og 2,5 milliarder kroner og den felles planen som er fremlagt. Porteføljen vil omfatte prosjekter der foretaksgruppenes respektive strategi- og løsningsvalg ikke er et hinder, fellesaktiviteter i regionale prosjekter (f.eks. Digital patologi) og prosjekter innen helt nye løsningsområder. Bi-lateralt samarbeid. Samarbeid som oppstår i regi av 2-3 foretaksgrupper eller gjennom oppdrag fra Helse- og omsorgsdepartementet. Her inngår samarbeidet om felles EPJ/PAS-utvikling mellom Helse Nord, Helse Vest og Helse Sør-Øst og samarbeidet mellom Helse Nord og Helse Sør-Øst om MetaVision (kurve). Direktoratet 19

51 er ikke kjent med om Helse Midt-Norge og Helse Sør-Øst sin parallelle satsing på infrastruktur og løsning for forskning kan være et samarbeidsområde. Samarbeid med Direktoratet for e-helse og en fremtidig nasjonal tjenesteleverandør. Samarbeid knyttet til videreutvikling og innføring av nasjonale løsninger, felles infrastruktur og grunnmurskomponenter, standarder, kodeverk og terminologi, samt bidrag fra spesialisthelsetjenesten i nasjonale prosjekter som Helsedataprogrammet, Én innbygger-én journal og nytt folkeregister. Samarbeid gjennom felles eide selskaper. I Helseplattformen i Midt-Norge er de øvrige foretaksgruppene representert med en observatør i Helseplattformens programstyre. 20

52 7 Anbefalinger til Helse- og omsorgsdepartementet Helse- og omsorgsdepartementet bør for 2018 gi foretaksgruppene Nord, Vest og Sør-Øst i oppdrag å lage en felles plan for videreutvikling av foretaksgruppenes EPJ/PAS-løsning etter at den grunnleggende overgangen fra DIPS Classic er gjennomført. Planen bør konkretisere fremdriften mot et felles samordnet PAS/EPJ for de tre regionene og inneholde tidsangivelse for planlagt realisering av viktig funksjonalitet for helsepersonell og pasienter samt inneholde kostnadsoverslag og risikovurdering. Planen bør adressere hvordan Nasjonal IKT sin rolle innen utvikling og forvaltning av arketyper og kliniske informasjonsmodeller skal videreføres, samt om det er satt av tilstrekkelige ressurser til arbeidet. Planen bør beskrive hvordan foretaksgruppene skal utvikle et felles grensesnitt mot nasjonale løsninger og en planlagt nasjonal EPJ/PAS-løsning for kommunale helse- og omsorgstjenester, samt klargjøre foretaksgruppenes strategi for elektronisk samhandling med avtalespesialistene. Bakgrunn for anbefalingen er at vi vurderer at overgangen til neste generasjons PAS/EPJ og strukturert journal med prosesstøtte og beslutningsstøtte ikke er oppfylt gjennom den grunnleggende overgangen til DIPS Arena i Vi vurderer at det gjenstår tilpasning og utvikling, avhengig av hvilke ambisjoner foretaksgruppene setter seg frem mot 2025, særlig innen innføring av strukturert journal, standardisering av pasientforløp, prosesstøtte og beslutningsstøtte. Om de tre foretaksgruppene skal lykkes med å utvikle et felles samordnet PAS/EPJ for de tre regionene vil det kreve felles styring og organisering av arbeidet. Informasjonsdeling og erfaringsutveksling er ikke forpliktende nok til å oppnå samordning og gir ikke en effektiv bruk av begrensede ressurser. Helse- og omsorgsdepartementet bør vurdere å etablere en fast og flerårig ekstern vurdering av hvilken tilstand og funksjonalitet som foretaksgruppene oppnår innen e-helse frem mot 2025, og særlig innen området EPJ/PAS, kurve og medikasjon. Vurderingen kan f.eks. baseres på tjenester som tilbys av organisasjonen HIMSS (Healthcare Information and Management Systems Society). En slik måling vil også gi oss et bedre grunnlag for å sammenligne utviklingen mot helsesystemer i Norden og internasjonalt. En baseline- eller nullpunktsmåling bør gjennomføres i Helse- og omsorgsdepartementet bør gi foretaksgruppene i oppgave å rapportere relevant status, fremdrift og risiko i foretaksgruppenes strategiske IKT-prosjekter til Direktoratet for e-helse. Rapporteringen innebærer ingen endring av styring og ansvarslinjer for prosjektene. Bakgrunn for anbefalingen er at realisering av nasjonale e-helse mål og videreutvikling av nasjonale løsninger har stor avhengighet til fremdriften i foretaksgruppenes strategiske IKTprosjekter. Kunnskap om fremdrift og risiko i foretaksgruppenes strategiske IKT-prosjekter vil gi Direktoratet for e- helse et bedre grunnlag til å følge med og administrere den nasjonale prosjektporteføljen, fasilitere de årlige nasjonale prioriteringene og vurdere fremdrift i realisering av de nasjonale e-helse målene. Om utprøving og innføring av DIPS Arena i Helse Nord, Helse Vest og Helse Sør-Øst fører til at én foretaksgruppe konkluderer med at den må iverksette en alternativ strategi, bør Helse- og omsorgsdepartementet vurdere å gi føringer for at de to andre foretaksgruppene involveres i arbeidet og at de i fellesskap vurderer et alternativ med en felles tilnærming. For å bidra til gjennomføringsevne og en kostnadseffektiv utvikling bør Helse- og omsorgsdepartementet følge opp anbefalingene gitt i rapportene om IKT-organisering og Finansieringsmodeller (levert november 2017). 21

53 8 Vedlegg I vurdering av måloppfyllelse innen IKT for perioden har Direktoratet for e-helse lagt til grunn foretaksgruppenes egenevaluering av resultatmål fra Måloppfyllelsen er høy, men er ikke godt egnet til å sammenligne på tvers av foretaksgruppene fordi resultatmålene er på ulikt nivå, har varierende tidshorisont og er i ulik grad målbare. Tabellen under beskriver de mest sentrale variasjonene i måloppfyllelse sammenlignet med resultatmålene fra 2014: Helse Nord Resultatmål Status (juni 2017) Utvikle den elektroniske pasientjournalen til å kunne vise tidslinje og pasienthistorikk intuitivt, samt utvikle løsning for prosess- og beslutningsstøtte. Utvikle og etablere elektronisk rekvirering av laboratorietjenester fra fastlegen til sykehus og bygge ut med henvisningstjeneste Helse Midt-Norge Resultatmål Status (juni 2017) Bytte ut elektronisk pasientjournal og pasientadministrativt system og flere tilstøtende tiltak. Videreføre arbeidet med standardiserte pasientforløp Gjennomføre kompetanseløft for bruk av kliniske systemer og bidra til grunnleggende IKT-utdanning av helsepersonell. Etablere en ny løsning for laboratorietjenestene inklusiv anskaffelse av nytt felles produksjonssystem Etablere tjeneste og plattform for IKT-støtte til forskning. Samordne prioritering av MTU og IKT Etablere regional praksis og standard for arkitektur Helse Vest Resultatmål Status (juni 2017) Ta konsekvens av teknologikonvergering (IKT/MTU/tele/audio/video/signal) Konsolidere prosesser for RIS/PACS og bildelagring Innføre system for kurve og medikasjon Helse Sør-Øst Resultatmål Status (juni 2017) Etablere og innføre regional PAS/EPJ-løsning på ST, SØ, OUS og psykiatrien ved SIV Ikke oppfylt. Utsatt pga. forsinket DIPS Arena. Utført arbeid knyttet til standardisering av rutiner og prosedyrer for pasientadministrasjon. Delvis oppfylt. Lab-rekvisisjon er på plass. Henvisning og beslutningsstøtte for henvisning er ikke på plass. Gjenstår noen prinsipielle avklaringer knyttet til fritt behandlingsvalg. Endrede planer. Opprinnelig plan var at ny EPJ/PAS-løsning skulle være på plass i Helseplattformen, en planlagt felles løsning på tvers av fastleger, kommuner, spesialisthelsetjenesten o.a. er i anskaffelse og har første planlagte innføringsfase i Delvis oppfylt. Ny løsning er innført for kreftforløp og nye forløp er under planlegging. Fremdrift kan bli påvirket av Helseplattformen. Ikke oppfylt / endrede planer. Tiltaket er ikke gjennomført og forutsettes som del av arbeidet med Helseplattformen. Ikke oppfylt. Planlagt kontraktinngåelse i 2. kvartal 2018 og innføring ferdig i Ikke oppfylt. Besluttet gjennomført og deler av løsning skal være på plass i Tiltak som vil gå over flere år, samkjørt med Helseplattformen. Delvis oppfylt. Utredningsarbeid pågår. Delvis oppfylt. Plan er utarbeidet. Delvis oppfylt. Tele og signal er samlet i en organisatorisk enhet. Samarbeid mellom IKT og MTA innen informasjonssikkerhet. Delvis oppfylt. Digitalt mediearkiv er innført for bilder og video for fagområder utenfor radiologi. Igangsatt konsolidering av RIS/PACS. Delvis oppfylt. Innføring av ny kurveløsning pågår. Delvis oppfylt. Gjennomført standardisering av løsninger, men fortsatt lokale 22

54 Innføring av felles regional kurveløsning i alle helseforetak som inkluderer intensiv og operasjonsenheter og sengeposter/intermediær-avdelinger Innføring av helhetlig elektronisk medikasjonstjeneste Etablere integrasjoner mot alle kliniske systemer og nasjonale databaser som inneholder medikasjons-informasjon Innføre nytt regionalt system for RIS/PACS Innføre nytt felles regionalt IKT-system for generell laboratoriemedisin, mikrobiologi, patologi og immunologi/transfusjonsmedisin Elektronisk kommunikasjon mellom helseforetak Publikumsportaler / Helsenorge.no Gjennomføre konsolidering og modernisering av datasentre, nettverk, server, lagringsløsninger og driftskonsept Gjennomføre rasjonalisering av applikasjonsportefølje løsninger. Delvis oppfylt. Gjennomført for halve regionen, dvs. den delen som kan utnytte eksisterende leverandøravtale. Anskaffelse pågår og forventes sluttført innen første halvår Delvis oppfylt. Gjennomført for halve regionen. Delvis oppfylt. Gjennomført for halve regionen. Ikke oppfylt. Under innføring ved SI. Innført PACS på AHUS. Delvis oppfylt. Innført i SØ. Vedtatt plan for regional innføring. Ikke oppfylt. Delvis oppfylt. Besluttet bruk av helsenorge.no. Pågår overføring av tjenester fra minjournal.no til helsenorge.no. Innføring av journalinnsyn planlagt første halvår Ikke oppfylt. Gjennomført anskaffelse og hadde iverksatt prosess for virksomhetsoverdragelse til ekstern leverandør, med planer for stegvis konsolidering og modernisering frem mot Tiltaket er foreløpig stilt i bero som følge av risiko knyttet til tilgangsstyring og tilgang til helseopplysninger. Delvis oppfylt. Vesentlig rydding gjennomført. Ytterligere rasjonalisering inngår som del av program for Digital fornying og infrastrukturmodernisering. 23

55 Besøksadresse Verkstedveien Oslo Postadresse Postboks 6737 St. Olavs plass 0130 OSLO postmottak@ehelse.no ehelse.no 24

56 Til Dato Saksnr. Type Møte 5/ /17 Orientering Fra Saksbehandler Christine Bergland Robert Nystuen Vedlegg Notat 5 Tilleggsoppdrag 4, Informasjonssikkerhet ved bruk av private leverandører Forslag til vedtak Nasjonalt e-helsestyre tar rapporten til orientering Bakgrunn Hensikten med saken er å gi en orientering om oppdrag med å gjennomgå informasjonssikkerhet ved bruk av private underleverandører i helse- og omsorgstjenesten, og presentere viktigste funn og konklusjoner i rapporten. Oppdraget Direktoratet for e-helse har i Tillegg til tildelingsbrev nr informasjonssikkerhet ved bruk av private leverandører av 9. juni 2017 fått i oppdrag fra Helse- og omsorgsdepartementet å gjennomgå informasjonssikkerhet ved bruk av private underleverandører i helse- og omsorgssektoren. Oppdraget omfattet følgende leveranser: 1. Identifisere og foreslå gode rutiner for å sikre at de til enhver tid gjeldende krav til informasjonssikkerhet ved bruk av private leverandører etterleves. 2. Utarbeide en overordnet status for bruk av nasjonale og internasjonale leverandører av tjenester som kontinuerlig eller episodisk arbeider inn mot virksomhetens datasystemer og under hvilke betingelser dette skjer. 3. Utarbeide et sett med kriterier eller betingelser som bidrar til at denne formen for tjenester skjer på en ansvarlig måte og i tråd med de til enhver tid gjeldende krav. 4. Vurdere om det er tjenester som ikke bør overlates til private underleverandører. Dette omfatter å se på hvilke situasjoner og hvordan det eventuelt bør og kan skilles mellom norske, EØS-baserte og globale underleverandører, herunder behovet for å se på forholdet mellom helsetjenesten og sikkerhetsloven. I tråd med føringer fra Helse- og omsorgsdepartementet (HOD) har Direktoratet for e-helse invitert representanter fra spesialisthelsetjenesten, primærhelsetjenesten, andre relevante helsetjenesteaktører

57 og helseforvaltningsorganer som behandler pasientinformasjon til å delta i arbeidet. I tillegg er sentrale kompetansemiljøer som Nasjonal sikkerhetsmyndighet, Datatilsynet, fagorganisasjoner, tillitsvalgte og brukerorganisasjoner samt representanter for IKT-næringen invitert til å gi innspill. Funn og konklusjoner Rapporten ble lansert og oversendt HOD Noen av de viktigste funnene og konklusjonene i rapporten er: Direktoratet for e-helse mener at det ikke er grunnlag for å konkludere med at noen typer tjenester aldri kan overlates til private leverandører. I gjeldene rett er det ikke noe forbud mot at norske virksomheter benytter nasjonale eller utenlandske, private leverandører fra EU/EØSområdet. Ved bruk av globale leverandører (utenfor EU/EØS) er det særskilte krav som må oppfylles. Det må alltid foretas en risikovurdering av alle tjenester som kan gi tilgang til pasientinformasjon. Risikovurdering og varsling etter sikkerhetsloven 29 a om kritisk infrastruktur må gjennomføres der det er relevant, og dette må vurderes ved større IKTprosjekter. Direktoratet for e-helse mener at helse- og omsorgssektoren generelt må ha en relativt lav risikoappetitt. Tillit fra innbyggerne til at helse- og omsorgssektoren behandler helseopplysninger på en sikker måte, er en forutsetning for å lykkes med digitalisering. Rapporten foreslår en rekke kriterier og rutiner som bør følges for å sikre pasientinformasjon ved bruk av private leverandører. Noe av det viktigste som virksomhetene i sektoren må ha på plass er: o o o God og reell ledelsesforankring og styring må sikres. Virksomheten må ha en helhetlig styringsmodell med klarhet i ansvar og roller knyttet til informasjonssikkerhet, herunder forholdet til private leverandører. Det er behov for bedre ledelsesforankring. Dette må underbygges av gode prosesser som anvendes aktivt i den totale virksomhets-styringen. Når tjenester overlates til private leverandører må det foretas en helhetlig risikovurdering slik at den totale risikoen kommer frem og rapporteres til ledelsen. Risikovurdering og tiltak må ta høyde for de begrensinger som finnes i nåværende, eldre og komplekse tekniske løsninger. Det er viktig med både periodisk oppfølging og nye risikovurderinger når det gjøres endringer i tjenesten eller leveransestrukturen. Nødvendige risikodempende tiltak må ha tilstrekkelig finansiering. Virksomheten må ha tilstrekkelig kompetanse, kapasitet og struktur for å ivareta sitt ansvar for informasjonssikkerhet og personvern når private leverandører benyttes. Bestillerkompetansen må være god i alle faser, fra kravstilling i planleggings-og anskaffelsesfasen til leverandøroppfølging i driftsfasen. Ledelsen, inkludert styret, må ha tilstrekkelig kompetanse for å utøve reelle styring og kontroll også på dette området. Rapporten peker på at flere tiltak må gjennomføres sentralt. De viktigste er: o Avklaring av databehandlingsansvar mellom regionale helseforetak og helseforetak Databehandlingsansvaret ligger i dag på den enkelte virksomhet, som for eksempel et helseforetak. Dette skaper uklarhet i styring og ansvar ved anskaffelser og innføring av regionale løsninger og ved løsninger på tvers av sektoren. Det må utredes om databehandlingsansvaret slik det er i dag er forenlig med strategier for etablering av fellesløsninger i helse-og omsorgssektoren. Det bør særskilt vurderes om det er behov for regulering av felles databehandlingsansvar eller fordeling av dette ansvaret mellom Notat side 2 av 3

58 regionale helseforetak og helseforetakene de eier. Det er viktig å få gjennomført dette arbeidet så raskt som mulig, da dagens kompliserte ansvarsforhold påvirker og forsinker arbeidet med digitalisering i helse-og omsorgssektoren. o o Det er behov for å oppdatere Norm for informasjonssikkerhet i helse-og omsorgstjenesten slik at denne blir et bedre verktøy tilpasset alle brukergruppene. Konkret omfatter dette bl.a Tilpasning til GDPR (pågår) Oppdatere rutiner og maler for å understøtte komplekse leverandørstrukturer og leveransmodeller (erfaring andre sektorer) Rutiner for helthetlig risikostyring Nasjonal standard for tilgangsstyring (private leverandører) Standardiserte databehandleravtaler For å styrke kompetanseheving innen IKT-sikkerhet og risikovurdering på styre- og ledelsesnivå anbefales det etablering av et forum for beste praksis i bransjen for kompetanseheving innen områder som IKT-sikkerhet, risikovurdering og sikkerhetskultur. Notat side 3 av 3

59 Informasjonssikkerhet ved bruk av private leverandører i helse- og omsorgstjenesten EI-1012 IE

60 Publikasjonens tittel: Informasjonssikkerhet ved bruk av private leverandører i helse- og omsorgstjenesten Rapportnummer IE-1012 Utgitt: Desember 2017 Utgitt av: Direktoratet for e-helse Kontakt: postmottak@ehelse.no Postadresse: Postboks 6737 St. Olavs plass, 0130 OSLO Besøksadresse: Verkstedveien 1, 0277 Oslo Tlf.: IE-1012

61 Forord Helse- og omsorgsdepartementet ga i juni 2017 Direktoratet for e-helse i oppdrag å gjennomgå informasjonssikkerheten ved bruk av private leverandører i helse- og omsorgssektoren (Tillegg til tildelingsbrev nr. 4, datert ) og levere en rapport innen 1. desember Helse- og omsorgstjenesten er avhengig av private leverandører innen IKTområdet, og sektoren ønsker at sikkerhetsutfordringen løses i fellesskap, i tråd med EU/EØS-krav og beste standard internasjonalt. I rapporten gis det en overordnet status for bruk av private IKT-leverandører innen helse- og omsorgssektoren, basert på den informasjon sektoren selv har frembragt. I rapporten er det gitt forslag til kriterier og rutiner som kan danne grunnlag for det videre arbeidet med informasjonssikkerhet ved bruk av private leverandører. Forslagene bygger på innspill fra et bredt spekter av relevante aktører. Synspunkter på om det er tjenester som ikke bør settes ut og synspunkter på forholdet mellom helsetjenesten og sikkerhetslovgivning er omtalt i egne kapitler i rapporten. Det gis videre anbefalinger for hvordan kravene til informasjonssikkerhet bedre kan etterleves, basert på fagkompetanse i Direktoratet for e-helse, innspill fra helse- og omsorgssektoren, kompetansemiljøer og IKT-leverandører til helse- og omsorgssektoren, samt fra fag- og pasientorganisasjoner. Informasjon er i tillegg hentet fra noen parallelle initiativer, pågående prosjekter og annet tilgjengeliggjort referansemateriale. Rapporten er ikke en kontroll- eller tilsynsrapport. Den skal bidra til at personvern og informasjonssikkerhet ivaretas, samtidig som leverandørsamarbeidet videreutvikles. Godt leverandørsamarbeid oppnås gjennom klarhet i hvilke forutsetninger som gjelder relatert til juridiske, avtalemessige og tekniske forhold. Et stort antall aktører fra helse- og omsorgssektoren, kompetansemiljøer, fagog pasientorganisasjoner og IKT-næringen har deltatt i prosessen. Det er også mottatt faglig nyttig innspill fra andre sektorer og vi takker Finanstilsynet, Telenor og Statoil for den informasjonen og erfaring de har delt med oss. Vi takker alle deltagere for et stort engasjement, og spesielt de regionale helseforetakene. Vi anbefaler at dialogen videreføres med aktørene i det etterfølgende arbeidet. Oslo, 1. desember 2017 IE

62 Innhold 1 SAMMENDRAG 6 2 BAKGRUNN OG FORMÅL Aktørene og prosessen underveis IKT-tjenesteområder dekket i rapporten Basisdrift Applikasjonsdrift Applikasjonsforvaltning Applikasjonsutvikling og -innføring 14 3 JURIDISKE VURDERINGER OG TEKNOLOGISKE TRENDER Juridiske vurderinger Oppsummering av hovedpunktene Ansvar for informasjonssikkerhet og behandling av personopplysninger Om bruk av private leverandører personvernperspektiv Anskaffelsesrettslige forhold Forhold mellom helsetjenesten og sikkerhetsloven Ny personopplysningslov og EUs personvern forordning (GDPR) Stortingsmeldinger, rapporter og andre relevante utredninger Teknologitrender som kan påvirke bruk av private leverandører Mer standardløsninger og mer internasjonalt marked Overgang til leveranse som tjenester («skyen») Økt krav og rettigheter for pasienter til å få tilgang til informasjon Mer bruk av smidige og andre nye metoder for «trinnvis» programvareutvikling Konsolidering og integrasjon Selvbetjening og velferdsteknologi Stordata og kunstig intelligens Globalisering, kompliserte konsernstrukturer og lange leverandørkjeder 34 4 BRUK AV PRIVATE LEVERANDØRER RHFene Vurdering av de enkelte tjenesteområdene Andre områder Hvilke land private leverandører har tilgang fra Betingelser ved bruk av private leverandører RHFenes tilfredshet med private leverandører Andre som behandler pasientinformasjon Folkehelseinstituttet Pasientreiser Helsetjenestens driftsorganisasjon (HDO) Norsk Helsenett Direktoratet for e-helse Private fastleger Kommuner 45 4 IE-1012

63 5 HVILKE TJENESTER BØR IKKE OVERLATES TIL PRIVATE LEVERANDØRER? Resultatene fra aktørene Basisdrift Applikasjonsdrift, -forvaltning og -utvikling Innspill fra kompetansemiljøene Direktoratet for e-helse sin vurdering 51 6 KRITERIER OG RUTINER FOR BRUK AV PRIVATE LEVERANDØRER Dagens status Generelt Norm for informasjonssikkerhet i helse- og omsorgs tjenesten (Normen) Flere aktører har egne sikkerhetskrav Gjennomføring av risikovurdering Velferdsteknologi med nye leveranseformer Forslag til kriterier, rutiner og tiltak knyttet til forbedringsområder Ledelse og forankring Risikostyring Planlegging, leveranser, og oppfølging Beskrivelse av noen konkrete forbedringsområder Styringsmodell og databehandlingsansvarlig Kompetanseheving på informasjonssikkerhet Håndtering av ny teknologi og løsninger tatt i bruk av privatpersoner Sikkerhetsloven Forenkle vurderingen av sikkerheten ved valg av leverandører Særnorske krav kartlegging av omfang og videre arbeid Normen 80 7 FORSLAG TIL VIDERE AKTIVITETER Avklaring av databehandlingsansvar mellom RHF og HF Oppdatering av Normen Kompetanseheving Øvrige funn for oppfølging 84 8 DOKUMENTOVERSIKT 85 NAVIGASJON I RAPPORTEN: Tilbake til innholdssiden IE

64 1 Sammendrag Denne rapporten er Direktoratet for e-helses svar på oppdrag fra Helse- og omsorgsdepartementet (HOD) om å gjennomgå informasjonssikkerhet ved bruk av private leverandører i helse- og omsorgssektoren ( Tillegg til tildelingsbrev nr. 4, datert ). Helse- og omsorgssektoren har ambisiøse mål og store forventninger til modernisering og effektivisering. Digitalisering er et viktig hjelpemiddel for å nå disse målene og utviklingen på området går raskt. Sektoren er helt avhengig av private leverandører, både nasjonale og internasjonale, innen IKT-området, for å sikre tilgang til oppdatert teknologi, løsninger og tilstrekkelig kompetanse. Pasienter og innbyggere må ha tillit til at informasjon blir håndtert på en trygg måte. Pasientene forventer at både konfidensialitet, integritet og tilgjengelighet ivaretas. Sektoren må balansere disse til det beste for pasienten og i tråd med lovverket. Flere virksomheter i sektoren har komplekse og gamle løsninger. Dette medfører at arbeid med digitalisering og informasjonssikkerhet er krevende. Status for bruk av private leverandører Bruk av private leverandører varierer i dag mellom aktørene og ulike områder. De fleste aktørene drifter sine egne løsninger, bortsett fra fastlegene som bruker private leverandører til de fleste IKT-oppgaver. For applikasjonsforvaltning, -utvikling og -innføring får aktørene i stor grad bistand fra private leverandører, med noen få unntak. Medisinsk-teknisk utstyr leveres av private leverandører og disse utfører også support på utstyret. Skytjenester brukes i dag i veldig begrenset omfang, men det forventes at både tilbudet, behovet og ønsket om bruk av skyløsninger raskt vil øke. Private leverandørers ansatte vil i arbeidet få tjeneste messig nødvendig tilgang til pasientinformasjon. Vurdering av om det er tjenester som ikke bør overlates til private leverandører Direktoratet for e-helse mener at det ikke er grunnlag for å konkludere med at noen typer tjenester aldri kan overlates til private leverandører. I gjeldene rett er det ikke noe forbud mot at norske virksomheter benytter nasjonale eller utenlandske, private leverandører fra EU/EØS-området. Ved bruk av globale leverandører (utenfor EU/EØS) er det særskilte krav som må oppfylles. 6 IE-1012

65 Det må alltid foretas en risikovurdering av alle tjenester som kan gi tilgang til pasientinformasjon. Risikovurdering og varsling etter sikkerhetsloven 29 a om kritisk infrastruktur må gjennomføres der det er relevant, og dette må vurderes ved større IKT-prosjekter. Direktoratet for e-helse mener at helse- og omsorgssektoren generelt må ha en relativt lav risikoappetitt. Tillit fra innbyggerne til at helse- og omsorgssektoren behandler helseopplysninger på en sikker måte, er en forutsetning for å lykkes med digitalisering. Viktige tiltak og forbedringsområder Det foreslås tiltak og forbedringsområder av to kategorier tiltak og forbedringer virksomheter i sektoren selv må gjøre og tiltak som må følges opp sentralt. Sektoren består av både store og små virksomheter med ulike utfordringer for å tilpasse seg et felles regelverk. Foreslåtte tiltak er ikke nødvendigvis relevant for alle virksomheter i sektoren, og tiltakene må tilpasses den enkelte virksomhet. Tiltak og forbedringsområder for virksomhetene i sektoren God og reell ledelsesforankring og styring Virksomheten må ha en helhetlig styringsmodell med klarhet i ansvar og roller knyttet til informasjonssikkerhet, herunder forholdet til private leverandører. Det er behov for bedre ledelsesforankring. Dette må underbygges av gode prosesser som anvendes aktivt i den totale virksomhets styringen. Helhetlig risikovurdering Når tjenester overlates til private leverandører må det foretas en helhetlig risikovurdering slik at den totale risikoen kommer frem og rapporteres til ledelsen. Risikovurdering og tiltak må ta høyde for de begrensinger som finnes i nåværende, eldre og komplekse tekniske løsninger. Det er viktig med både periodisk oppfølging og nye risikovurderinger når det gjøres endringer i tjenesten eller leveransestrukturen. Nødvendige risikodempende tiltak må ha tilstrekkelig finansiering. Behov for kompetanse Virksomheten må ha tilstrekkelig kompetanse, kapasitet og struktur for å ivare ta sitt ansvar for informasjonssikkerhet og personvern når private leverandører benyttes. Bestillerkompetansen må være god i alle faser, fra kravstilling i planleggings- og anskaffelsesfasen til leverandøroppfølging i driftsfasen. Ledelsen, inkludert styret, må ha tilstrekkelig kompetanse for å utøve reelle styring og kontroll også på dette området. Det er foreslått en rekke kriterier og rutiner som bør følges for å sikre pasientinformasjon ved bruk av private leverandører. Noen sentrale kriterier og rutiner som rapporten peker på er: IE

66 Ledelse og forankring Planlegge, vurdere og velge leverandør Kontrakt og leveranse av tjeneste Oppfølging og rapportering Kravstilling Tilstrekkelig bestillerkompetanse Risikostyring Styring og kontroll av IKT-personells tilgang til pasientinformasjon Sikkerhetstesting Etablering av databehandleravtale Godkjenning databehandlers underleverandører Kontraktsvilkår, sikkerhet, f.eks. rett til revisjon KIP-er exit-plan Leverandøroppfølging Revisjon Tiltak og forbedringsområder som må gjennomføres sentralt Avklaring av databehandlingsansvar mellom regionale helseforetak og helseforetak Databehandlingsansvaret ligger i dag på den enkelte virksomhet, som for eksempel et helseforetak. Dette skaper uklarhet i styring og ansvar ved anskaffelser og innføring av regionale løsninger og ved løsninger på tvers av sektoren. Det må utredes om databehandlingsansvaret slik det er i dag er forenlig med strategier for etablering av fellesløsninger i helse- og omsorgssektoren. Det bør særskilt vurderes om det er behov for regulering av felles databehandlings ansvar eller fordeling av dette ansvaret mellom regionale helseforetak og helseforetakene de eier. Det er viktig å få gjennomført dette arbeidet så raskt som mulig, da dagens kompliserte ansvarsforhold påvirker og forsinker arbeidet med digitalisering i helse- og omsorgssektoren. Oppdatering av Normen Følgende oppdateringer av Norm for informasjonssikkerhet i helse- og omsorgstjenesten må prioriteres for at Normen kan bli et bedre verktøy tilpasset alle brukergruppene: Tilpasning til GDPR (pågår) Oppdatere rutiner og maler for å understøtte komplekse leverandørstrukturer og leveransmodeller (erfaring andre sektorer) Rutiner for helthetlig risikostyring Nasjonal standard for tilgangsstyring (private leverandører) Standardiserte databehandleravtaler 8 IE-1012

67 Kompetanseheving innen IKT-sikkerhet og risikovurdering på styre- og ledelsesnivå Det anbefales etablering av et forum for beste praksis i bransjen for kompetanseheving innen områder som IKT-sikkerhet, risikovurdering og sikkerhetskultur. Øvrige funn for oppfølging er forhold rundt Økt bruk av velferdsteknologi. Behov for vurdering av sertifisering, selvdeklarering og attestasjon av leverandører, løsninger eller MTU. Avklare omfang av særnorske krav rundt behandling av pasientinformasjon. Veiledningsmateriale rundt sikkerhetsloven 29 a, som omhandler varslingsplikt og myndighet til å fatte vedtak ved anskaffelser til kritisk infrastruktur. I Nasjonal e-helsestrategi er det et grunnleggende prinsipp at det som kan bli løst nasjonalt, skal bli løst nasjonalt. Å legge til rette for nye samhandlingsformer er viktige tiltak i strategiperioden. Dette omfatter blant annet: Tilgang mellom virksomheter Grunndataløft Økt sporbarhet Bedre pasientmedvirkning og informasjonsflyt Digital sikkerhetsstrategi for helsesektoren Oppgavene må løses i fellesskap i sektoren. For å få dette til, er det viktig å etablere finansieringsmodeller som gjør det mulig. Direktoratet har anbefalt obligatorisk samfinansiering av viktige nasjonale løsninger. IE

68 2 Bakgrunn og formål Helse- og omsorgsdepartementet (HOD) har gitt Direktoratet for e-helse følgende oppdrag: 1. Direktoratet for e-helse gis i oppdrag å identifisere og foreslå gode rutiner for å sikre at de til enhver tid gjeldende krav til informasjonssikkerhet ved bruk av private leverandører etterleves. 2. Direktoratet skal som del av oppdraget utarbeide en overordnet status for bruk av nasjonale og internasjonale leverandører av tjenester som kontinuerlig eller episodisk arbeider inn mot virksomhetens datasystemer og under hvilke betingelser dette skjer. 3. Det skal videre utarbeides et sett med kriterier eller betingelser som bidrar til at denne formen for tjenester skjer på en ansvarlig måte og i tråd med de til enhver tid gjeldende krav. 4. Det er i denne sammenheng også relevant å vurdere om det er tjenester som ikke bør overlates til private leverandører. Spesielt har departementet sett behov for at det sees på hvilke situasjoner og hvordan det eventuelt bør og kan skilles mellom norske, EØS baserte og globale leverandører, herunder behovet for å se på forholdet mellom helsetjenesten og sikkerhetsloven. Som juridisk ramme for arbeidet vises det blant annet til helseforetaksloven 28, pasientjournalloven 22 og 23, personopplysningsforskriften kapittel 2, og forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten. For å sikre et godt grunnlag skal Direktoratet for e-helse i sitt arbeid med oppdraget: Invitere representanter fra spesialisthelsetjenesten, andre relevante helsetjeneste aktører og helseforvaltningsorganer som behandler pasientinformasjon til å delta i arbeidet. Invitere følgende aktørgrupper til å gi innspill: Andre sentrale kompetansemiljøer, herunder Nasjonal sikkerhetsmyndighet Fagorganisasjoner, tillitsvalgte og brukerorganisasjoner Representanter for IKT-næringen 10 IE-1012

69 Omfang og avgrensning Oppdraget dekker informasjonssikkerhet knyttet til systemer som inneholder pasientinformasjon 1 og avgrenses til problemstillinger i forbindelse med sikkerhet ved bruk av private leverandører. Dette dekker tjenesteområdene basisdrift, applikasjonsdrift, applikasjonsforvaltning og applikasjonsutvikling (inkludert innføring) hvor man får tilgang til pasientinformasjon. Videre dekker oppdraget både mer omfattende tjenesteutsetting og mindre/tidsavgrensede tjeneste avtaler, inkluderer problemstillinger rundt medisinsk-teknisk utstyr. Oppdraget dekker ikke generell sikkerhet som intern tilgangsstyring, men sikkerhets vurderinger som følger av endret risikobilde ved bruk av private leverandører omfattes. Rapporten benytter stort sett begrepet «private leverandører». Dette inkluderer alle eksterne, nasjonale og internasjonale, leverandører. I noen tilfeller blir begrepet «globale leverandører» benyttet, da refereres det spesifikt til leverandører utenfor EU/EØS-området. 2.1 Aktørene og prosessen underveis I oppdraget ble Direktoratet for e-helse bedt om å invitere representanter fra spesialisthelsetjenesten, andre relevante helsetjenesteaktører og helseforvaltnings organer som behandler pasientinformasjon til å delta i arbeidet. I arbeidet har disse representantene blitt delt inn i fire hovedgrupper 2 : Hovedaktørene inkluderer de fire regionale helseforetakene 3, Helse Sør- Øst RHF (Helse Sør-Øst), Helse Vest RHF (Helse Vest), Helse Midt-Norge RHF (Helse Midt), Helse Nord RHF (Helse Nord) og andre helsetjenesteaktører som behandler pasientinformasjon, samt Sykehusinnkjøp og Nasjonal IKT. Kompetansemiljøene som består av Center for Cyber and Information Security (CCIS), Datatilsynet, Direktoratet for forvaltning og IKT (DIFI), Direktoratet for samfunnssikkerhet og beredskap (DSB), Nasjonal kommunikasjonsmyndighet (NKOM) og Nasjonal sikkerhetsmyndighet (NSM). IKT-næringen, bransjeforeninger og deres medlemmer. Fag- og pasientorganisasjoner. Det er avholdt dialogseminarer med ovennevnte grupper og underveis i arbeidet har aktørene fått mulighet til å komme med informasjon og innspill. I tillegg er det gjennomført særmøter med Nasjonal sikkerhetsmyndighet, Fagutvalget (NUFA), Datatilsynet, Helse Sør-Øst, Helseplattformen (Helse Midt), representant for fastlegene i EPJ-løftet, Pasient- og brukerombudet i Sogn og 1 Ordinære og sensitive personopplysninger. 2 En detaljert oversikt over hvilke aktører som deltok ligger i vedlegg 2. 3 Direktoratet for e-helse ba RHFene koordinere deltakelse fra sine underliggende enheter. IE

70 Fjordane og Oslo samt Apotekforeningen. Det er også mottatt informasjon om prosesser og erfaringer fra Telenor, Statoil og Finanstilsynet. Kommuner I utgangspunktet skulle kommunesektoren inkluderes i dette arbeidet. Det er sendt ut spørreskjemaer til et utvalg av kommuner, men det har ikke kommet inn tilstrekkelig antall svar for å danne et godt nok grunnlag for å besvare oppdraget fra HOD. Rapporten omhandler derfor ikke kommunesektoren. Kommunesektoren må eventuelt gjennomgås i en videreføring av prosessen. Informasjonsinnhenting Samtlige aktører som er involvert i arbeidet har fått mulighet til å komme med innspill ved å svare på tilsendt spørsmålskjema 4. De øvrige aktørene har fått mulighet til å komme med innspill til oppdragets delleveranser, tilpasset deres posisjon 5. Arbeidet med informasjonsinnhentingen avdekker at det er utfordrende å få en god oversikt over bruken av private leverandører i helse- og omsorgssektoren. 2.2 IKT-tjenesteområder dekket i rapporten Det er flere ulike områder av IKT-tjenester som kan settes ut til private leverandører. I hovedsak faller disse inn i fire ulike tjenesteområder: Basisdrift Applikasjonsdrift Applikasjonsforvaltning Applikasjonsutvikling (inkludert innføring) Under informasjonsinnhentingen og i denne rapporten benyttes disse begrepene. I noen kapitler kommenteres enkelte tjenesteområder samlet. For en utfyllende oversikt over begreper som er benyttet i denne rapporten, se vedlegg 1. I dialogen med aktørene kommenterer noen bare på basisdrift. For å få oversikt over bruk av private leverandører er det viktig at alle tjenesteområdene inkluderes. Det er ulik risiko knyttet til private leverandørers tilgang til pasientinformasjon innenfor disse områdene, men alle kan medføre tilgang til pasientinformasjon. Det er også ulik måte å sikre tilgang til informasjon innenfor disse tjenesteområdene. Private leverandører kan enten ta ansvar for et tjenesteområde eller bidra på ulike deler av et tjenesteområde. Dette påvirker om og i hvilken grad private leverandører har tilgang til pasientinformasjon. Det er en trend at grensen mellom disse tjenesteområdene viskes ut. 4 Spørreskjema i sin helhet ligger i vedlegg 4. 5 For en fullstendig oversikt over hvilke aktører som har gitt innspill og hvilke spørsmål de ulike aktørene fikk, se vedlegg IE-1012

71 Tjenesteområdene sammenstilles i leveranser primært gjennom tilgang til løsningene via skyløsninger. Nedenfor er det en kort beskrivelse av de enkelte områdene og vurdering av risiko for at de som arbeider innenfor disse kan få tilgang til pasientinformasjon Basisdrift Basisdrift er drift av underliggende infrastruktur og plattform som brukes til å levere applikasjoner til brukerne. Drift dreier seg om å sikre at disse leveres til avtalt nivå. Dette omfatter prosesser for håndtering av blant annet varsler, hendelser, henvendelser, problemer og tilganger. Det omfatter også funksjoner som ulike former for teknisk styring. Basisdrift medfører at driftspersonell får tilgang til komponenter som kan inneholde pasientopplysninger og styring av hvem som har tilgang. De som administrerer infrastruktur kan for eksempel slette logger for å fjerne spor etter egen aktivitet, og eventuelt endre eller ødelegge data. Infrastruktur og plattform dekker komponenter som maskinvare, nettverk, operativsystem og databaser. Dette dekker også basis programvare for å understøtte integrasjoner, identitet- og tilgangsstyring Applikasjonsdrift Applikasjonsdrift er også drift, men av applikasjoner. En applikasjon er brukerrettet programvare. På et sykehus er pasientadministrativt system (PAS), elektronisk journal, kurve, radiologi- og bildesystem og laboratoriesystem noen av de viktigste applikasjonene. Personell som driver med applikasjonsdrift vil ofte ha tjenstlig behov for tilgang til produksjonsdata. For kliniske systemer betyr dette tilgang til pasientinformasjon Applikasjonsforvaltning Applikasjonsforvaltning er funksjonen som administrerer applikasjoner gjennom deres livssyklus. Dette dreier seg for eksempel om vedlikehold i form av feilrettinger og endringer i oppsett for å håndtere endrede behov, samt planlegging, testing og gjennomføring av oppdateringer og mindre oppgraderinger. Applikasjonsforvaltning medfører ikke nødvendigvis at man har tilgang til produksjonsdata. Skillet mellom forvaltning og drift kan legges slik at forvaltning ikke har tilgang til produksjonssystemer. Likevel har gjerne personell som arbeider med applikasjonsforvaltning tilgang til pasientinformasjon. Dette skyldes blant annet at det kan være vanskelig å gjenskape feil i et annet miljø uten produksjonsdata og det kan være vanskelig å utarbeide testdata som er dekkende nok uten å bruke reelle data. For å løse akutte feilsituasjoner må de som forvalter løsningen, i noen tilfeller, også gis tilgang direkte til produksjonssystemer med pasientinformasjon. IE

72 2.2.4 Applikasjonsutvikling og -innføring Applikasjonsutvikling og -innføring dekker utvikling av programvare, sette opp og integrere nye systemer, eller gjøre omfattende endringer i eksisterende programvare utover vanlig vedlikehold som gjøres som en del av forvaltningen. I likhet med applikasjonsforvaltning medfører ikke denne type tjenester nødvendigvis behov for tilgang til produksjonsdata. Likevel kan det være tilfeller der slik tilgang gjør det enklere eller nødvendig. Dette gjelder spesielt utvikling av integrasjoner, rapporter og programmer for konvertering av data der reelle data gjør det enklere for utvikleren å forstå datastrukturer og innhold. I tillegg kan det også her være vanskelig å utarbeide testdata som er dekkende nok uten å bruke reelle data. 14 IE-1012

73 IE

74 3 Juridiske vurderinger og teknologiske trender 3.1 Juridiske vurderinger Oppsummering av hovedpunktene Ansvar for informasjonssikkerhet og behandling av person - opplysninger Det er den databehandlingsansvarlige som må sørge for å ivareta forsvarlig informasjonssikkerhet og tilfredsstille det til enhver tid gjeldende regelverk for behandling av personopplysninger. Databehandlingsansvaret ligger hos ledelsen av virksomheten. Om bruk av private leverandører I gjeldene rett er det ikke noe forbud mot at norske virksomheter benytter nasjonale eller utenlandske, private leverandører fra EU/EØS-området. Ved bruk av globale leverandører (utenfor EU/EØS) er det særskilte krav som må oppfylles. Anskaffelsesrettslige forhold Anskaffelsesregelverket legger ikke noen generelle begrensninger på hvor produkter og tjenester kan anskaffes fra. Anskaffelser skal som hovedregel kunngjøres til hele det indre marked (EU/EØS). Anskaffelsesregelverket er heller ikke til hinder for bruk av leverandører utenfor EU/EØS. Forhold mellom sikkerhetsloven og helsetjenesten. Forholdet mellom sikkerhetsloven og helsetjenesten er et område i bevegelse. Det er nylig innført endringer i sikkerhetsloven og forslag til ny sikkerhetslov er fremmet for Stortinget. Det er en usikkerhet blant flere aktører i sektoren om sikkerhetsloven får anvendelse på deres aktivitet og behov for veiledning om dette. Ny personopplysningslov og EUs personvernforordning (GDPR) Forordningen bidrar til harmonisering av personvernreglene i EU/EØS og vil gjelde som lov i Norge. Det er ett av formålene med forordningen å skape et felles regelverk for personvern i hele det indre marked. Det bidrar til å styrke europeiske borgeres rettigheter og gjør det samtidig enklere for leverandører å tilby sine løsninger i flere land. Forordningen medfører flere rettigheter for den registrerte (personen opplysningene omhandler) og flere forpliktelser for de som behandler personopplysninger. 16 IE-1012

75 3.1.2 Ansvar for informasjonssikkerhet og behandling av personopplysninger Rettslig regulering av informasjonssikkerhet og behandling av personopplysninger i helse- og omsorgssektoren følger av: 1. Generell regulering i lov og forskrift om behandling av personopplysninger. 2. Sektorspesifikk lovgivning, særlig pasientjournalloven og helseregisterloven med forskrifter. 3. «Norm for informasjonssikkerhet i helse- og omsorgstjenesten». Normen er en bransjenorm utarbeidet i fellesskap av sektoren. Normen er bindene gjennom avtale da Norsk Helsenett (NHN) forutsetter at tilknyttede parter forplikter seg til å følge Normen. Det er den databehandlingsansvarlige som må sørge for å ivareta forsvarlig informasjonssikkerhet og tilfredsstille det til enhver tid gjeldende regelverk for behandling av personopplysninger. Pasientjournalloven definerer begrepet databehandlingsansvarlig i 2 e: «Databehandlingsansvarlig: den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes, og den som i eller i medhold av lov er pålagt et databehandlingsansvar.» Den databehandlingsansvarlige kan benytte andre, herunder private leverandører, til å behandle personopplysninger på sine vegne. Bruk av databehandler 6 er regulert i personopplysningsloven 15: «En databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse. I avtalen med den behandlingsansvarlige skal det også gå frem at data behandleren plikter å gjennomføre slike sikringstiltak som følger av 13.» En databehandlingsansvarlig vil typisk være et helseforetak, et legekontor eller annen virksomhet som samler inn eller behandler personopplysninger. En privat leverandør som for eksempel på vegne av helseforetaket behandler opplysninger, vil typisk være en databehandler. Internkontroll Etter pasientjournalloven 23 om internkontroll har den databehandlingsansvarlige plikt til å etablere og holde ved like planlagte og systematisk tiltak som er nødvendige for å oppfylle kravene i eller i medhold av loven. Tiltakene skal dokumenteres. 6 Personopplysningsloven 2 nr. 5. Databehandler: den som behandler personopplysninger på vegne av den databehandlingsansvarlige. IE

76 Informasjonssikkerhet Pasientjournalloven 22 omhandler sikring av konfidensialitet, integritet og tilgjengelighet av helseopplysninger. Kravene kan oppsummeres på følgende måte: Den databehandlingsansvarlige og databehandleren skal sørge for tilfredsstillende informasjonssikkerhet gjennom planlagte og systematiske tiltak. Dette omfatter blant annet å sørge for tilgangsstyring, logging og etterfølgende kontroll. Det påhviler den databehandlingsvarlige og databehandleren å dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeidere hos begge parter og for tilsynsmyndigheter. En databehandlingsansvarlig som lar andre få tilgang til helseopplysninger, for eksempel en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at også disse oppfyller kravene i paragrafen. Dette pålegger og understreker at det er den databehandlingsansvarlige som har ansvar for at også databehandlere og andre oppfyller kravene til informasjonssikkerhet. Dette ansvaret kan ikke overføres til andre. Personopplysningsforskriftens kapittel 2 Personopplysningsforskriftens kapittel 2 handler om informasjonssikkerhet. Alle bestemmelsene i kapittelet er i utgangspunktet relevante ved vurdering av informasjonssikkerhet, også ved bruk av private leverandører. Her nevnes noen bestemmelser som er spesielt aktuelle for problemstillingen gitt i oppdraget: Forskriftens 2-3 sier uttrykkelig at den daglige ledelsen av virksomheten som den behandlingsansvarlige driver, har ansvar for at bestemmelsene om informasjonssikkerhet følges. Forskriftens 2-4 om risikovurdering pålegger virksomheten å føre en oversikt over hva slags personopplysninger som behandles. Virksomheten skal selv fastlegge kriterier for akseptable risiko forbundet med behandlingen. Den databehandlingsansvarlige skal videre gjennomføre risikovurderingen. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Forskriftens 2-5 omhandler pålegg og regulering av ansvar for sikkerhetsrevisjon, herunder sikkerhet hos leverandører. Forskriftens 2-15 omhandler sikkerhet hos andre virksomheter. Blant annet er det regulert at leverandører har et selvstendig ansvar for å ivareta informasjonssikkerhet. Videre pålegges den databehandlingsansvarlige både å etablere klare ansvars- og myndighetsforhold, ha kunnskap om sikkerhets strategien hos kommunikasjonspartnere og leverandører, samt jevnlig forsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet. 7 7 Normen punkt og IE-1012

77 Helseforetaksloven Lovens formål (se 1) er å bidra til å oppfylle målsetninger i spesialisthelsetjenesteloven og pasient- og brukerrettighetsloven ved at det opprettes regionale helseforetak som skal planlegge og organisere spesialisthelsetjenesten. Det legges til rette for at de regionale helseforetakene skal organisere sine sykehus som helseforetak. Helseforetakenes formål er å yte gode og likeverdige spesialist helsetjenester til alle som trenger det når de trenger det. Regionalt helseforetak eies av staten alene (se 2) og har et overordnet ansvar for å iverksette den nasjonale helsepolitikken i helseregionen (se 2a). Regionale helseforetak skal planlegge, organisere, styre og samordne virksomhetene i helseforetakene de eier. Utøvende virksomhet skal organiseres som helseforetak (se 9). Både regionale helseforetak og helseforetak ledes av et styre og en daglig leder (se 20). Daglig leder forestår den daglige ledelsen av foretaket (se 37). Det innebærer at vedkommende har ansvaret for informasjonssikkerheten knyttet til behandling av personopplysninger i foretaket, se omtale av personopplysningsforskriften ovenfor. Etter 28 hører forvaltningen av foretaket under styret. Styret har ansvar for en tilfredsstillende organisering av foretakets samlede virksomhet. Styret skal holde seg orientert om foretakets virksomhet og økonomiske stilling, og føre tilsyn med at virksomheten drives i samsvar med målene i lovens 1 (formålet), foretakets vedtekter, vedtak truffet av foretaksmøtet og vedtatte planer og budsjetter. I regionalt helseforetak omfatter styrets plikter også de helseforetak som det regionale helseforetaket eier. Den daglige ledelsen omfatter ikke saker som etter foretakets forhold er av uvanlig art eller av stor betydning (se 37). I slike tilfeller skal styret underrettes og kan eventuelt gi daglig leder myndighet til å avgjøre saken. Daglig leder kan også treffe avgjørelse dersom styrets beslutning ikke kan avventes uten vesentlig ulempe for foretakets virksomhet. Det kan tenkes forhold knyttet til informasjonssikkerhet som har en slik alvorlig karakter, for eksempel vesentlige sikkerhetsbrudd hvor pasientopplysninger kommer på avveie. Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten Forskriften har som formål å bidra til faglig forsvarlig helse- og omsorgtjenester, kvalitetsforbedring og pasient- og brukersikkerhets og at øvrige krav i helse- og omsorgslovgivningen etterleves. Forskriften pålegger virksomheter 8 plikt til å planlegge, gjennomføre, evaluere og korrigere virksomhetens aktiviteter, samt at dette skal dokumenteres og 8 Se forskriftens 2 for hvilke virksomheter som er omfattet. IE

78 styres gjennom et styringssystem 9. Kravene til internkontroll og informasjonssikkerhet i regelverket om behandling av personopplysninger, bør innarbeides i det samme styringssystemet og følges opp av ledelsen som en del av virksomhetens samlede styringssystem Om bruk av private leverandører personvernperspektiv Nasjonale og EU/EØS-baserte leverandører Bruk av private leverandører er utbredt og en nødvendighet for sektoren. Det er ikke noe generelt forbud imot å benytte nasjonale eller EU/EØS-baserte leverandører i gjeldende lovgivning. Etter personopplysningsloven 29 kan personopplysninger overføres til stater som sikrer en forsvarlig behandling av opplysningene. Landene innenfor EU/EØS har innført EUs personverndirektiv 95/46/EF og oppfyller dette kravet. En målsetning med direktivet var at medlemslandene ikke skal hindre eller forby fri flyt av personopplysninger mellom landene av hensyn til personvernet. Spesiallovgivningen for helse- og omsorgssektoren, særlig relevant her pasientjournalloven, har ingen direkte regulering om overføring eller annen behandling av helseopplysninger mot utlandet. Personopplysningsloven kommer da til anvendelse, dette følger av pasientjournalloven 5. Gjeldene arkivlov har et forbud mot at arkivopplysninger lagres i utlandet, jf. arkivloven 9 bokstav b. Dette er et forbud som er foreslått fjernet i høring 10 om ny forskrift om offentlige arkiv. Oppsummering Det er i gjeldene rett ikke noe forbud mot at norske virksomheter benytter nasjonale eller utenlandske, private leverandører fra EU/EØS-området som databehandlere. Globale leverandører Dersom helseopplysninger skal overføres til såkalte tredjeland, det vil si land utenfor EU/EØS, gjelder noen særskilte krav i tillegg til de øvrige kravene i personopplysningsloven. Dette er regulert i personopplysningsloven 29 og Begrepet overføring, som er lovens ordlyd, er ikke begrenset til faktisk overføring (fysisk overføring eller «flytting»), men omfatter også tilfeller der noen har tilgang fra utlandet, for eksempel via fjernaksess. Dette er en relevant 9 Se forskriftens 4 for definisjon av styringssystem. 10 Se 11 Se også Datatilsynets hjemmesider for en mer fullstendig oppsummering og veiledning: datatilsynet.no/regelverk-og-skjema/behandle-personopplysninger/overfore/ 20 IE-1012

79 og økende form for behandling av personopplysninger, ettersom for eksempel teknisk drift og fjernsupport følger nye leveransemodeller som skybaserte tjenester og support fra hele verden. Utgangspunktet etter 29 er at personopplysninger bare kan overføres til stater som sikrer forsvarlig behandling av opplysningene. For land utenfor EU/EØS må det foretas en konkret vurdering av om behandlingen sikres på forsvarlig måte. Opplysninger kan også overføres til land Europakommisjonen har godkjent. 12 Et hovedpoeng er at databehandlingsansvarlig må forsikre seg om at personopplysningslovens øvrige vilkår er oppfylt samt oppnå tilstrekkelige garantier for vern av den registrertes rettigheter. For eksempel er egne avtaler og fremgangsmåter utarbeidet for overføring og bruk av underleverandører i enkelte jurisdiksjoner. Et eksempel er «Privacy Shield» som kan benyttes ved overføring av opplysninger til USA (som et av flere lovlige alternativer). «Privacy Shield» er et juridisk rammeverk som er utarbeidet for å beskytte europeiske personvernrettigheter når opplysninger overføres fra Europa til USA. Rammeverket erstatter den tidligere mekanismen «Safe Harbor» og er ment å muliggjøre og forenkle transatlantisk elektronisk overføring av opplysninger og samarbeid. Oppsummering Det er i gjeldene rett ikke forbud mot at norske virksomheter benytter globale private leverandører utenfor EU/EØS-området som databehandlere, forutsatt at leverandørene sikrer en forsvarlig behandling av personopplysninger Anskaffelsesrettslige forhold De fleste aktørene i helse- og omsorgssektoren er underlagt lov om offentlige anskaffelser. Loven gjennomfører EØS-direktivene om offentlige anskaffelser og gir rammer og krav til hvordan anskaffelser skal gjennomføres. Oppdragsgiver skal ved anskaffelser opptre i samsvar med de grunnleggende prinsippene om konkurranse, likebehandling, forutberegnelighet, etterprøvbarhet og forholdsmessighet. Dette omfatter også at det ikke skal utøves ulovlig diskriminering av aktørene i det europeiske markedet. Dette er bakgrunnen for at anskaffelser over fastsatte terskelverdier må kunngjøres i EU/EØS. Forbudet mot diskriminering på bakgrunn av nasjonalitet innebærer at oppdragsgiver ikke kan stenge leverandører ute fra konkurransen basert på antagelser som kan bli rammet av ikke-diskrimineringsforbudet. Oppdragsgiver må spesifisere krav til leveransen for å møte de behov som anskaffelsen er ment å dekke. Anskaffelse av IKT-løsninger og tjenester i sektoren vil normalt omfatte behandling av personopplysninger og krever god kjennskap til personopplysnings-regelverket og spesiallovgivningen. Det må 12 Se IE

80 stilles krav for å ivareta personvernet og tilfredsstillende informasjonssikkerhet. I tillegg vil det være mulig å for eksempel stille krav om at tilbyder ikke skal behandle opplysninger i eller fra bestemte jurisdiksjoner som ikke sikrer forsvarlig behandling av personopplysningene. I henhold til anskaffelsesregelverket er det i utgangspunktet liten mulighet til å skille mellom norske leverenadører og leverandører fra EU/EØS-området. Unntaket er anskaffelser som gjelder sikkerhetsmessige forhold, jf. anskaffelsesforskriften 2-2. Dette gjelder for eksempel der sikkerhetsloven kommer til anvendelse. Oppsummering Anskaffelsesregelverket har ikke noen generelle begrensninger på hvor produkter og tjenester kan anskaffes fra. Anskaffelser skal som hovedregel kunngjøres til hele det indre marked (EU/EØS). Anskaffelsesregelverket er heller ikke til hinder for bruk av leverandører utenfor EU/EØS Forhold mellom helsetjenesten og sikkerhetsloven Sikkerhetsloven har til formål å motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser, ivareta den enkeltes rettssikkerhet og trygge tillitten til den forebyggende sikkerhetstjeneste, se lovens 1. Flere aktører i sektoren har tidligere vurdert om sikkerhetslovens bestemmelser om skjermingsverdig objekt eller informasjon, kommer til anvendelse innen IKTområdet. De vurderingene vi har fått kjennskap til, har konkludert med at sikkerhetslovens regler om skjermingsverdige objekter 13 til nå ikke har kommet til anvendelse. 1. januar 2017 trådte et nytt kapittel 7 «Sikkerhetsgraderte anskaffelser og anskaffelser til kritisk infrastruktur» i kraft. I tillegg ligger forslag til ny sikkerhetslov til behandling i Stortinget. Utkastet til ny sikkerhetslov er en modernisering tilpasset den teknologiske utviklingen. Ifølge Forsvars departementet vil den nye loven favne bredere og være mer dynamisk og fleksibel. I pressemeldingen 14 fra lovforslaget som ble fremmet heter det: «Den teknologiske utviklingen har gjort det nødvendig å revidere og modernisere loven. Loven vil styrke samhandlingen mellom myndigheter og virksomheter slik at det forebyggende sikkerhetsarbeidet mot terror, sabotasje og spionasje kan gjennomføres på en mer effektiv og forsvarlig måte på tvers av samfunnssektorene.» 13 jf. lovens IE-1012

81 Det skal utarbeides forskrifter til den nye loven og det nye regelverket vil trolig tre i kraft tidligst Fra dialog med aktører i sektoren, synes det å være usikkerhet rundt både hvilke deler av sikkerhetsloven som er relevant og hvilke konsekvenser dette har. Kort oppsummert, er det usikkerhet om: Hva som faller inn under utrykket «kritisk infrastruktur» i sikkerhetsloven. Usikkerhet eller sammenblanding av hvilke plikter/konsekvenser de nye bestemmelsene om «kritisk infrastruktur» har versus plikter/konsekvenser etter lovens kapittel 5 om objektsikring. Bekymringer om nylige endringer, ny sikkerhetslov eller sikkerhetslovens kapittel 5 vil komme til anvendelse, og om det innebærer at personell må ha sikkerhetsklarering eller autorisasjon etter sikkerhetsloven. Dette anses som spesielt utfordrende å implementere i forbindelse med pasientjournalsystemene og andre systemer med mange brukere. Om sikkerhetsloven 29 a Bestemmelsen omhandler varslingsplikt og myndighet til å fatte vedtak ved anskaffelser til kritisk infrastruktur. Bestemmelsen medfører ikke krav til sikkerhetsklarering. Utrykket «kritisk infrastruktur» er definert i 3 nr. 21 som: «anlegg og systemer som er nødvendige for å opprettholde samfunnets grunnleggende behov og funksjoner.» Forarbeidene 15 gir noen kriterier for å vurdere hvorvidt et system eller anlegg skal regnes som «kritisk infrastruktur». For å besvare dette, må man etter forarbeidene vurdere 1) hva som er samfunnets grunnleggende behov, 2) hvilke samfunnsfunksjoner som er kritiske for å dekke disse behovene og 3) hva slags systemer og anlegg som er helt nødvendige for å opprettholde disse funksjonene 16. Direktoratet for e-helse har hatt dialog med Nasjonal sikkerhetsmyndighet. De uttaler at hvorvidt et IKT-system er en del av kritisk infrastruktur må avklares med overordnet departement. Når det foretas anskaffelser til noe som kan bli vurdert som «kritisk infrastruktur», pålegger 29 a: (1) At det foretas en risikovurdering. I vurderingen skal det tas stilling til om anskaffelsen innebærer en ikke ubetydelig risiko for at «sikkerhetstruende virksomhet» blir etablert eller gjennomført. «Sikkerhetstruende virksomhet» er definert i 3 nr. 2 som «forberedelse til, forsøk på og gjennomføring av spionasje, sabotasje eller terrorhandlinger, samt medvirkning til slik virksomhet». Dersom en i vurderingen finner risiko for at «sikkerhetstruende virksomhet» blir 15 Prop. 97 L ( ), se særlig punkt 13 og som viser videre til punkt og Prop. 97 L ( ) på side 51. IE

82 etablert, og man ikke klarer å iverksette tiltak som fjerner eller gjør risikoen ubetydelig, utløser dette en (2) Varslingsplikt til overordnet departement. Departementet bør deretter innhente rådgivende uttalelse fra relevante organer om leveransens risikopotensial, og leverandørens sikkerhetsmessige pålitelighet. Dersom en anskaffelse til kritisk infrastruktur kan medføre en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert, kan Kongen i statsråd (3) Fatte vedtak om at anskaffelsen stanses eller gi vilkår for gjennomføring. Dersom det ikke fattes slikt vedtak, skal departementet underrette virksomheten. Kongen i statsråd kan også gi forskrift om anskaffelser til kritisk infrastruktur. Slik forskrift er ikke gitt. I forarbeidene 17 fremgår det at: «Kongen i statsråd kan tillate anskaffelsen, tillate anskaffelsen på visse vilkår, eller nekte anskaffelsen gjennomført. Avgjørelsen vil måtte baseres på en helhetsvurdering der sikkerhetshensyn står sentralt, men der det også tas hensyn til blant annet økonomiske forhold og ønsket om hensiktsmessig utvikling av infrastruktur og næringsvirksomhet.» Oppsummering Forholdet mellom sikkerhetsloven og helsetjenesten er et område i bevegelse. Det er nylig innført endringer i sikkerhetsloven og forslag til ny sikkerhetslov er fremmet for Stortinget. Det er en usikkerhet blant flere aktører i sektoren om sikkerhetsloven får anvendelse på deres aktivitet og det er behov for veiledning om dette Ny personopplysningslov og EUs personvernforordning (GDPR) EUs personvernforordning, General Data Protection Regulation (GDPR), trer i kraft 25. mai 2018 og avløser personverndirektivet av Forordningen er EØS-relevant. En forordning er en EU-lov som gjelder etter sin ordlyd direkte i EUs medlemsstater. Når forordningen er innlemmet i EØS-avtalen vil den også gjelde i Norge. Forordningen er foreslått implementert i Norge gjennom en ny personopplysningslov. Lovutkastet har nylig vært på høring. Den nye loven og forordningen vil erstatte nåværende personopplysningslov og tilhørende forskrifter. Den nye personopplysningsloven inneholder generelle bestemmelser om behandling av personopplysninger, der forordningen pålegger eller åpner for nasjonale regler. Sektorspesifikke regler skal fortsatt gis i særlovgivningen. Helse- og omsorgsdepartementet arbeider med tilpasninger i helselovgivningen som følge av forordningen. 17 Prop. 97 L ( ) på side IE-1012

83 Forordningen består av 99 artikler og 173 fortalepunkter, og inneholder både oppdaterte og nye regler. Grunnprinsippene som ble nedfelt i EUs personverndirektiv videreføres og det er tatt inn bestemmelser som klargjør flere rettigheter som er etablert gjennom europeisk rettspraksis. Mange av kravene til behandling av personopplysninger videreføres fra dagens regelverk og det innføres en del nye regler som alle som behandler personopplysninger må ta hensyn til. Blant de viktigste nye kravene er: 1. Styrking av den registrertes rettigheter Den registrerte får noen nye rettigheter, for eksempel retten til dataportabilitet (det vil si retten til å ta med seg sine elektroniske personopplysninger fra en virksomhet til en annen). Det stilles også mer detaljerte krav til hvordan virksomhetene skal oppfylle den registrertes rettigheter. 2. Flere plikter for databehandlingsansvarlig og databehandler Databehandlingsansvarlig og databehandler har både selvstendige og felles plikter. Nye plikter for databehandlingsansvarlig og databehandler kan oppsummeres slik: Skjerpede krav til innhold i databehandleravtaler 18. Dette er avtaler som nærmere regulerer hvordan databehandler skal behandle personopplysninger på vegne av databehandlingsansvarlig. Både databehandlingsansvarlig og databehandler skal ha oversikt over alle behandlinger av personopplysninger. Databehandlingsvarlig og databehandler må i visse tilfeller også oppnevne et eget personvernombud Strengere krav til samtykke Samtykkeskjema må være klart, konsist og ikke unødvendig forstyrrende for bruken av tjenesten. Inaktivitet/passivitet er ikke lovlig samtykke. 4. Krav til innebygd personvern og personvern som standardinnstilling Virksomheter som behandler personopplysninger må bygge personvern inn i løsningene 20. Det skal tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Det minst personverninngripende alternativet skal brukes. 5. Krav til vurdering av personvernkonsekvenser Virksomheter som skal behandle personopplysninger som sannsynligvis vil utgjøre høy risiko for personers rettigheter, må utrede personvernkonsekvensene før behandlingen tar til. 6. Strengere krav til avvikshåndtering Alle avvik som skyldes brudd på personopplysningssikkerheten skal meldes til 18 For oppsummering av krav til innhold i databehandleravtaler, se 19 For en oppsummering, se 20 Se IE

84 Datatilsynet. Det stilles krav til at avviksmeldingen skal leveres til Datatilsynet innen 72 timer. Dersom virksomheten ikke har full oversikt over avviket, kan de sende avviksmeldingen trinnvis. 7. Strengere sanksjoner Datatilsynet får mulighet til å ilegge vesentlig høyere overtredelsesgebyr (opp til EUR 20 millioner eller 4 prosent av global omsetning). Spesielt for den databehandlingsansvarlige Databehandlingsansvarlig får utvidet plikt til å vurdere personvernkonsekvenser ved behandling av personopplysninger. Databehandlingsansvarlig får også plikt til å identifisere risikoreduserende tiltak. Der risikoen ikke kan håndteres på en tilfredsstillende måte av virksomheten, skal virksomheten gjennomføre forhåndsdrøftinger med Datatilsynet. Databehandlingsansvarlig skal etter GDPR godkjenne databehandleres eventuelle underleverandører. Databehandlingsansvarlig har alltid hovedansvaret for behandling av personopplysninger, og kan aldri overføre ansvaret til andre selv om oppgaver som for eksempel drift er overført til en databehandler. Spesielt for databehandler Databehandlere vil etter GDPR få plikt til å bistå databehandlingsansvarlig med etterlevelse av forordningen. Databehandler må dokumentere behandling av personopplysninger som foretas for hver enkelt databehandlingsansvarlig. Databehandler skal kun behandle personopplysninger basert på avtale med databehandlingsansvarlig. Databehandlere må søke om forhåndsgodkjenning fra databehandlingsansvarlig ved bruk av eventuelle underleverandører. Anledning til å begrense overføring av sensitive personopplysninger til tredjeland Forordningens artikkel 49 nr. 5 åpner for at det i nasjonal rett, av hensyn til viktige samfunnsinteresser, kan fastsettes begrensninger for overføring av sensitive personopplysninger til en tredjestat eller en internasjonal organisasjon. Dette gjelder i tilfeller hvor det ikke foreligger en beslutning fra Kommisjonen om tilstrekkelig beskyttelsesnivå for tredjestat, et territorium eller en bestemt sektor i en tredjestat. Justisdepartementets vurdering i høringsnotatet er at det ikke foreslås å lovfeste slike begrensninger nå. Departementet foreslår en lovhjemmel for senere å kunne forskriftsregulere slike begrensninger. 26 IE-1012

85 Oppsummering Forordningen bidrar til harmonisering av personvernreglene i EU/EØS og vil gjelde som lov i Norge. Ett av formålene med forordningen er å skape et felles regelverk for personvern i hele det indre marked. Det bidrar til å styrke europeiske borgeres rettigheter og gjør det samtidig enklere for leverandører å tilby sine løsninger i flere land. Forordningen medfører flere rettigheter for den registrerte og flere forpliktelser for de som behandler personopplysninger. Sektorspesifikke regler skal fortsatt gis i særlovgivningen. Det er også et formål med forordningen å styrke tillitten til digitale tjenester og dermed legge til rette for ytterligere digitalisering. Strengere regler og høyere bøtenivå som følger av forordningen antas å øke oppmerksomheten på personvern både i anskaffelser, virksomhetsstrategier og ledelsesbeslutninger generelt Stortingsmeldinger, rapporter og andre relevante utredninger Det er utarbeidet flere stortingsmeldinger, utredninger og rapporter ved rørende informasjonssikkerhet i helse- og omsorgsektoren. Nedenfor presenteres noen som Direktoratet for e-helse mener er relevante for problemstillinger i rapporten. Meld. St. 9 ( ) Én innbygger én journal I stortingsmeldingen beskrives følgende overordnede mål for IKT-utviklingen i helse- og omsorgstjenesten: Helsepersonell skal ha enkel og sikker tilgang til pasient- og brukeropplysninger. Innbyggerne skal ha tilgang på enkle og sikre digitale tjenester. Data skal være tilgjengelig for kvalitetsforbedring, helseovervåking, styring og forskning. Med tanke på informasjonssikkerhet og personvern, kan sikker tilgang for helsepersonell og brukere bety at både konfidensialitet, integritet og tilgjengelighet skal sikres. Sett i lys av temaet for denne rapporten, må bruk av private leverandører skje på en slik måte at det understøtter målene om sikker tilgang til opplysninger og tjenester. Meld. St. 38 ( ) IKT-sikkerhet Et felles ansvar Meldingen presenterer regjeringens IKT-sikkerhetspolitikk. Det gis en oversikt over status på oppfølgingen av anbefalinger i NOU 2015: 13 Digital sårbarhet sikkert samfunn. I tillegg vektlegges utvalgte områder som regjeringen mener er av særlig betydning for nasjonal IKT-sikkerhet. IE

86 Stortingsmeldingen omtaler tjenesteutsetting spesielt. Det uttales at tjenesteutsetting av IKT-tjenester til profesjonelle aktører vil kunne gi bedre sikkerhet og mer stabile og tilgjengelige tjenester, lavere og mer forutsigbare kostnader og bidra til bedre prioritering av virksomhetens kjerneområder. Samtidig understrekes det at virksomheten må ha god bestillerkompetanse og være bevisst hvilke verdier som eksponeres ved tjenesteutsetting, og iverksette nødvendige tiltak. Både behov for konfidensialitet, integritet, tilgjengelighet og regulatoriske krav bør inngå i vurderingene. Stortingsmeldingen inneholder en egen omtale av IKT-tjenesteutsetting i helsetjenesten. Her omtales Helse Sør- Øst sin plan for bruk av private leverandører i deres modernisering av IKTinfrastruktur (imod), samtidig som det uttales at tjenesteutsetting til eksterne driftsoperatører fordrer kontrollregimer og risiko- og sårbarhetsanalyser som sikrer at krav til behandling av personopplysninger ivaretas. NOU 2015:13 Digital sårbarhet sikkert samfunn Beskytte enkeltmennesker og samfunn i en digitalisert verden (Lysneutvalget I) Utvalget kartlegger samfunnets digitale sårbarhet og foreslår tiltak for å styrke beredskapen og redusere den digitale sårbarheten i samfunnet. Utredningen gjennomgår digitale sårbarheter innenfor flere samfunnsfunksjoner. For helse er det belyst at sektoren er svært sårbar for bortfall av elektronisk kommunikasjon (ekom). Utvalget ser også på andelen av IKT-hendelser hos helseforetakene og Norsk Helsenett som er forårsaket av underleverandører, og finner at de står for en stor del av hendelsene på IKT-siden. «Tre av de regionale helseforetakene har rapportert til Lysneutvalget at henholdsvis prosent, 26 prosent og 50 prosent av hendelsene skyldes svikt hos underleverandører. Ett av helseforetakene oppgir at de ikke har oversikt over dette. Norsk Helsenett anslår at omkring 80 prosent av større uønskede IKT-hendelser innenfor deres ansvarsområde er forårsaket av underleverandører. En stor andel av disse skyldes kommunikasjonsbrudd som har rammet større eller mindre grupper av kundene.» NOU 2015:13 Digital sårbarhet sikkert samfunn Det blir videre i utredningen tatt opp problemstillingen om at små og mellomstore private helseforetak ofte har begrensede ressurser til IKT-drift, og at mange har lagt for liten vekt på å utarbeide og implementere styringssystemer for informasjonssikkerhet. 28 IE-1012

87 Helsedirektoratets rapport «Overordnede risiko- og sårbarhetsvurderinger i helse- og omsorgssektoren» (06/2017) I rapporten blir det trukket frem at pasientbehandling og pasientsikkerhet i økende grad blir avhengig av IKT og at digitale angrep kan forårsake at kritiske systemer blir utilgjengelige. De viktigste sårbarhetene knyttet til IKT i sektoren blir definert til: Avhengighet til systemer og infrastruktur. Avhengigheter (ekom, strøm, vann). Utfordringer i elektronisk meldingsutveksling. Manglende høytilgjengelighet. Gammelt utstyr/programvare som ikke kan oppdateres. Et bredt spekter av angrepsvektorer mot sykehus og pasienter. Kommersielle interesser. Manglende oversikt, lange verdikjeder og gjensidig avhengighet. Mens noen av rotårsakene som ligger til grunn for IKT sårbarhetene listet i rapporten ble indentifisert til: Manglende forståelse for IKT og informasjonssikkerhet som en del av det totale trusselbildet. Mangler eller svakheter i den enkelte virksomhets styringssystem for informasjonssikkerhet (ISMS). For få øvelser med «IKT» og «cyber» på agendaen. Manglende risikoanalyser. Manglende fokus på metode, systematikk og regelmessighet for gjennomføringer av ROS. Fragmentert myndighetsutøvelse. Deler av konklusjonen fra rapporten er at IKT-området trenger økt oppmerksomhet og prioritering for å møte det stadig voksende trusselbildet som utvikler seg i takt med digitaliseringen. Rapporten trekker også frem at de lange og digitale verdikjedene, som spenner over sektorer, forvaltningsnivåer og land samt private og offentlige leverandører, bør være gjenstand for en mer helhetlig vurdering av gjensidige avhengigheter i beredskapssammenheng. Helse Sør-Øst RHF Rapport fra ekstern gjennomgang av programmet for modernisering av IKT-infrastruktur (imod) (juni 2017) PwC har utført en utvidet revisjon av påstander om at eksterne tilganger til Helse Sør-Øst sin IKT-infrastruktur har gitt tilganger til sensitive personopplysninger, herunder helseopplysninger. IE

88 PwCs hovedfunn og vurderinger er: Sykehuspartner HF har ikke tilstrekkelig kontroll på tilgangsstyring. Sykehuspartner HF har ikke tilstrekkelig sporbarhet på tilgang til helseopplysninger. 36 personer tilknyttet ESN-avtalen har hatt utvidede administratorrettigheter som innebærer mulighet for tilgang til helseopplysninger. Hewlett-Packard Norge AS/Enterprise Services Norge AS har så langt ikke kunnet dokumentere at det foreligger databehandleravtaler med samtlige underleverandører som oppfyller kravene i avtalen med Sykehuspartner HF. Systemet for gjennomføring av risikovurderinger har ikke fungert som en effektiv kontrollmekanisme. Sentrale informasjonssikkerhetsrisikoer knyttet til ESN-kontrakten har ikke blitt tilstrekkelig vurdert. Presentasjonen til styret i Helse Sør-Øst RHF var upresis og varsler om dette ble ikke kommunisert til administrerende direktør i Helse Sør-Øst RHF. Datatilsynets varsel om vedtak til helseforetakene i Helse Sør-Øst Datatilsynet henvendte seg i mai 2017 til alle helseforetakene i Helse Sør-Øst RHF. I brevet ba de om en redegjørelse blant annet for hvilke risikovurderinger og aksept av restrisiko som lå til grunn for beslutningen om å tjenesteutsette ansvaret for IKT-drift i regionen (se omtale av PwC-rapporten ovenfor). Det foreligger nå varsel om vedtak til ni av helseforetakene i Helse Sør-Øst hvor det oppgis følgende hovedkonklusjoner: De behandlingsansvarlige helseforetakene ikke har hatt tilstrekkelig eierskap til, eller kontroll med de planlagte endringene knyttet til informasjonssystemet. Helseforetakene har overlatt ansvaret for beslutninger som har betydning for pasientenes personvern og informasjonssikkerheten knyttet til behandling av personopplysninger, til databehandleren og til ansatte lenger ned i organisasjonen. Det ble ikke gjennomført nødvendige risiko- og sårbarhetsvurderinger før det ble besluttet å konkurranseutsette avtale om strategisk partnerskap, herunder drift og vedlikehold av IKT-infrastruktur. Det ble heller ikke gjennomført nødvendige risiko og sårbarhetsanalyser i forkant av at det ble besluttet å velge underleverandør i Bulgaria. Valgt underleverandør har i et begrenset tidsrom hatt tilgang til pasientopplysninger i strid med ledelsens forutsetning om tilgangskontroll. Datatilsynet kommenterer at Helseforetakene legger til grunn at det ikke er et krav om at risikovurdering gjennomføres før behandling av personopplysninger iverksettes. Dette er Datatilsynet uenig i. Det kommenteres også at utkontrakteringen, på grunn av sitt omfang, ligger nær opp til eller i grenseland til sikkerhetslovens virkeområde. Datatilsynet vurderer at sikkerhetsloven er 30 IE-1012

89 relevant selv om den ikke kommer direkte til anvendelse. Selv om Helseforetakene ikke har definert konsolidering av pasientopplysninger i helseregionen som skjermingsverdig etter sikkerhetsloven, mener Datatilsynet at helseforetakene, som et minimum, burde tatt i betraktning hvordan risikovurderinger utføres i saker som er omfattet av sikkerhetsloven. Vedtaket gjelder et forhåndsvarsel om overtredelsesgebyr på kr til ni helseforetak i Helse Sør-Øst for overtredelser av bestemmelser i personopplysnings forskriften og pasientjournalloven. Endelig vedtak er ikke fattet i saken. 3.2 Teknologitrender som kan påvirke bruk av private leverandører Både bruk av og markedet for teknologi er hele tiden under utvikling. Det er flere trender som påvirker hvordan tjenestene kan leveres og som kan endre bruken av private leverandører og deres mulige tilgang til pasientinformasjon. Eksempler på noen viktige trender er: Mer standardløsninger og mer internasjonalt marked. Overgang til leveranse som tjenester («skyen»). Mer bruk av smidige og andre nye «trinnvise» metoder for programvareutvikling. Konsolidering og integrasjon av systemer. Tingenes internett og selvbetjening. Mer bruk av stordata og kunstig intelligens. Globalisering, kompliserte konsernstrukturer og lange leverandørkjeder Mer standardløsninger og mer internasjonalt marked Helse- og omsorgsektoren i Norge bruker i stor grad «standardløsninger» som er utviklet og videreutvikles av norske eller internasjonale private leverandører. Det forventes ikke at denne situasjonen vil endres, men trenden vil heller være at man i enda større grad bruker internasjonale løsninger. Dette medfører at sektoren må forholde seg til internasjonale leverandører og deres leveransemodeller, samt til løsninger som ikke er utviklet spesielt med tanke på norske lover og regler for informasjonssikkerhet. Innen medisinsk-teknisk utstyr er man allerede helt avhengig av internasjonale løsninger. Leverandørene tilbyr flere tjenester rundt sine produkter. Det er for eksempel et økende behov og ønske om å gi leverandørene mer fjernaksess til løsninger, for å sikre bedre og mer effektivt vedlikehold og overvåking. Noen tjenester inkludere også lagring av visse data hos leverandøren. IE

90 3.2.2 Overgang til leveranse som tjenester («skyen») En annen stor trend innen IKT er skytjenester. Skytjenester vil si at virksomheter i stedet for å kjøpe produkter som de selv drifter, så får virksomheten levert dette som standardisert tjeneste over internett driftet av leverandøren. Leveransene gjøres gjerne «globalt». Med personvernforordningen som trer i kraft i 2018 vil også databehandlere utenfor EØS bli underlagt europeisk lovgivning så sant de behandler personopplysninger om innbyggere fra EØS-området. Skytjenester som begrep blir ofte kategorisert i tre ulike leveransemodeller. Dette er allmenn tilgjengelig, privat og hybrid sky. Allmenn tilgjengelig sky er som oftest standardiserte tjenester som leveres likt til kundene på leverandørens premisser. Privat sky er skytjenester som kun gjøres tilgjengelig for virksomheten og hvor kunden selv ofte kan tilpasse løsningen etter egne behov. Hybridsky vil som oftest være en kombinasjon av de to leveranse - modellene. Skytjenester er ofte en integrert del av velferdsteknologi på forbrukermarkedet, og er også på vei inn i IKT-løsninger og medisinsk-teknisk utstyr som leveres til tilbydere av helsehjelp. Digitaliseringsrundskrivet fra Kommunal og moderniseringsdepartementet av sier at «Virksomheter som etablerer nye eller oppgraderer eksisterende fagsystemer eller digitale tjenester, eller endrer eller fornyer avtaler knyttet til drift, skal vurdere skytjenester på linje med andre løsninger». Skytjenester vil derfor i økende grad bli etterspurt i markedet og tilbudt av private leverandører som en kostnadseffektiv tjeneste. Dette vil dekke både enkle velferdsløsninger og større leveranser. Det vil gi nye muligheter, men også stille nye krav til styring, kontroll og risikovurdering rundt håndtering av pasientinformasjon Økt krav og rettigheter for pasienter til å få tilgang til informasjon Ut fra personvernhensyn og på grunn av tekniske forutsetninger, har det historisk vært et mål at personopplysninger lagres og behandles i den enkelte virksomhet. Fokuset går nå mer i retning av at den enkelte person skal ha kontroll på sine opplysninger, samtykke til å bli registrert, informeres om all registrering, og ha rett til innsyn, flytting og sletting. Dette gjenspeiles også i den kommende personvernforordningen. Med dette utgangspunktet kan personvernet og informasjonssikkerheten bli vel så godt ivaretatt i store profesjonelt drevne fellesløsninger som i små og mange løsninger driftet i virksomhetens lukkede soner. I skyløsninger er det vesentlig enklere å lage innsynsløsninger og andre personvernstjenester for pasienten. 32 IE-1012

91 3.2.4 Mer bruk av smidige og andre nye metoder for «trinnvis» programvareutvikling Innen programvareutvikling og systeminnføring får smidige og trimmede metoder stadig større utbredelse. Med smidige metoder leverer man hyppigere, inkrementelt (trinnvis) og iterativt (repeterende). I både smidige og trimmede metoder foretrekkes tverrfaglige lag og IKT-utviklere og brukere jobber sammen. I sin ytterste konsekvens betyr det at man tar bort skillet mellom dem som arbeider med utvikling og dem som arbeider med drift. Dette kan medføre at private leverandørers personale får mer omfattende tilgang til pasient - informasjon Konsolidering og integrasjon I helse- og omsorgsektoren ser vi en trend mot konsolidering av systemer og mer integrerte systemer for å etablerer felles løsninger og oppnå elektronisk informasjonsutveksling. Trenden medfører at konsekvensene av brudd på informasjonssikkerhet blir større siden det rammer flere i større omfang. Den medfører også at eksisterende løsninger der infrastrukturen primært har vært sikret ved å skjerme systemene fra utenverdenen blir mer sårbare Selvbetjening og velferdsteknologi Utstyr og løsninger som kommuniserer gjennom internett, tas i bruk av brukeren selv, eller ønskes tatt i bruk innen mange ulike deler av helse- og omsorgssektoren, øker i omfang. Dette vil gjelde flere områder med for eksempel selvbetjening innen sektoren. Velferdsteknologi kan bidra til økt trygghet og bedre tjenester for brukere og pårørende, samt gi en bedre utnyttelse av ressurser i helse- og omsorgstjenesten. Men det gir også flere utfordringer sikkerhetsmessig og hva angår ansvarsforhold. Blant leverandørene er det ulik grad av sikkerhetsforståelse. Dette gjelder ikke bare ivaretakelse av konfidensialitet, men også integriteten i dataene, tilgjengelighet og datakvalitet. Dette omtales nærmere som forbedringsområde i kapittel 5. Velferdsteknologi-programmet 21 gir en mer utfyllende beskrivelse av utfordringsbildet Stordata og kunstig intelligens To trender som påvirker bruken av informasjon som finnes i pasient journaler og helseregistre er stordata og kunstig intelligens. Ny teknologi gjør det mulig å bruke data som tidligere var svært vanskelig tilgjengelige, herunder data fra utlandet, til forskning og beslutningsstøtte for praktikere. Det blir en økende 21 Se flere rapporter på IE

92 interesse for informasjonsdeling på tvers av landegrenser og for private leverandører å få tilgang til pasientinformasjon Globalisering, kompliserte konsernstrukturer og lange leverandørkjeder En annen trend med konsekvenser for informasjonssikkerhet ved tjenesteutsetting er utviklingen mot globale leverandører med kompliserte konsernstrukturer og lange kjeder med underleverandører som opererer i ulike jurisdiksjoner med ulike regelverk. Mange leverandører, også norske, benytter internasjonale nettverk av leveransesentre. Dette gjør det enklere å kunne tilby tilstrekkeligkapasitet og kompetanse døgnet rundt. Ved å plassere sentrene i ulike tidssoner er det også mulig å la oppgavene «følge solen». Med hele verden som arbeidsfelt blir det lettere å kunne konsentrere seg om noen få arbeidsoppgaver og bygge spisskompetanse. I tillegg kommer muligheten for å levere til lavere kostnad fra lavkostland. Mange leverandører har kompliserte konsernstrukturer og benytter i stor grad underleverandører, og det er utfordrende når eierskapsstrukturen og leverandører som benyttes endrer seg. Risikovurderingen må ta høyde for dette. Bruk av denne type leveransemodeller fra private leverandører brukes i stor skala i andre bransjer som bank, olje og telekommunikasjon. Slike modeller krever en aktiv risikostyring og kontroll, og ikke minst økt kompetanse i kravstilling og kontraktsoppfølging. 34 IE-1012

93 4 Bruk av private leverandører Innhenting av informasjon Det er innhentet informasjon om status på bruk av private leverandører fra de aktørene i sektoren som behandler pasientinformasjon; de regionale helseforetakene, fastleger, Helsetjenestenes driftsorganisasjon (HDO), Pasientreiser, Folke helseinstituttet og Norsk Helsenett. Bortsett fra fastleger er innspill innhentet ved hjelp av både et spørreskjema 22 og dialog. For fastlegene er det avholdt særmøte og involvering av leger som deltar i EPJ-løftet. Det er kun informasjonen som er innhentet skriftlig som danner grunnlag for resultatene. Informasjonsinnhentingen er rettet mot IKT-løsninger som inneholder pasientinformasjon innenfor følgende tjenesteområder: Basisdrift Applikasjonsdrift Applikasjonsforvaltning Applikasjonsutvikling og -innføring I tillegg har aktørene besvart spørsmål vedrørende tilgang til løsninger, forhold knyttet til medisinsk-teknisk utstyr, samt bruk av skyløsninger. Presiseringer For å få en oversikt over tjenesteutsetting innenfor de enkelte tjenesteområdene, er aktørene bedt om å angi hvor stor prosentandel av totalkostnadene for hvert tjenesteområde som brukes på private leverandører. Dette gir nødvendigvis ikke et eksakt bilde på bruk av private leverandører, men en indikasjon på bruken. I tabellene nedenfor er disse prosentandelene brukt som grunnlag for en gradsvurdering på bruk av private leverandører. Mange av aktørene bruker Norsk Helsenett som driftsleverandør. Norsk Helsenett blir i denne rapporten ikke vurdert som en privat leverandør. Dette medfører at innspill fra aktørene om at de drifter noen tjenester selv, inkluderer bistand fra Norsk Helsenett. 4.1 RHFene Alle de fire regionale helseforetakene har svart på spørreskjemaet. I tabell 4.1 presenteres en oppsummering på bruk av private leverandører for hvert tjenesteområde (basert på andel kostnader for hvert tjenesteområde). 22 Se vedlegg 4 for en oversikt over alle spørsmålene. IE

94 Tabell 4.1: Bruk av private leverandører på de enkelte tjenesteområdene for RHFene. Aktører Basisdrift Applikasjonsdrift Applikasjonsforvaltning Applikasjonsutvikling og -innføring Helse Sør-Øst I liten grad I liten grad I stor grad I meget stor grad Helse Vest I meget liten grad I liten grad I stor grad I stor grad Helse Midt Ingen I liten grad I meget stor grad I meget stor grad Helse Nord I liten grad I liten grad I meget stor grad I stor grad Resultatene som presenteres i tabellen viser at RHFene i stor grad benytter seg av private leverandører på applikasjonsforvaltning, -utvikling og -innføring og i liten grad på basis- og applikasjonsdrift. Noe av forskjellene i tabellen kan skyldes ulik tolking fra de enkelte RHFene gitt at det virker som RHFenes bruk av private leverandører er relativt lik på de ulike områdene Vurdering av de enkelte tjenesteområdene Basis- og applikasjonsdrift Når det gjelder basis- og applikasjonsdrift håndteres dette for det meste av RHFene selv eller av Norsk Helsenett. Det er relativt liten variasjon på bruk av private leverandører. RHFene oppgir at prosentandelen av totalkostnadene som brukes på private leverandører på basis- og applikasjonsdrift ligger mellom 0 10 prosent. Private leverandører støtter primært på drift av enkelte komponenter og mindre IKT-løsninger. Aktørene har til nå vært tilbakeholdne med å utkontraktere basisdrift av systemer som inneholder pasientinformasjon til private leverandører. Dette er dels basert på risikovurdering og dels basert på en vurdering av kostnad og kvalitet. Sentrale sikkerhetsfunksjoner som brannmurdrift, overvåkning av infrastruktur, sikkerhets og -sårbarhetsovervåkning av servermiljø, blir av enkelte fremhevet som noe man spesielt ønsker intern kontroll på. Applikasjonsforvaltning For alle RHFene gjennomfører private leverandører en betydelig andel arbeid med applikasjonsforvaltningen. Angitt prosentandel av totalkostnader som brukes på private leverandører på applikasjonsforvaltning varierer fra 40 til 90 prosent. Helse Sør-Øst og Helse Vest bruker private leverandører i noe mindre grad enn Helse Midt og Helse Nord på applikasjonsforvaltning. RHFene påpeker at de har gode rutiner med å begrense private leverandørers tilgang til pasientinformasjon i forbindelse med applikasjonsforvaltning. Det vil allikevel være situasjoner hvor ansatte hos private leverandører får tilgang til pasientinformasjon, for eksempel ved alvorlige feilsituasjoner. 36 IE-1012

95 Applikasjonsutvikling og -innføring For RHFene har private leverandører et stort ansvar innenfor applikasjonsutvikling og -innføring. Angitt prosentandel av totalkostnader på disse tjenesteområdene som går til private leverandører varierer fra 50 til 90 prosent. Helse Nord og Helse Vest ligger noe lavere enn Helse Midt og Helse Sør-Øst. RHFene driver med begrenset egenutvikling, og det er bred enighet mellom RHFene at man må kjøpe de beste norske og internasjonale standardløsningene innen applikasjonsutvikling. RHFene arbeider bevisst med å minimere tilgangen til pasientinformasjon ved applikasjonsutvikling og innføring av løsninger, men i noen tilfeller må dette gis for å kunne innføre ny løsning og sikre høy kvalitet. Mye av arbeidet med applikasjonsutvikling og -innføring gjøres uten av man trenger eller har tilgang til pasientinformasjon. Leverandørene vil allikevel kunne få tilgang til pasientinformasjon rundt aktiviteter som konvertering av data fra gammel til ny løsning, slutt- og produksjonstester, migrering og produksjonssetting. Disse tjenestene kjøpes som regel i noe omfang fra private leverandører der man har større innføringsprosjekter, som for eksempel innføring av kjernejournal eller andre store fagsystemer Andre områder Ansatte hos private leverandører kan også få tilgang til pasientinformasjon gjennom andre kanaler, ikke minst gjennom medisinsk-teknisk utstyr og skyløsninger. Medisinsk-teknisk utstyr Alle RHFene oppgir at leverandører av medisinsk-teknisk utstyr har fjernaksess eller intern aksess til levert utstyr knyttet til overvåking, feilsøking, feilretting, oppgraderinger og generell service og vedlikehold av utstyr og tilhørende programvarer. I noen tilfeller vil dette kunne gi tilgang til pasientinformasjon, men RHFene prøver å begrense dette. RHFene har prosesser, rutiner og sikkerhetsløsninger som de mener håndteres i henhold til kravene. Noen RHFer påpeker at det er et økende behov og ønske fra leverandørene om fjernaksess for å sikre oppetid og dermed pasientsikkerhet. Det er i tillegg økonomiske fordeler ved bruk av fjernaksess. RHFene nevner også at det er en internasjonal trend at medisinsk-teknisk utstyr i større grad leveres som tjenester og dette kan gi private leverandørene økt tilgang til pasientinformasjon. Så langt har dette i liten grad skjedd i Norge. Bruk av eksterne skytjenester Bruk av eksterne skytjenester gjøres i dag i meget begrenset omfang for løsninger med pasientinformasjon. Noen bruker skyløsninger for noen få konkrete løsninger og andre ved bruk av medisinsk-teknisk utstyr. IE

96 Flere av RHFene forventer at både behov og ønsker om bruk av skyløsninger raskt vil øke i omfang. Dette er blant annet knyttet til at pasientnære e-helse- og velferdsteknologier øker, og at ved kjøp av medisinsk-teknisk utstyr vil det følge med skybaserte tjenester. Eksempler på dette er oppfølging av kronikere (KOLS, diabetes m.fl.), data fra pacemakere og oppfølging av kreftpasienter hjemme. Pasientene vil i økende grad skaffe seg løsninger som brukes utenfor institusjon, og ønsker at data fra disse løsningene skal brukes i behandlingen gitt av institusjonene Hvilke land private leverandører har tilgang fra Tabellen nedenfor gir en oversikt over hvilke land RHFenes leverandører, og eventuelt underleverandører oppholder seg i. Tabell 4.2: Oversikt over hvilke land de private leverandører har tilgang fra. Land og områder Prosentandel (laveste og høyeste pr. RHF) Norge % EU/EØS % Andre 2 10 % Når det gjelder «andre» representerer dette primært USA. Det er også tilgang fra Israel, India og andre land i Asia. Noen leverandører leverer tjenester etter «følg solen»-prinsippet, som innebærer at arbeidet forflytter seg mellom ulike tidssoner gjennom døgnet. Helse Vest og Helse Sør-Øst benytter dette i noe omfang i dag. Resultatene viser at leverandører og underleverandører som har tilgang til pasient informasjon primært oppholder seg i Norge eller EU/EØS-området. Det er begrenset (to prosent) tilgang utenfor EU/EØS-område Betingelser ved bruk av private leverandører RHFene har regionale sikkerhetssystemer og krav som gir betingelser som må oppfylles for at private leverandører kan få tilgang til pasientinformasjon. Normen og andre regulatoriske krav må oppfylles. Det gjennomføres risikovurderinger for å identifisere hvorvidt tjenesten opererer innenfor et akseptabelt risikonivå. RHFene understreker at de har styring og oppfølging av fjernaksess til løsningene. Kun autoriserte personer hos leverandørene får tilgang i en begrenset periode. RHFene gjennomfører regelmessige gjennomganger av hvem som har tjenstlige behov for tilgang. I tillegg skal pasientinformasjon ikke hentes ut uten en avtale. 38 IE-1012

97 Det inngås databehandleravtaler med leverandører, men noen RHFer påpeker at det kan være utfordrende å sikre rekken med underleverandører RHFenes tilfredshet med private leverandører Generelt er RHFene positive til private leverandører. De har tillit til leverandørene og understreker at de er avhengige av bistanden fra de private leverandørene. Enkelte RHFer har opplevd tilfeller der pasientinformasjon ikke er blitt håndtert i henhold til avtaler eller der det burde ha blitt søkt om samtykke. Ett RHF påpeker at det er stor kompetanseforskjell hos de private leverandørene på informasjonssikkerhet, evne til å etterleve eksisterende personopplysningslov og bransjenorm. Videre mener RHFene at kompetanse innen IKT og forståelse for eksisterende trusler og sårbarheter gjerne er større hos de største leverandørene. Samtidig opplever ett RHF at større leverandører ikke oppleves som like smidige. De private leverandørene ønsker i blant å benytte egne løsninger for fjernaksess, men på grunn av et strengt tilgangsregime så tillates ikke dette. 4.2 Andre som behandler pasientinformasjon I arbeidet med rapporten er det innhentet informasjon fra andre i sektoren som behandler pasientinformasjon. Disse er Pasientreiser, Folkehelseinstituttet, HDO, Norsk Helsenett og Direktoratet for e-helse. Nedenfor er en oppsummering av den innsamlede informasjonen. Resultatene e inkluderer ikke svar på alle spørsmålene i spørreskjemaet fordi enkelte spørsmål ikke var relevante for noen av aktørene. I tabell 4.3 presenteres en oppsummering bruk av private leverandører (basert på andel kostnader for hvert tjenesteområde): Tabell 4.3: Oversikt over bruk av private leverandører på de enkelte tjenesteområdene for Pasientreiser, Folkehelseinstituttet, HDO, Norsk Helsenett og Direktoratet for e-helse. Aktører Basisdrift/ applikasjonsdrift Applikasjonsforvaltning Applikasjonsutvikling og -innføring Folkehelseinstituttet Ingen Ingen I noen grad Pasientreiser Ingen I meget stor grad I meget stor grad HDO Ingen I liten grad Norsk Helsenett I liten grad I liten grad Utvikling: Alt Innføring: ingen Utvikling: I stor grad Innføring: I liten grad Direktoratet for e-helse I noen grad I noen grad I stor grad Når det gjelder basisdrift og applikasjonsdrift er dette i liten grad satt ut til private leverandører, bortsett fra i Direktoratet for e-helse. For applikasjons- IE

98 forvaltning er det noe større variasjoner. Noen forvalter dette internt, mens andre har satt nesten alt ut til private leverandører. På applikasjonsutvikling og -innføring gjøres betydelig mer av private leverandører. Alle aktørene opplyser at de benytter seg av privat leverandører innenfor dette tjenesteområde og dette gjelder spesielt på applikasjonsutvikling Folkehelseinstituttet Status Folkehelseinstituttet gjør stort sett alt på basisdrift, applikasjonsdrift og applikasjonsforvaltning internt. De får noe bistand på applikasjonsutvikling og -innføring og angir at 15 prosent av totalkostnadene på applikasjonsutvikling og -innføring brukes på private leverandører. Folkehelseinstituttet understreker at private leverandører i liten grad får tilgang til pasientinformasjon. Folkehelseinstituttet bruker ikke private skyløsninger. Når det gjelder medisinskteknisk utstyr har leverandørene ikke fjernaksess til dette, men ved behov kan leverandøren arbeide ved fysisk fremmøte i samarbeid med Folkehelseinstituttets medarbeidere. Leverandørens personale som kan få tilgang til pasientinformasjon kommer stort fra Norge og alle innen EØS/EU-område. Teoretisk kan personer utover EØS få tilgang Pasientreiser Status Pasientreiser utfører selv basis- og applikasjonsdrift. Når det gjelder applikasjons forvaltning, -utvikling og -innføring utføres det meste av private leverandører. Pasientreiser angir at private leverandører har svært stor tilgang til pasientinformasjon. Dette skyldes at de følger en smidig utviklingsmetode som forutsetter innsyn i pasientinformasjon. Pasientreiser benytter i dag ingen skytjenester hvor det behandles pasientinformasjon, og de har ikke medisinsk-teknisk utstyr. De private leverandørene kommer stort sett fra Norge og noe fra EØS/EU. Erfaring leverandører Pasientreiser har stort sett positive erfaringer med sine leverandører, og leverandørene har rett holdning til personvern og informasjonssikkerhet. Betingelser Når det gjelder sikring av pasientinformasjon ved bruk av private leverandører, vurderer Pasientreiser ved hvert enkelt tilfelle hvorvidt det er behov for å benytte pasientinformasjon. Tilganger styres også ut fra behov og vil ta utgangspunkt i arkitekturprinsipper, Normen, taushetserklæringer og databehandleravtale. 40 IE-1012

99 4.2.3 Helsetjenestens driftsorganisasjon (HDO) Status HDO drifter selv basis- og applikasjonsdrift. Når det gjelder applikasjonsforvaltning får de noe bistand fra private leverandører på Nødnett, angitt til 10 prosent av totalkostnadene på tjenesteområdet. Når det gjelder applikasjonsforvaltning på lydlogg gjøres alt arbeidet av HDO. All applikasjonsutvikling gjøres av private leverandører, men selve innføringen gjøres av HDO. Private leverandører har ingen tilgang til pasientinformasjon. Lydlogg er den eneste applikasjonen som har pasientinformasjon og den forvalter og drifter HDO selv. Nødnett inneholder ikke pasientinformasjon. HDO verken drifter eller forvalter medisinsk-teknisk utstyr, og de benytter heller ikke skytjenester hvor det behandles pasientinformasjon. Erfaring med private leverandører HDO har meget positive erfaringer med leverandørene av Nødnett og tilstøtende applikasjoner. Det er ikke avdekket avvik vedrørende de retningslinjene som er avtalt mellom partene. Det er ingen leverandører som har tilgang til Lydlogg, som er eneste applikasjonen HDO drifter og forvalter som inneholder pasientinformasjon. Betingelser I anskaffelsesprosessen blir leverandører bedt om å signere på databehandleravtale. Der enkeltpersoner skal inn i systemene, signeres taushetserklæring. Etter innføring og før overføring til drift sletter HDO alle brukere som ikke tilhører HDO drift Norsk Helsenett Status Norsk Helsenett står selv for mye av basisdrift, applikasjonsdrift og applikasjonsforvaltning og angir at 5 prosent gjøres av private leverandører. På applikasjonsutvikling står private leverandører for en større andel, anslått til noe under 50 prosent av totalkostnadene. Applikasjonsinnføring gjør de stort sett selv. Bistanden fra private leverandører er anslått til under 5 prosent av totalkostnadene. Norsk Helsenett mener at private leverandører i liten grad har tilgang til pasientinformasjon. Dette gjelder kun i noen få tjenester der databehandlingsansvarlig benytter private underleverandører i tillegg til Norsk Helsenett som driftsleverandør. Norsk Helsenett har ingen skytjenester hvor det behandles pasientinformasjon og har ikke ansvar for medisinsk-teknisk utstyr. I dag holder all personell som arbeider med pasientinformasjon til i Norge og Norsk Helsenett har ingen avtale med utenlandske leverandører knyttet til slik drift. IE

100 Erfaring med private leverandører Vedrørende erfaring med private leverandører mener Norsk Helsenett at det ofte er utfordringer knyttet til det å ha god nok oversikt over tilganger. For enkelte tjenester er det forventet at man driver utvikling som krever flere underleverandører og hyppige leveranser. Dette har til tider vært utfordrende med tanke på kontroll. Betingelse Norsk helsenett benytter private leverandører i svært beskjeden grad inn mot helse- og personopplysninger. De understreker at hvilke kriterier man velger å sette avhenger av systemet, men kompetanse og evnen til å forholde seg til norsk lovverk har stor oppmerksomhet. Norsk Helsenett krever alltid at leverandører skal følge kravene i Normen. Dersom dette ikke er mulig, må de private leverandørene forplikte seg til EU/ EØS-lovgivning. En del av Norsk Helsenetts virksomhet er å legge til rette for at brukerne av Helsenettet skal få tilgang til nyttige og relevante tjenester. En del av tjenestene leveres av ca. 200 godkjente, eksterne leverandører som tilknyttes Helsenettet. Dette omfatter: Driftsleverandører ASP Driftsleverandører Fjerndrift Journalleverandører Regnskap og betalingsløsninger Back-up Telefoni/videoløsninger Andre tjenester som frankeringsmaskiner, talegjenkjenning, sertifikathåndtering og lignende tjenester. En rekke av leverandørene som tilknyttes Helsenettet ønsker å informere om sine tjenester på nhn.no. Det finnes en oversikt over disse her: Direktoratet for e-helse Direktoratet for e-helse står selv (gjennom Norsk Helsenett) for mye av basis- og applikasjonsdrift, men bruker private leverandører i et visst omfang (angitt til 25 prosent av totalkostnader på tjenesteområdene). På applikasjonsforvaltning, -utvikling og -innføring brukes det private leverandører i større grad (angitt til 40 prosent av totalkostnadene på tjenesteområdene). I dag holder alt personell som arbeider med pasientinformasjon for Direktoratet for e-helse til i Norge. 42 IE-1012

101 4.2.6 Private fastleger Informasjon om fastlegers løsninger og bruk av private leverandører er innhentet ved kontakt med fastleger som er en del EPJ-løftet og fra Direktoratet for e-helse sitt arbeid med prosjekt for «Digital dialog med fastleger». Det finnes ingen samlet oversikt over løsninger og bruk av private leverandører, men det antas at den informasjonen som er samlet inn gir et tilstrekkelig bilde av situasjonen, med tanke på sikkerhetsmessige utfordringer. Private leverandører tilbyr i dag følgende primære tjenester til fastlegene: Basisdrift inkludert applikasjonsdrift EPJ-løsninger utvikling og forvaltning Medisinsk-teknisk utstyr, inkludert oppkobling og feilretting Betalingsløsninger Noen private fastleger bruker kommunens IKT-løsninger, men omfanget er ikke kartlagt. Nedenfor er det oppsummering av status når det gjelder privat leverandører knyttet til de ulike områdene. Basisdrift inkludert applikasjonsdrift Fastlegenes bruker i dag ulike alternativer for basis- og applikasjonsdrift. Det opplyses om fire alternativer: 1. Lokal drift utført av eget personale. Løsningene er installert på en server på det lokale legekontoret og driftes av personale på legekontoret. 2. Lokal drift, men med viss bistand fra ekstern private leverandører. Løsningene er installert på en server på de lokale legekontoret. Private leverandører bistår i større eller mindre grad med driften av løsningene. Leverandørene kan være mindre lokale firmaer eller kjente. Bistanden ytes enten via fjernaksess eller fysisk oppmøte på kontoret. 3. Lokalt, men legekontoret har en totalleverandør. Løsningen er installert på en server på legekontoret, men legekontoret har en leverandør som tar total ansvar for driften. 4. Fjernleverandør av driftstjenester. Løsningene er installert hos leverandør som har ansvar for drift av løsningene. Legekontoret har fjernaksess til sine løsninger og det vil si ingen lokal installasjon. For alternativ 2, 3 og 4 vil den private leverandøren ha stor tilgang til pasientinformasjon. Applikasjonsforvaltning, -utvikling og -innføring av løsninger Det er primært tre private leverandører av EPJ-løsninger til legekontorer/ fastleger i Norge. Disse leverandørene utvikler løsningene og bistår med innføring og forvaltning av løsningene. Noe av forvaltningen gjøres av personale IE

102 på det enkelte legekontor, som installasjon av mindre oppdateringer og fikser. Leverandørene av EPJ-løsningen vil under arbeidet ha tilgang til løsningene via fjernaksess eller ved lokalt oppmøte, og dermed tilgang til pasientinformasjon. Løsningene installeres på legekontorets server eller datasenter som leverer driftstjenester. Det er kommet en ny skybasert EPJ-løsning, men denne har ikke stor utbredelse. De etablerte leverdørene synes å følge utviklingen av skytjenester og har allerede tilbud om, eller er på vei til å komme med tilbud om, skyløsning/hosting for sine løsninger. Noen leger er skeptiske til skyløsninger og begrunner dette primært med usikkerhet vedrørende tilgjengelighet I tillegg har legekontorer også betalingsløsninger hvor leverandøren av disse også har tilgang til en viss pasientinformasjon, for eksempel hvilke tjenester pasientene har betalt for. Når det gjelder kvalitetssystemer, opplyses det om at mellom 30 og 40 prosent av fastlegekontorene benytter seg av TrinnVis kvalitetssystem. TrinnVis er et nettbasert styrings- og kvalitetssystem som gir en oversikt over samarbeidspartnere som har tilgang til lokaler og datasystem. Medisinsk-teknisk utstyr Fastlegekontorer har medisinsk-teknisk utstyr som både kan være frittstående og tilknyttet PC. Vanligvis er det private leverandører som installerer utstyret og driver med oppdateringer eller feilretting. Leverandørene har vanligvis ikke fjernaksess. Leverandørene vil under arbeidet ha tilgang til server der pasientinformasjon er lagret og kan få innsyn i pasientinformasjon som er lagret i medisinsk-teknisk utstyr. Leverandører har i prinsippet ikke tilgang til annen pasientinformasjon, men kan gjennom sin tilgang til serveren ta kopi av data som er lagret på denne. Oppsummering Hos de aller fleste fastleger er det en eller flere private leverandører som har stor tilgang til pasientinformasjon. Dette gjelder alltid EPJ-leverandøren, men i mange tilfeller også de som bistår på drift eller drifter løsningen. Bistanden gjøres fra Norge, selv om selskapene er utenlandske. Under hvilke betingelser gis private leverandører tilgang? Fastlegene prøver å etterfølge Normen, men den kan være kompleks og vanskelig å forstå. Fastlegene inngår databehandleravtale med leverandørene. Leverandøren har egne brukernavn og passord, men kan i noen tilfeller bruke ansattes brukernavn og passord. I noen tilfeller må leverandøren gjøre vedlikeholdsarbeidet fysisk på legekontoret. Dette mener legene gir en ekstra sikkerhet. 44 IE-1012

103 Utfordringer med bruk av private leverandører Utfordringene med bruk av private leverandører relatert til sikkerhet rundt pasient informasjon, er at man må gi leverandørene tilgang til løsningen og det er ikke enkelt å følge opp hva de enkelte leverandørene gjør. Det er også begrenset kompetanse på det enkelte legekontor. Fordelen med de lokale løsningene man har i dag, er at det er begrenset hvor mye informasjon som kan komme på avveie sammenlignet med en sentral løsning Kommuner Som nevnt innledningsvis skulle kommunesektoren i utgangspunktet være en del av oppdraget. Direktoratet for e-helse sendte ut spørreskjemaet til et utvalg av kommuner, men det har ikke kommet inn tilstrekkelig antall svar for å danne et godt nok grunnlag for å besvare oppdraget fra HOD. Rapporten omhandler derfor ikke kommunesektoren, med unntak av begrenset informasjon om løsninger hos fastleger. Kommunesektoren må eventuelt gjennomgås i en videreføring av prosessen. IE

104 5 Hvilke tjenester bør ikke overlates til private leverandører? Aktørenes vurdering på bruk av private leverandører, er besvart fra samtlige aktører, bortsett fra Sykehusinnkjøp. Aktørene har besvart spørsmålene med ulik grad av detaljeringsnivå. Det er kun den skriftlige, innhentede informasjonen som danner grunnlag for resultatene. Direktoratet for e-helse har i kapittel 5.2 kommet med sin vurdering. 5.1 Resultatene fra aktørene På spørsmålet om det er noen tjenester som ikke bør settes ut til private leverandører, fikk aktørene mulighet til å svare på dette for hvert tjenesteområde Basisdrift I tabell 5.1 er det en oppsummering av hva aktørene mener ikke bør overlates til private leverandører vedrørende basisdrift. 23 Noen aktører svarer i større grad på hvilke tjenester som er satt ut i dag enn vurderinger av hva som bør eller kan settes ut til private leverandører. Der det i tabellen står «ikke settes ut» menes at private leverandører ikke bør overta dette, uansett jurisdiksjon. 23 Dette er en oppsummering av svar, og ikke ordrette sitater. Innspillene fra hovedaktørene finnes i vedlegg 6, og alle innspillene fra fag- og pasientorganisasjoner finnes i vedlegg IE-1012

105 Tabell 5.1: Oppsummering av svarene fra aktørene på spørsmålet om hvorvidt basisdrift bør overlates til private leverandører. Aktørene Basisdrift Kommentar RHFene Helse Sør-Øst Helse Vest Helse Midt Helse Nord Andre i sektoren Folkehelseinstituttet Norsk Helsenett Pasientreiser HDO Det pågår for tiden en intern prosess i Helse Sør-Øst vedrørende utsettelse av basisdrift, og av den grunn kan ikke dette besvares nå. Ikke satt ut i dag. Visse funksjoner bør ikke settes ut, som for eksempel sikkerhetsfunksjoner. Ikke satt ut i dag. Kan vurderes under gitte forutsetninger (informasjonssikkerhet, kvalitet og kost). Helse Nord har ikke satt ut basisdrift i dag, og det foreligger ingen planer om å vurdere utsetting av hele eller deler av basisdriften. Ikke settes ut. Kan bruke private leverandører der det er formålstjenlig gitt at lovkrav oppfylles. Ikke vurdert dette. Ikke kommentert. Beholdt det internt etter en kostog kvalitetsvurdering. Når det gjelder jurisdiksjoner så har de ikke satt klare begrensninger, men dette må vurderes fra sak til sak. Enklest dersom data er i Norge med, alternativt EU/EØS. Ny leverandørstrategi kommer høsten Har ellers vurderinger rundt risiko med å sette dette ut til utlandet, og spesielt utenfor EU/EØS. Fag- og pasient-organisasjoner Fagforbundet Ikke settes ut. Fagforbundet mener også at IKTinfrastruktur i helsevesenet bør omfattes av sikkerhets lovens regler om håndtering av samfunnskritisk informasjon. NITO Ikke settes ut (i dag). Nåværende infrastruktur for sårbar til å overlates til private. Er deler av dette skjermingsverdig objekt etter sikkerhetsloven? IE

106 Aktørene Basisdrift Kommentar Tekna Den norske legeforening IKT-næringen DXC IBM Sopra Steria Ikke sette ut til utlandet dersom det faller inn under kritisk infrastruktur. Kan settes ut til private leverandører som drifter løsning i Norge. Bør driftes innenfor landets grenser. Mener alt kan settes ut gitt riktig kontroll og risikovurdering Ikke konkludert. Sikkerhetsmuligheter og regulatoriske krav avgjør Mener alt kan sette ut, men skille på ulike jurisdiksjoner hvor data kan lagres NSM har en klar rådgivende funksjon når det gjelder sikkerhets- og sårbarhetsvurderinger. NSM må ha myndighet til å beslutte om risikoen er større enn forsvarlig nivå, og dermed pålegge at tjenesten ikke kan utkontrakteres. Tillitsforhold til helsedata er viktig. Dette kan bli svekket dersom det driftes i utlandet. IKT i helsetjenesten er samfunnskritisk infrastruktur, noe som betyr at nasjonen må ha nok kompetanse til å håndtere ulike typer hendelser og angrep på denne infrastrukturen. Bruke en kombinasjon av løsninger som driftes i Norge og utlandet, inkludert skyløsninger. For kort tid for kvalifisert svar. Mener man må skille på jurisdiksjon. Løsning med personinformasjon bør muligens håndteres innenfor EU/ EØS. De viser til sikkerhetsloven og Lysneutvalget. Når det gjelder å skille på jurisdiksjon har, som det fremgår av tabellen ovenfor, en rekke aktører kommentert dette: RHFene har ulike vurderinger knyttet til land og jurisdiksjoner. Dette dekker blant annet forholdet med hva som kan settes ut i Norge, EU/EØS og utenfor EU/EØS. Tekna mener at det ikke kan settes ut til utlandet, det vil si at det må driftes fra Norge. DXC mener at det er mulig med en kombinasjon mellom Norge og utlandet. IBM mener det må skilles på krav mellom Norge, Norden, EU/EØS og andre deler av verden. Sopra Steria mener at alt kan settes ut, men det må skilles på hvor ulik data kan lagres. For øvrig viser vi til mer utfyllende kommentarer vedrørende jurisdiksjoner i vedlegg IE-1012

107 Oppsummering Basert på de innkommende svarene så kan det konkluderes med at det er ulike meninger blant aktørene på hvorvidt basisdrift bør settes ut til private leverandører eller ikke. RHFene kommenterer delvis ut fra nåværende status hvor de har valgt å gjøre det internt, mens ett RHF arbeider med en avklaring. På fagforeningssiden varierer det fra at basisdrift ikke kan settes ut overhode til at det ikke kan settes ut til utlandet. Noen aktører mener denne tjenesteutsettingen bør vurderes i henhold til sikkerhetsloven. Legeforeningen mener det ikke bør settes ut til utlandet, mens IKT-leverandørene heller mot at alt kan settes ut. Noen IKTleverandører mener at det er behov for mer tid på dette spørsmålet for i bedre grad konkludere med hva som kan settes ut og hvor det kan settes ut Applikasjonsdrift, -forvaltning og -utvikling I tabell 5.2 gis en oversikt over de svarene på spørsmålet om de ulike tjenesteområdene innenfor applikasjoner kan overlates til private leverandører. 24 Tabell 5.2: Oppsummering av svar fra hovedaktørene om hvorvidt ulike applikasjonstjenester kan overlates til private leverandører. Aktører Helse Sør-Øst Applikasjoner (drift, forvaltning, utvikling og innføring) Applikasjonsdrift og -forvaltning: Drifts- og forvaltningsoppgaver for disse områdene er i all hovedsak i egen regi. Dette ligger tett opp mot Helse Sør-Østs kjerneoppgaver, og det er derfor ikke planlagt endringer i dette. De systemene som brukes er likevel i all hovedsak levert av private leverandører, og disse private leverandørene leverer feilrettinger, oppgraderinger osv. og samarbeider med Helse Sør-Øst i driftssettingen av disse, for eksempel som tredjelinjesupport e.l. Det er derfor behov for betydelig bistand fra private leverandører og deres under leverandører. Det planlegges ikke endringer i denne organiseringen av arbeidet. Applikasjonsutvikling og innføring: Helse Sør-Øst er lite involvert i leverandørenes utvikling (annet enn ev. som bestiller), men innføring foregår i nært samarbeid med private leverandører. Leverandørene av både de systemene som erstattes og de nye vi setter i drift er stort sett private. Disse leverandørene utvikler altså stort sett selv sine løsninger, mens driftssetting inklusive migrering etc. skjer i tett samarbeid med dem. Det planlegges ikke endringer i denne organiseringen av arbeidet. 24 Dette er en oppsummering av svar, og ikke ordrette sitater. Innspillene fra hovedaktørene på dette spørsmålet finnes i vedlegg 6. IE

108 Aktører Helse Vest Applikasjoner (drift, forvaltning, utvikling og innføring) Applikasjonsdrift: Hovedregelen er å forestå drift i egen regi og i egne lokaler. Samtidig er det åpning for andre driftsmodeller i anbudsprosesser. Applikasjonsforvaltning, -utvikling og -innføring: Kan settes ut til private leverandører, men Helse Vest har vurdert at det er noen tjenester som ikke bør settes ut (sentrale sikkerhetsfunksjoner). Helse Midt Applikasjonsdrift: Daglige drift av applikasjonen gjøres internt, og benytter leverandørmarkedet for feilretting i applikasjonene der dette ikke kan gjøres i egen regi. Applikasjonsforvaltning, -utvikling og -innføring: Bruker i hovedsak leverandørmarkedet for utvikling og videreutvikling av applikasjoner. Står selv for innføring og produksjonssetting. Helse Nord Applikasjonsdrift: I liten grad satt ut applikasjonsdrift i dag, og det foreligger ingen planer om å vurdere ytterligere utsetting av hele eller deler av applikasjonsdriften. Applikasjonsforvaltning, -utvikling og -innføring; Dette kan i utgangspunktet settes ut private leverandører, men leverandører som befinner seg i andre land og kontinenter reiser en rekker sikkerhet- og beredskapsutfordringer ikke minst dersom det er utenfor EU/EØS. Bruken av utenlandske leverandører bør derfor vurderes konkret pr. tilfelle. Norsk Helsenett Folkehelseinstituttet Pasientreiser HDO Kan bruke private leverandører der det er formålstjenlig gitt at lovkrav oppfylles. Bruker i liten grad private leverandører i dag innenfor disse tjenesteområdene, bortsett fra på applikasjonsutvikling. Kan settes ut, men avhenger av løsningene. Ingen generell vurdering på dette, men forvaltning, utvikling og innføring gjøres nesten bare av private leverandører Ikke svart. Gjør mye av arbeidet med forvaltning og innføring selv. Applikasjonsutvikling gjøres av private leverandører. Utover hovedaktørene er det primært IKT-leverandørene som har kommentert på bruk av private leverandører for applikasjoner. De mener, i likhet med utsetting av basisdrift, at tjenester vedrørende applikasjoner kan settes ut til private leverandører. Konklusjonen, når det gjelder applikasjonssiden, er at samtlige aktører mener at mye av arbeidet bør og må gjøres av private leverandører. Dette gjelder applikasjonsforvaltning i noe mindre grad enn applikasjonsutvikling og -innføring. Hovedansvaret og visse funksjoner som driftssetting og sikkerhetsløsninger bør ikke settes ut. De aller fleste aktørene har en strategi som innebærer at det kjøpes standardløsninger der det er mulig. 50 IE-1012

109 5.1.3 Innspill fra kompetansemiljøene Fra kompetansemiljøene er det Nasjonal sikkerhetsmyndighet og Difi som har svart på spørsmålet. Nasjonal sikkerhetsmyndighet Generelt om tjenesteutsetting av IKT-tjenester har Nasjonal sikkerhetsmyndighet følgende råd: Tjenesteutsetting av IKT-tjenester til profesjonelle aktører vil kunne gi bedre sikkerhet og mer stabile og tilgjengelige tjenester, lavere og mer forutsigbare kostnader og i større grad bidra til bedre fokus om virksomhetens kjerneaktivitet. Tjenesteutsetting medfører økt sikkerhetsrisiko på grunn av redusert kontroll på stadig mer komplekse verdikjeder. Virksomheter må aktivt etablere organisatoriske, prosessuelle, tekniske og juridiske sikringstiltak. Tjenesteutsetting krever gode risikovurderinger og høy bestillerkompetanse. Nasjonal sikkerhetsmyndighet er bekymret for at konsolidering av store mengder nasjonale data ikke gjennomføres med nødvendig verdi- og risikovurdering. En risikovurdering med hensyn på sikring bør bygge på en verdivurdering, en trusselvurdering og en sårbarhetsvurdering. Sammenstillingen av disse bestemmer risikobildet. Verdivurderingen skal identifisere hvilke verdier som er de viktigste for virksomhetens oppdrag og leveranser, konsekvenser ved tap, avhengigheter med mer. Spørsmål om kritikalitet hører hjemme her. Dette er nærmere beskrevet i «Håndbok: Risikovurdering for sikring». 25 Direktorat for forvaltning og IKT (Difi) Difis innspill er at det i henhold til anskaffelsesregelverket i utgangspunktet er liten mulighet til å skille mellom norske leverandører og leverandører fra EU/ EØS-området. Unntaket er «rikets sikkerhet» i praksis betyr det informasjon og systemer hvor sikkerhetsloven kommer til anvendelse. 5.2 Direktoratet for e-helse sin vurdering Direktoratet for e-helse viser til stortingsmelding nr. 38 ( ) IKT-sikkerhet Et felles ansvar: «Tjenesteutsetting av IKT-tjenester til profesjonelle aktører vil kunne gi bedre sikkerhet og mer stabile og tilgjengelige tjenester. Det kan også gi lavere og mer forutsigbare kostnader og bidra til bedre prioritering av virksomhetens kjerneområder. Dette fordrer at virksomheten besitter kompetanse til å følge opp leverandører de setter ut tjenester til. Samtidig må virksomheten være bevisst hvilke verdier som eksponeres ved tjenesteutsetting, og iverksette nødvendige tiltak. Behovet for konfidensialitet, integritet og 25 IE

110 tilgjengelighet bør særlig vektlegges i vurderingene. I tillegg hvilke lover, krav og regler som gjelder for sektoren nasjonalt og internasjonalt». Direktoratet for e-helse deler oppfatningen som fremkommer i stortingsmeldingen. Basert på dette og arbeidet i rapporten mener direktoratet at det ikke er grunnlag for å konkludere med at noen typer tjenester aldri kan overlates til private leverandører. Det må alltid foretas en risikovurdering av alle tjenester som kan gi tilgang til pasientinformasjon, og en rekke kriterier må være tilfredsstilt på et tilstrekkelig nivå. Direktoratet for e-helse mener at helse- og omsorgssektoren generelt må ha en relativt lav risikoappetitt, også lavere enn i mange andre bransjer. Tillit fra innbyggerne til at helse- og omsorgssektoren behandler helseopplysninger på en sikker måte, er en forutsetning for å lykkes med digitalisering. Andre forhold som bør påvirke risikoappetitten er at det generelt er høy IKT-kompleksitet i sektoren og at det behandles store mengder sensitive personopplysninger. Flere virksomheter i sektoren har komplekse og gamle løsninger der tekniske sikkerhetstiltak er utfordrende å implementere. Det er viktig at man tar høyde for slike forhold i risikoanalyser og vurderinger av hva man setter ut til private leverandører. Risikoanalyser må også inkludere vurdering av virksomhetens egen bestillerkompetanse. Direktoratet for e-helse mener at man ved vurdering av land skal gjøre en grundig landrisikovurdering, og spesielt gjelder dette for land utenfor EU/EØSområdet hvor særskilte krav må oppfylles. Det anbefales at landrisikovurderingen dekker forhold som er relevante for den enkelte sak og at den også omfatter forhold som for eksempel det konkrete miljøet og kulturen hos tjenesteyter. Risikovurdering og varsling etter sikkerhetsloven 29 a om kritisk infrastruktur må gjennomføres der det er relevant, og må i alle tilfeller vurderes ved større IKT-prosjekter. 52 IE-1012

111 IE

112 6 Kriterier og rutiner for bruk av private leverandører Det eksisterer en rekke rutiner og kriterier for bruk av private leverandører i helse- og omsorgssektoren. Disse er beskrevet blant annet i Norm for informasjonssikkerhet i helse- og omsorgstjenesten (Normen) med faktaark og veiledere, de regionale helseforetakenes styringssystem for informasjonssikkerhet har beskrevne rutiner og lokale prosessbeskrivelser. Direktoratet har forespurt aktørene i sektoren om anvendelse av nåværende rutiner og forslag til endringer og forbedringer knyttet til bruk av private leverandører, og om det er spesielle kriterier eller betingelser som settes i dag eller foreslås. Direktoratet har også fått innspill fra andre sektorer i dette arbeidet. Direktoratet har i tillegg utarbeidet forslag til kriterier og rutiner med utgangspunkt i egen kompetanse. Gjennom arbeidet er det avdekket en del forbedringsområder. I kapittel 6.2 er det beskrevet kriterier og rutiner som virksomhetene i sektoren selv må jobbe med, mens i kapittel 6.3 er det beskrevet noen konkrete forbedringsområder hvor gjennomføringsarbeidet bør legges sentralt. Forslagene er ikke fullstendige, og det anbefales å arbeide videre med flere av områdene. Direktoratet for e-helse ser at noen av tiltakene og rutinene som foreslås vil være utfordrende å innføre for mindre virksomheter med begrenset kompetanse på området. Det foreslås tiltak som vil kunne forenkle arbeidet for mindre virksomheter som videreutvikling av Normen og forenkling av vurderingen av sikkerheten ved valg av private leverandører. Det gjøres også mye bra arbeid innen flere av de forbedringsområdene som omtales, og noen virksomheter i sektoren har kommer lengre enn andre for eksempel med etablering av styringssystemer. 6.1 Dagens status Dette kapittelet dekker en kort oppsummering av aktørenes innspill på dagens status generelt og på noen spesielle områder, samt en kort presentasjon av Normens krav og veiledningsmateriale Generelt Aktørenes tilbakemelding er at private leverandører benyttes der dette anses formålstjenlig ut fra en vurdering av tilgjengelig kompetanse, kapasitet og kostnad. Valg av leverandører baserer seg på regelverk for offentlige anskaffelser. Det utarbeides kravspesifikasjoner tilpasset hvert system og tjeneste og tildelingskriterier vektes fra gang til gang. Kompetanse og hvilke 54 IE-1012

113 avtaler det er mulig å inngå med leverandør, veier gjerne tungt ved anskaffelser. Aktørene understreker at betingelsene i en anskaffelsesprosess varierer på bakgrunn av muligheter i markedet (teknologi og leverandører), hvilket system eller løsning som skal anskaffes og resultatet av gjennomførte risikovurderinger. I tillegg til kompetanse, kostnadseffektivitet og høy kvalitet, nevner flere aktører at private leverandører må ha kunnskap og erfaring med norsk lovverk. Aktørene oppgir gjennomgående at de følger Normen, samt de rutiner og kriterier som er satt i regionale og lokale styringssystemer Norm for informasjonssikkerhet i helse- og omsorgstjenesten (Normen) Som nevnt ovenfor angir mange aktører at de bruker Normen ved anskaffelse og hovedaktørene oppgir at de bruker den aktivt. Normen er en bransjenorm for informasjonssikkerhet som forvaltes av sektoren selv gjennom en bredt sammensatt styringsgruppe. Den er utarbeidet av representanter for helse- omsorgssektoren. De omforente reglene i Normen bidrar til at virksomhetene kan ha gjensidig tillit til at behandling av helse- og personopplysninger gjennomføres på et forsvarlig sikkerhetsnivå. Normen stiller krav som detaljerer og supplerer gjeldende lover og forskrifter, men er ikke heldekkende. Helseregisterloven, personopplysningsloven og øvrig regelverk stiller enkelte krav til behandling av helse- og personopplysninger utover det som er tema for Normen. Sekretariatsfunksjonen for Normen er lagt til Direktoratet for e-helse med deltakelse fra Norsk Helsenett. Det er utarbeidet en stor mengde veiledningsmateriell og kursopplegg basert på Normen. Normen med støttedokumenter vil bli oppdatert som følge av ny personopplysningslov som innfører EUs personvernforordning. Følgende er de mest relevante veiledere og faktaark til Normen for å få på plass god informasjonssikkerhet ved bruk av private leverandører: Faktaark 6b Sjekkliste for sikkerhetsrevisjon Faktaark 10 Bruk av databehandler Faktaark 38 Sikkerhetskrav for systemer Faktaark 46 Databehandlingsansvar og avtaler i forbindelse med tjenesteutsetting (Målgruppe er kommuner) Veileder i bruk av skytjenester til behandling av helse- og personopplysninger Veileder for fjernaksess IE

114 6.1.3 Flere aktører har egne sikkerhetskrav Flere aktører viser til at de har egne sikkerhetskrav som leverandør må oppfylle. Leverandørens løsninger må ha en godkjent risikovurdering som blant annet er basert på besvarelsen fra leverandøren. Av relevante standarder som kan ligge til grunn for egne sikkerhetskrav, nevnes for eksempel ISO27001/ Sikkerhetskravene er gjerne en integrert del av kravspesifikasjoner som brukes ved anskaffelser. Leverandørmarkedet peker på at det i dag brukes mye tid på å svare på krav til informasjonssikkerhet og å bli enige om databehandlingsavtaler. Det oppleves at det er stor variasjon i hvilke krav som fremsettes og hvordan de forstås Gjennomføring av risikovurdering Aktørene i sektoren oppgir at det gjennomføres risikovurderinger som et sentralt element ved anskaffelse og innføring av nye løsninger og tjenester. Nivået på risikoanalysene varier ut fra aktørenes størrelse og kompetanse, samt anskaffelsens omfang og innhold. Dersom tjenesteutsettingen medfører at leverandøren trenger tilgang til pasientinformasjon, gjennomfører aktørene risikovurderinger knyttet til dette og inngår databehandleravtale før databehandling kan starte og tilganger kan gis. Databehandleravtalen varierer med bruksområde fra det enkle med referanse til personopplysningslovens krav, til mer detaljerte sikkerhetskrav i egne sikkerhetsbilag. Når det kommer til driftsfasen, er det databehandleravtaler som regulerer tilgang til pasientinformasjon. Som eksempel nevnes at pasientinformasjon ikke skal hentes ut uten at databehandlingsansvarlig er informert og har akseptert dette. Tilgang skal varsles og godkjennes. Noen aktører oppgir at det kan være en utfordring i kontrollspennet når leverandørene har mange under leverandører i flere land Velferdsteknologi med nye leveranseformer Noen aktører og leverandører nevner at det innenfor e-helsetjenester, og ikke minst velferdsteknologi, skjer en utvikling der private leverandører i et internasjonalt marked i økende grad tilbyr tjenester de selv driver. Medisinskteknisk utstyr kan kobles opp mot smarttelefoner og overføre data til journalen. Et eksempel er blodsukkermålere og insulinpumper for personer med diabetes. Stadig flere enheter som er koplet til internett (som biologiske sensorer m.m.), maskinlæring og kunstig intelligens blir i økende grad mer tilgjengelig i pasientnære mobile applikasjoner og plattformer. Private leverandører tilbyr allerede en rekke slike løsninger til privatpersoner. Det etterlyses derfor tydelige retningslinjer rundt pasientnære løsninger med innslag av skyløsninger. Det er for eksempel behov for avklaring av ansvarsforhold der noen leverandører ønsker full tilgang til data i behandlingshjelpemidler. Utviklingen innebærer at virksomhetene må forholde seg til løsninger som er kjøpt av privatpersoner eller organisasjoner, og ikke er anskaffet gjennom virksomhetene. 56 IE-1012

115 Den tradisjonelle delingen mellom basisdrift og applikasjonsdrift vil endres gjennom denne utviklingen, og leverandørene vil få en større rolle innenfor for eksempel sikkerhetsovervåkning. For pasientrettede systemer vil det i mange tilfeller være tjenester som ligger tett opp til det som sektoren anser som sine kjerneoppgaver. Denne utviklingen vil stille nye krav til risikovurdering og kontroll med pasientinformasjon. 6.2 Forslag til kriterier, rutiner og tiltak knyttet til forbedringsområder De viktigste kriterier og rutiner for å kunne håndtere og ivareta informasjonssikkerhet og personvern ved bruk av private leverandører er: God og reell ledelsesforankring og styring Virksomheten må ha en helhetlig styringsmodell med klarhet i ansvar- og r oller knyttet til informasjonssikkerhet, som også dekker private leverandører. Et kompliserende forhold hos helseforetak / regionale helseforetak er strukturen der databehandlingsansvaret ligger plassert hos hvert enkelt helseforetak, og kompleksiteten dette skaper i sikkerhetsstyring av regionale og nasjonale tiltak. Helhetlig risikovurdering Når tjenester overlates til private leverandører må det foretas en helhetlig risikovurdering slik at den totale risikoen kommer frem og rapporteres til ledelsen. Risikovurdering og tiltak må ta høyde for de begrensinger som finnes i nåværende eldre og komplekse tekniske løsninger. Behov for kompetanse Virksomheten må ha tilgjengelig og tilstrekkelig kompetanse for å ivareta sitt ansvar for informasjonssikkerhet og personvern når private leverandører benyttes. Bestillerkompetansen må være god nok til å følge opp leveranser i alle faser fra kravstilling til leverandøroppfølging i en driftsfase. For spesialisthelsetjenesten vil en del av denne kompetansen finnes blant annet i regionale IKT-enheter og Sykehusinnkjøp. Ledelsen, inkludert styret, må ha tilstrekkelig kompetanse for å utøve reell styring og kontroll også på dette området. Helse- og omsorgssektoren kan ha mye å lære av andre sektorer med lengre erfaring med utkontraktering, som for eksempel finanssektoren. I dette kapittelet presenteres kriterier og rutiner knyttet til informasjonssikkerhet som den enkelte virksomhet selv må vurdere å iverksette. Begrepet rutiner benyttes i denne rapporten generisk og omfatter også prosesser, policy og områder som det bør finnes prosedyrer på. Innholdet er overordnet og beskriver kjernen i det virksomhetene selv kan utdype i mer detaljer. En del av kriteriene og rutinene kan også være et godt grunnlag for mer utdypende veiledningsmateriale som utarbeides gjennom utvikling av Normen. Kriteriene er oppsummert i vedlegg 10. IE

116 Kriterier, rutiner og forbedringsområder er nedenfor gruppert på følgende måte: Ledelse og forankring Risikostyring Tre faser av relasjonen til leverandøren Planlegge, vurdere og velge leverandør Inngå kontrakt og oppstart med leverandør Oppfølging og rapportering Denne modellen viser relasjonen mellom områdene: Ledelse og forankring Planlegge, vurdere og velge leverandør Kontrakt og leveranse av tjeneste Oppfølging og rapportering Risikostyring Ledelse og forankring Innenfor hver av disse områdene er det gjort: Kort oppsummering av utfordringsbildet og begrunnelse for kriterier og rutiner. Kriterier Rutiner Ledelse og forankring Ledelse og forankring Planlegge, vurdere og velge leverandør Kontrakt og leveranse av tjeneste Oppfølging og rapportering Risikostyring Det er et ledelsesansvar å sikre at virksomheten følger krav til informasjonssikkerhet og personvern. Dette omfatter blant annet å håndtere risiko på en helhetlig måte og sørge for velfungerende styring og kontroll. 26 I de tilfellene det skjer svikt på området, kan ofte en medvirkende årsak være at informasjonssikkerhet og personvern håndteres på et for lavt nivå i organisasjonen, uten at ledelsen er reelt engasjert og informert. Informasjonssikkerhet og personvern oppfattes ofte som et vanskelig fagområde i grenselandet mellom teknologi og juss. Ledelsen må sørge for at 26 Se for øvrig til «Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten» som trådte i kraft IE-1012

117 informasjonssikkerhet vurderes og behandles i et virksomhetsperspektiv. Ledelsen må også holde seg oppdatert på betydning av økende digitalisering og endret trusselbilde, samt nye leveransemodeller for IKT-løsninger. Dette kan for eksempel være skyløsninger. Håndtering av informasjonssikkerhet og personvern ved bruk av private leverandører må være en del av virksomhetens daglige aktivitet. Virksomhetens styringssystem for informasjonssikkerhet ISMS (Information Security Management System) må være grunnlag for dette arbeidet. Under arbeidet med rapporten har Direktoratet for e-helse fått innspill fra representanter for flere sektorer om at ledelsesforankring er en forutsetning for å lykkes på området, og at vellykket styring og kontroll krever at det er sammenheng i blant annet kravstillelse, risikohåndtering og kommunikasjon helt fra styret til ytterste ledd i underleverandørkjeden. På dette området kan helse- og omsorgssektoren ha noe å lære av bransjer som har mer erfaring med disse problemstillingene. I IKTforskriften 27 stilles det for eksempel krav til at avtaler om utkontraktering av IKTvirksomhet, og endringer i slike avtaler, skal behandles av styret. Styret skal forelegges planer for utkontrakteringen, med risikovurdering, og en beskrivelse av hvordan foretaket skal sikre leveransen. En tilsvarende ordning kunne med fordel vært implementert hos helsevirksomheter som har et styre (Ref. helseforetaks loven 28). Direktoratet for e-helse foreslår at dette implementeres som rutiner i virksomheten (se under), men en kunne også tenke seg at relevante deler av IKT-forskriftens krav til utkontraktering speiles i Normen som krav til sektoren. Involvering av organisasjonen (stakeholder management) er også et suksesskriterium. Både for å bygge sikkerhetskultur, men også for å forberede organisasjonen på eventuelle nye arbeidsformer eller rutiner som følge av nye tjenester levert av private leverandører. God involvering av hele organisasjonen vil også legge til rette for informasjonsflyt og åpenhet. Dette vil igjen kunne bidra til at informasjon om for eksempel trusler flyter uhindret opp til toppledelse og styret. 27 Se dokumentoversikt i kapittel 7. IE

118 Kriterier: Virksomheten må ha en helhetlig styringsmodell med klarhet i ansvar og roller knyttet til informasjonssikkerhet som også dekker bruk av private leverandører. Styringsmodellen må ta høyde for nye behov og krav som oppstår ved bruk av private leverandører. Styringsmodellen må dekke leverandørstyring fra anskaffelse til avtalen er avsluttet. Ved bruk av store og internasjonale leverandører stiller dette andre krav til leverandørstyring. Disse har også sine egne styringsmodeller som man må forholde seg til og som må kontraktfestes. Virksomhetens styre og ledelse skal jevnlig oppdateres på status for informasjonssikkerhet og personvern. Som hovedregel bør styret og ledelse involveres i tilfeller som gjelder bruk av private leverandører og/eller utkontraktering av et visst omfang. Rutiner: Det må finnes rutiner for hvordan rapportering på saker som gjelder informasjonssikkerhet og personvern skal være tilpasset de ulike nivåene i organisasjonen, inkludert involvering av styret og ledelse. Rapportering må inngå som del av en helhetlig styringsmodell i virksomheten. Rapportering må sikre at risikobildet rundt leveranser fra private leverandører fremkommer på en riktig og forståelig måte. Det bør finnes rutiner for hvordan styre og ledelse planmessig skal kunne holde seg oppdatert på utviklingstrekk innenfor informasjonssikkerhet og personvern. I arbeidet med rapporten er det på dette området funnet noen forbedringsområder knyttet til komplekse styringsmodeller og kompetanse. Se kapittel IE-1012

119 6.2.2 Risikostyring Ledelse og forankring Planlegge, vurdere og velge leverandør Kontrakt og leveranse av tjeneste Oppfølging og rapportering Risikostyring Virksomheten har ansvar for risikostyring og internkontroll også der deler av virksomheten er utkontraktert til private leverandører. Risikostyring må omfatte alle faser fra sourcingstrategi og anskaffelse til avtalen er avsluttet. Gode og komplette risikovurderinger er svært viktig i arbeidet med informasjons sikkerhet. De er en nødvendig del av rutinene ved anskaffelse, implementering og kontroll. Resultatene fra risikovurderingene inngår som kriterier for beslutninger, samt som grunnlag for å iverksette risikoreduserende tiltak. Ved utkontraktering er det god praksis at risikovurderinger gjøres tidlig, gjerne allerede som en del av sourcingstrategien. Risikovurderingen bør holdes opp mot virksomhetens potensielle gevinster og skadevirkninger må vurderes for virksomheten som helhet. Vi beskriver her nærmere risikostyring for å sikre informasjonssikkerhet ved bruk av private leverandører i følgende faser: Oppstart av risikovurdering Gjennomføring av risikovurdering Oppfølging og rapportering I denne rapporten beskrives ikke en komplett metodikk for risikostyring eller risikovurdering, men en del kritiske suksessfaktorer i arbeidet med risikovurdering i forbindelse med håndtering av informasjonssikkerhet ved bruk av private leverandører. Videre er det identifisert ett område der det er spesielt krevende å håndtere risiko. Dette gjelder velferdsteknologi som privatpersoner tar i bruk, og er omtalt som eget forbedringsområde Oppstart av risikovurderingen Risikovurdering må skje tidlig i enhver prosess, og må også være gjenstand for revidering og oppdatering for å ta hensyn til blant annet endringer i trusselbildet, leverandørstrukturer og leveranse. De som utfører risikovurderingene må ha riktig kompetanseprofil og en tydelig eskaleringsvei til ledelsen og styret. IE

120 Risikovurderingens omfang eller mandat er viktig. Særlig i risikovurderinger av større løsninger kan det, i tillegg til å se på trusler mot konfidensialitet, integritet og tilgjengelighet, være relevant å ha et litt bredere perspektiv. Dette kan inkludere å vurdere hendelser ut fra nasjonal betydning for helse- og omsorgstjenesten totalt. For å avdekke om dette er relevant kan risikovurderingen innledes med en verdivurdering. Utfordringer ved risikovurderinger: Små tekniske detaljer overskygger store risikoer som oversees eller ikke kommer frem. Risikovurderingen gjøres for sent i anskaffelsesprosessen, f.eks. først når løsningen skal settes i drift. Risikovurderingen gjøres ut fra en sjekkliste med ja- eller nei-svar uten å ta stilling til hvilke verdier man skal beskytte, og hvilke sårbarheter man vil redusere. Risikovurderingene gjøres kun ut fra et IKT-perspektiv. Risikovurderingen gjøres kun ut fra regulatoriske krav. Risikovurderingen gjøres kun som en vurdering av endring i risiko. Uklar eller ulik forståelse av risikobegreper og for eksempel at risikonivåer brukt i risikomatriser ikke tilsvarer de samme som benyttes i virksomhetens styringssystem. Av svarene fra aktørene i helse- og omsorgssektoren fremgår det at risikovurderinger gjøres i stort omfang, men som Pasientreiser bemerker: «Disse (risiko vurderingene) synes likevel ikke dekkende for de faktiske forholdene, siden de fleste beslutningene som er relevante for vurderingene er tatt før risikovurderingene utarbeides.» PwC-rapporten påpeker en rekke forhold rundt risikovurderinger, som at «Sentrale informasjonssikkerhetsrisikoer knyttet til ESN-kontrakten har ikke blitt tilstrekkelig vurdert» og at risikovurderingene er gjort primært i forhold til endringene i risikobildet ved bruk at privat leverandør. Flere peker på at risikovurderinger ikke må gjøres for sent i prosessen og ikke rett før en tjeneste skal settes i produksjon. Risikovurdering bør gjennomføres for både total risiko for området hvor det skal kjøpes tjenester fra privat leverandør, og ved endret risikobilde knyttet til tjeneste kjøp fra den valgte private leverandøren. En forutsetning for å gjøre en tilstrekkelig risikovurdering er at man har god oversikt over nåværende IKT-infrastruktur og IKT-løsninger i virksomheten, herunder en gradering av personopplysninger fra sensitive til ikke-sensitive. Man må ha oversikt over gjensidige avhengigheter utenfor og innenfor virksomheten. Dersom man ikke har denne oversikten over hele verdikjeden, kan det være en utfordring å vurdere risikobildet. 62 IE-1012

121 Gjennomføring av risikovurdering hvilke risikomomenter bør tas med i vurderingen Risikovurderingen skal dekke det totale risikobilde og endringer i risikobilde gitt leveranser fra private leverandører. Det må angis tydelig hva risikoene er og hvilke risikoreduserende tiltak som må gjennomføres for å få risiko ned på et akseptabelt nivå. Dette kan være tekniske og organisatoriske tiltak som er mulige å gjennomføre innenfor rammen av leveransen. Selv om flere virksomheter i sektoren har gamle eller komplekse løsninger, kan visse tekniske tiltak ofte gjennomføres for å forbedre sikkerheten. For eksempel opprette mer fin maskede tilganger i verktøy for identitet- og tilgangsstyring, automatisk håndheve tilgangsregler og logge alt som gjøres når personell er pålogget kontoer med vide tilganger. Dersom tekniske tiltak ikke er tilstrekkelig for å redusere risiko til et akseptabelt nivå, må dette kompenseres med andre tiltak som strengere fysisk overvåking, etterkontroll og grundigere bakgrunnssjekker. Risikovurdering, som nevnt ovenfor, må avgjøre i hvilken grad det må gjøres oppgraderinger i sikkerhetsløsninger før den private leverandøren kan gis nødvendig tilgang. Dette kan medføre at deler av kontrakten kan gjennomføres, mens andre deler må vente til tiltak er på plass. Det er viktig at det lages realistiske planer for prosjektgjennomføringen slik at nødvendige sikkerhetsmekanismer kommer på plass. I tråd med kravene i GDPR skal det gjennomføres en personvernkonsekvensvurdering (DPIA) dersom behandlingen av personopplysninger «vil medføre en høy risiko for fysiske personers rettigheter og friheter». Det kan være hensiktsmessig å gjennomføre en slik vurdering samtidig med risikovurdering av løsningen. IE

122 Momenter som bør besvares av risikovurderingen Vil leverandøren kunne få tilgang til pasientinformasjon? Hvilken type pasientinformasjon gjelder det (sensitive/ikkesensitive opplysninger) Omfang på tilgang og i hvilke situasjoner? Hvordan begrense tilgang til kun de områder som er nødvendig og for angitt formål og tidsperiode? Hvordan er tilgangsstyringen sikret for tidsperioden hvor tilgang må gis? Hvordan er pasientinformasjon sikret (For eksempel kryptering og signering, anonymisering, aggregering og pseudonymisering)? Hvordan kan man spore hva leverandøren har utført og hatt tilgang til? Hvordan oppdage eventuelle avvik (For eksempel logging av tilganger til tekniske løsninger, dataelementer og verktøystøtte for håndtering av hendelser og endringer, samt konfigurasjonsstyring)? Hvor gode er leverandørens interne kontrollrutiner? Hvor komplekst er aktørbildet (løsninger, produkter, aktører, underleverandører, verdikjeder)? Jurisdiksjon hvilke land befinner personer i, som kan komme til å få tilgang til pasientinformasjon eller hvor lagres disse data? Hvordan håndteres driftsavbrudd og kriseberedskap? (Spesielt relevante tema dersom leverandøren har ansvaret for en tjeneste av viss kritikalitet) Ved landrisikovurdering mener Finanstilsynet at vurderingene må gå helt ned på det konkrete miljøet og den kulturen som gjelder hos tjenesteyter, og det kan være lav risiko i avgrensede profesjonelle høykompetente miljøer i et antatt høyrisiko land, og høy risiko i et lokalt forretningsmiljø innen det som generelt ansees som et land med lav risiko. Eksempel fra Finanstilsynet for kriterier knyttet til vurdering av land: Finansiell stabilitet Politisk stabilitet Levestandard Teknisk infrastruktur Tilgang på kompetanse utdanningssystem Reguleringer lover regler politi rettsvesen Relevante hendelser i landet 64 IE-1012

123 Oppfølging og rapportering Når risikovurderingen er avsluttet, vil leveransen være en rapport som viser hvordan risiko er håndtert, og anbefalinger til tiltak. Det er viktig at dette kommuniseres opp til riktig beslutningstakernivå i virksomheten, og på riktig detaljnivå. I denne rapporten understrekes betydningen av styrets involvering for å sikre fokus på sikkerhetsarbeidet. Dette gjelder ikke bare for det enkelte prosjekt eller den enkelte anskaffelse, men som en integrert del av virksomhetsoppfølging. For å sikre god oppfølging, er det viktig at det skjer en formell godkjenning av plan for risikohåndteringsplan/risikoaksept og oppfølging av tiltak. Godkjenningen må være gjort på ledelsesnivå i tråd med gjeldende fullmaktsmatrise. For å oppnå effektiv kommunikasjon av risikoer til ledelse og styret kan det være effektivt å bruke like begreper og klare definisjoner på tvers av virksomheten, og også gjerne for sektoren. Videre kan et suksesskriterium være at IKT risikobegrepene er tilpasset samme terminologi som for annet risikoarbeid i virksomheten (Dette ble påpekt fra en stor aktør i en annen sektor som viktig for god sikkerhetsrapportering). Oppsummering av kriterier og rutiner for risikostyring: Kriterier: Risikostyring må omfatte alle faser fra anskaffelse til avtalen er avsluttet, og må startes på et tidlig stadium. Risikovurderinger må revideres og oppdateres ved endringer. De som utfører risikovurderingene må ha riktig kompetanseprofil og ha en tydelig eskaleringsvei til ledelsen/styret. Risikovurderingen har et mandat/omfang som er dekkende nok Virksomheten har oversikt og dokumentasjon på hvordan de ulike komponentene som inngår i verdikjeden henger sammen fra egen infrastruktur til underleverandører. Man må forstå hvilke deler som vil berøres av de tjenestene som den private leverandøren skal utføre. Etter at risikovurderingen er foretatt, foreligger det en formelt godkjent plan for risikohåndtering/risikoaksept og oppfølging av tiltak. Resultater fra risikovurderingen, risikohåndteringsplan og plan for oppfølging av tiltak er kommunisert på rett detaljnivå til overordnet ledelse og styret. IE

124 Rutiner: Det skal finnes rutiner som sikrer at kriteriene beskrevet ovenfor kan oppfylles. Dette bør innarbeides i virksomhetenes eksiterende metodikk for risikovurderinger og risikostyring Planlegging, leveranser, og oppfølging Det er vesentlig at sikkerhetshensyn ivaretas i alle faser av relasjonen til leverandøren med underleverandører, fra planlegging av en anskaffelse til avslutning av kontrakten. Dette krever god bestillerkompetanse i virksomhetene. Kriterier og rutiner er knyttet til tre generiske faser i leverandørrelasjonen. Modellen angir ikke konkret fasene i et prosjekt, for eksempel anskaffelse og gjennomføring. Ledelse og forankring Planlegge, vurdere og velge leverandør Kontrakt og leveranse av tjeneste Oppfølging og rapportering Risikostyring Planlegge, vurdere og velge leverandør Ledelse og forankring Planlegge, vurdere og velge leverandør Kontrakt og leveranse av tjeneste Oppfølging og rapportering Risikostyring Denne fasen omfatter planlegging og gjennomføring av en anskaffelse. Det er viktig at virksomheten i denne fasen tar stilling til hvilke sikkerhetskrav som skal stilles i anskaffelsen. Enkelte anskaffelsesformer kan være utfordrende med tanke på sikkerhet, fordi kravene til sikkerhet ikke er spesifisert tidlig nok i prosessen og i noen tilfeller ikke ferdig spesifisert før inngåelse av kontrakt. Uansett bør sikkerhet være en del av arbeidet med IT-strategi/sourcingstrategi og gi overordnede føringer. 66 IE-1012

125 Både de som tar beslutninger om anskaffelsene og de som leder prosessen må ha den nødvendige bestillerkompetanse tilgjengelig. Bestillerkompetanse innebærer blant annet kompetanse innen: Behovet som anskaffelsen skal dekke Juridiske rammer, herunder anskaffelse og avtaler, personvern og informasjonssikkerhet IKT, inkludert sikkerhetskompetanse Prosjektgjennomføringskompetanse Leverandørstyring En del krav vil være gitt på forhånd, for eksempel gjennom eksisterende avtalemessige forpliktelser. Normen er et eksempel på dette. Imidlertid oppleves Normen som for vanskelig av en del virksomheter, samtidig som særlig større virksomheter peker på at den ikke er dekkende nok. Dette er omtalt spesielt i kapittel Noen leverandører oppfatter enkelte sikkerhetskrav som «sær norske» og dermed vanskelig å implementere, fordi leverandørindustrien til dels er internasjonal. Dette er drøftet i kapittel Videre kan det være prosjekter som er av en slik karakter at sikkerhetslovens bestemmelser om varslingsplikt ved anskaffelse til kritisk infrastruktur kan komme til anvendelse. Dette er omtalt i kapittel Kriterier: Virksomhetens styringssystem for informasjonssikkerhet skal inneholde rutiner for håndtering av leverandører. Rutinene skal være integrert med virksomhetens anskaffelsesprosesser. Det skal sikres at relevante sikkerhetskrav inngår i alle anskaffelser, og at nødvendig kompetanse på sikkerhet og personvern medvirker i kravstilling og evaluering. Tilstrekkelig bestillerkompetanse på alle nødvendige områder. Rutiner: Beskrive hvordan nødvendig bestillerkompetanse er sikret i anskaffelsesprosjekter, herunder kompetanse på sikkerhet og personvern skal inngå i anskaffelsesprosjektet i forbindelse med kravstilling, evaluering og eventuelt forhandling. Klassifisere informasjon som vil bli delt med leverandør Det er ikke alltid opplagt om informasjon er sensitiv eller ikke. Et eksempel er fakturavedlegg som kan inneholde helseopplysninger. Identifisere relevante sikkerhetskrav for eksempel på bakgrunn av risikovurderinger, regulatoriske krav og krav som følger av avtaleforpliktelser. Det må bestemmes hvordan disse skal vektes, og om enkelte sikkerhetskrav skal være obligatoriske. IE

126 Inngå kontrakt, oppstart med leverandør Ledelse og forankring Planlegge, vurdere og velge leverandør Kontrakt og leveranse av tjeneste Oppfølging og rapportering Risikostyring Denne fasen omfatter etablering av kontrakt, og prosessen fram til driftsfase, for eksempel der en fjernaksessløsning er etablert, eller en tjeneste er i produksjon. Her vil det være viktig at nødvendige sikkerhetskrav, for eksempel retten til revisjon er tatt inn i kontrakten. En implementeringsfase eller transisjonsfase vil ofte være preget av aktiviteter knyttet til testing, dokumentasjon og etterprøving av at tjenester og løsninger oppfyller krav, blant annet sikkerhetskrav. Det kan være aktuelt å ta stilling til i hvilke situasjoner test skal skje på reelle produksjonsdata. En erfaring fra Helse Sør-Øst saken er at leverandøren måtte få tilgang til eksisterende infrastruktur i en mellomfase som var mangelfullt risikovurdert og hvor sikkerhetsmekanismene ikke var på plass. Tilgangsstyring og kontroll Implementering av tiltak vil ofte bli komplisert fordi porteføljen av applikasjoner og teknisk plattform i helse- og omsorgssektoren er omfattende, av eldre dato og flere steder fragmentert. Flere av dagens løsninger understøtter ikke alle de sikkerhetsmekanismer som er relevante for å skjerme pasientinformasjon. Implementering av sikkerhetsmekanismer må uansett vurderes opp mot dekning av funksjonelle krav. Mekanismer for tilgangsstyring i applikasjoner er til en viss grad på plass i kliniske systemer i dag. Disse mekanismene er ikke alltid tilstrekkelig for å sikre pasientinformasjon for flere av de tjenestene private leverandører bistår med. For eksempel kan ansatte hos private leverandører få administratorrettig heter til infrastruktur og systemer, og kan med dette ha «direkte» tilgang til pasientinformasjon. 28 Eksempler på tekniske tiltak for styring og kontroll av IKT-personells tilgang til pasientinformasjon: Identitet- og tilgangsstyring for privilegerte brukere Sporing Sikre forbindelser og arbeidsflater Kryptering og signering Anonymisering, aggregering og pseudonymisering Automatisk deteksjon av sårbarheter og mulige angrep Verktøystøtte for håndtering av hendelser og endringer, samt konfigurasjonsstyring Se vedlegg 5 for nærmere beskrivelse av disse mulighetene. 68 IE-1012

127 I PwCs rapport fra ekstern gjennomgang av programmet for modernisering av IKT-infrastruktur (imod) i Helse Sør-Øst, var identitet- og tilgangsstyring og sporing blant de identifiserte utfordringer og mangler. Planen var at bedre sikkerhets mekanismer skulle komme på plass i en etterfølgende fase. Komplekse leveransemodeller Leveransemodellene til flere IKT-leverandører blir mer komplekse fordi de i stor grad bruker leveransesentre flere steder i verden. Dette inkluderer også norske leverandører. Noen leverandører anvender «følg-solen»-prinsippet, det vil si overvåking flyttes fra land til land gjennom døgnet. I tillegg vil komplekse eierstrukturer og bruk av underleverandører føre til utfordringer med å ha full kontroll med verdikjeden og sikre at det er databehandleravtaler med alle parter. Manglende kontroll rundt dette ble påpekt i PwC-rapporten hvor Hewlett- Packard Norge AS/Enterprise Services Norge AS så langt ikke har kunnet dokumentere at det foreligger databehandleravtaler med samtlige underleverandører som oppfyller kravene i avtalen med Sykehuspartner. Det skjer også løpende endringer i eierstruktur slik at det kreves en kontinuerlig oppfølging av leverandørene. I disse komplekse strukturene er vurderinger av land en viktig faktor. Det er fra flere reist spørsmål om det er enkelte landområder, land eller områder innen et land, hvor det frarådes å sette ut tjenester til. En liste over hvor det generelt er trygt og ikke er trygt å få levert tjenester fra, er nevnt som ønskelig. Både enkelte leverandører og noen tjenestekjøpere har gjort slike vurderinger, se vedlegg 8. Etablering av en eventuell felles veiledende liste bør bygges på råd fra Nasjonal sikkerhetsmyndighet og lages på tvers av sektorene og med et sentralt oppdateringsansvar. Normen kan for eksempel vise til metodikk og bakgrunnsinformasjon for landrisikovurderinger hos andre myndigheter som Nasjonal sikkerhetsmyndighet. Det understrekes at dette ikke fritar virksomheten fra vurderingsansvar. Ved vurdering av risiko ved foreslått leverandørstruktur bør det det også kreves beskrivelse av, og eventuelt innsyn i, de interne rutiner og mekanismer som leverandøren har og hvilke sertifiseringer leverandøren har. IE

128 29 Kriterier: Det er kvalitetssikret at kontrakten inneholder nødvendige sikkerhetskrav. Det er definert hva slags sikkerhetstesting som skal foretas, for eksempel penetrasjonstest for å verifisere at kundens data er sikre. Det er etablert tydelige, omforente planer for etablering av sikkerhetstiltak på bakgrunn av risikovurderinger som er gjort. Inkludert, dersom tekniske tiltak ikke er gode nok, hvilke andre tiltak er innført for å få akseptabelt risikonivå. Rutinene i Normens fjernaksessveileder følges. Rutiner: Etablering av databehandleravtale i de tilfellene dette er relevant (leverandøren behandler data på vegne av den databehandlingsansvarlige) Databehandlingsansvarlig skal på forhånd godkjenne databehandlers eventuelle underleverandører Rutiner / standardiserte kontraktsvilkår: Behovet for at leverandørens underleverandør oppfyller de samme sikkerhetskravene som stilles til leverandøren. Krav om rapportering og håndtering av sikkerhetshendelser. Retten til å utføre testing og revisjon hos den private leverandøren og dens underleverandører. Frekvens, type revisjon, og ev. bruk av 3. partsrevisjon bør angis. Behovet for sikkerhetsrelatert ytelsesovervåkning og rapportering på fastsatte KPI-er (Key Performance Indicator). Muligheten til å reforhandle vilkår og betingelser i kontraktens løpetid (eller ved definerte intervaller) på grunn av endringer i risikonivå. En exitplan og klare vilkår ved avslutning av kontrakten. Dette må omfatte krav om at alle data tilhørende kunden er slettet eller tilbakelevert og rett til en skriftlig erklæring fra leverandøren som bekrefter dette. Rutiner for test, blant annet vurdering av i hvilke tilfeller reelle / produksjons data kan benyttes, med tilhørende sikkerhetstiltak. Se for eksempel Normens faktaark om informasjonssikkerhet ved utførelse av testing. 29 Leverandørene gir til enhver tid gir en komplett oversikt over hvilke enheter innen strukturen (konsernet og underleverandører) som benyttes for å levere tjenester og i hvilket land disse holder til i, samt at det er inngått databehandleravtaler med alle aktører utf%c3%b8relse%20av%20testing.pdf 70 IE-1012

129 Oppfølging og rapportering Ledelse og forankring Planlegge, vurdere og velge leverandør Kontrakt og leveranse av tjeneste Oppfølging og rapportering I Risikostyring I denne fasen vil vesentlige aktiviteter være knyttet til leverandøroppfølging og revisjon. Terminering, fornyelse eller reforhandling av kontrakt omfattes også. Kriterier: Håndtering av løpende landvurderinger / globalt trusselbilde. Det gjennomføres jevnlige revisjoner av leverandøren etter en fastsatt plan. Løpende oppfølging av at kontraktens krav til sikkerhet og rapportering oppfylles, og at man foretar nye risikovurderinger ved endringer av avtalen. Ved terminering av kontrakten skal det etter en fastsatt tid alltid foreligge en signert erklæring fra leverandøren om at alle data tilhørende virksomheten er tilbakelevert eller slettet. Om bytte av underleverandør er aktuelt skal virksomheten alltid underrettes og på forhånd godkjenne ny underleverandør. Rutiner Hvordan revisjon av leverandører skal foregå, for eksempel med henvisning til relevante internasjonale standarder. Etablering av revisjonsplan. Rutiner for løpende oppfølging av kontrakten, inkludert endringer. Virksomhetens kontinuitetsplaner bør dekke tilfeller der leverandørens (med underleverandører) tjenester blir utilgjengelige, planlagte eller ikke-planlagt. Fremgangsmåte for sletting/tilbakelevering av informasjon ved terminering av kontrakt. IE

130 6.3 Beskrivelse av noen konkrete forbedringsområder Innenfor sikkerhetsområde finnes det flere eksempler på at det er hensiktsmessig å løse utfordringer med felles tiltak, et eksempel er Normen. Et nyere tiltak er HelseID. 30 I denne rapporten presenteres flere forslag som helseog omsorgssektoren kan løse sammen. Nedenfor følger en nærmere beskrivelse av syv forbedringsområder knyttet til bruk av private leverandører: Utforme gode styringsmodeller og tydeliggjøre ansvarsforhold spesielt ved fellesløsninger med flere databehandlingsansvarlige Heve kompetanse om IKT-sikkerhet og risikovurderinger Tilrettelegge for håndtering av ny teknologi og løsninger tatt i bruk av privatpersoner og som ønskes knyttet til løsninger hvor helsevesenet er databehandler Skape klarhet om når sikkerhetsloven kan komme til anvendelse og hvilke konsekvenser det eventuelt får Gjøre det enklere å vurdere sikkerhet ved valg av leverandører og løsninger/tjenester Særnorske krav rundt behandling av pasientinformasjon overordnet kartlegging av omfang og forslag til gjennomføring av videre arbeid Normen oppleves av noen å være for kompleks for små aktører og ikke heldekkende for de store aktørene De to første forbedringsområdene relaterer seg primært til ledelse og forankring. Se kapittel 7 for prioritering og nødvendige avklaringer Styringsmodell og databehandlingsansvarlig Utfordring/risikoområde Det oppleves i sektoren at styringsmodellene er komplekse og uklare hva angår ledelsesansvar og hvilket nivå ansvaret ligger på. Særlig oppleves ansvaret som påhviler databehandlingsansvarlig som uklart. Problemstillingen berøres også av PwC-rapporten, hvor det skrives at: «Systemet for gjennomføring av risikovurderinger har ikke fungert som en effektiv kontrollmekanisme. Uklare kriterier for risikoaksept fører til usikkerhet med hensyn til hvem som kan akseptere hvilke risikoer.» Når for eksempel Sykehuspartner HF, som databehandler for helseforetakene i Helse Sør-Øst, beslutter å inngå et strategisk partnerskap med en privat leverandør om drift, forvaltning og modernisering av regional infrastruktur, er de overordnede mål og strategier som er grunnlaget for beslutningen behandlet og godkjent av styret i det regionale helseforetaket, mens sikkerhetskrav for IKTvirksomheten er helseforetakenes ansvar som databehandlingsansvarlige. 30 HelseID er en felles påloggingsløsning for helse- og omsorgssektoren. Den legger til rette for at helsepersonell kan få engangspålogging (single sign-on) med én elektronisk ID (e-id) i hele helsetjenesten. 72 IE-1012

131 Dersom helseforetakene har ulike sikkerhetskrav er det uklart i hvilken grad det regionale helseforetaket har myndighet til å fastsette felles regionale krav ut fra en helhetlig vurdering. Fra IKT-leverandørene rapporteres det også at de opplever at ulike aktører i sektoren har ulike risikovurderinger av samme løsning. Leverandører av medisinsk-teknisk utstyr har påpekt at de ofte må gjøre en risikovurdering per installasjon av instrumenter og at vurdering av akseptabel risiko ofte ikke er den samme. Dette kan gjelde også innen samme helseforetak. Det blir også mange databehandleravtaler som må inngås per helseforetak selv om leveransene er basert på en regional anskaffelse. I spesialisthelsetjenesten kan prinsippet om at et regionalt helseforetak ikke kan være databehandlingsansvarlig for helseopplysninger, bidra til usikkerhet og forskjellige krav og vurderinger. (Jf. forarbeidene til pasientjournalloven Prop. 72 L ( ) kapittel ). Særlig utfordrende er fellesløsninger som de regionale helseforetakene anskaffer og etablerer, da disse må risikovurderes av hvert enkelt helseforetak. Det samme gjelder for alle endringer som kan påvirke informasjonssikkerheten i slike fellesløsninger. Dette fører med seg meget komplekse vurderings- og beslutningsprosesser, samt at det kan bli uklart hvem som har ansvaret for den helhetlige risikovurderingen og på hvilket grunnlag det skal vurderes hva som totalt sett er akseptabel risiko. Problemstillinger om databehandlingsansvar for løsninger som dekker flere virksomheter i sektoren er en utfordring utover spesialisthelsetjenesten, både for primærhelsetjenestene og for nasjonale løsninger. Direktoratet mener det i første omgang bør prioriteres utredning rundt databehandlingsansvar mellom RHF og HF. IE

132 31 32 Tiltak: Det bør utredes om databehandlingsansvaret slik det er i dag er forenlig med strategier for etablering av fellesløsninger i helse- og omsorgs sektoren. Det bør særskilt vurderes om det er behov for regulering av felles databehandlingsansvar eller fordeling av dette ansvaret mellom regionale helseforetak og helseforetakene de eier. EUs personvernforordning åpner for å regulere dette i nasjonal rett og arbeidet bør også omfatte eventuelt utkast til regulering. Forslag til ansvarlig: Direktoratet for e-helse. Dette bør blant annet baseres på følgende vurderinger: EUs nye personvernforordning (GDPR) har en egen bestemmelse om Felles behandlingsansvarlige (Art. 26) 31. Utgangspunktet er at dersom to eller flere behandlingsansvarlige i fellesskap fastsetter formålene med og midlene for behandlingen, skal de være felles behandlingsansvarlige. De skal fastsette sitt respektive ansvar for å overholde forpliktelsene i forordningen, særlig med hensyn til utøvelse av den registrertes rettigheter og bestemmelsene om informasjonsplikt. Dette gjelder ikke hvis fordelingen av ansvaret er regulert i EU/EØS-retten eller i nasjonal rett. Den registrerte kan i alle tilfeller utøve sine rettigheter overfor hver av de behandlingsansvarlige. I høringsnotatet til ny personopplysningslov 32 som gjennomfører personvernforordningen i norsk rett, skriver Justis- og beredskapsdepartementet at det etter gjeldene rett er mulig å dele behandlingsansvaret mellom flere, selv om dagens personopplysningslov og forskrift ikke har slike bestemmelser. Etter departementets vurdering er det ikke hensiktsmessig å gi generelle bestemmelser om dette, så forslaget til ny personopplysningslov ikke inneholder forslag til nasjonale regler om delt behandlingsansvar. Justis- og beredskapsdepartementet antar at dette trolig best kan reguleres i særlovgivningen, dersom det viser seg å være behov for regler om delt behandlingsansvar på konkrete områder. Forslaget er at dette i første omgang vurderes for regionale helseforetak og helseforetakene de eier. Resultatet kan eventuelt også få anvendelse for primærhelsetjenesten og sentrale løsninger IE-1012

133 6.3.2 Kompetanseheving på informasjonssikkerhet Utfordring/risikoområde Informasjonssikkerhet blir stadig viktigere for sektoren og området blir mer komplekst. Dette krever økt kompetanse, ikke minst på ledelse- og styrenivå. Dette gjelder både for å kunne se på risiko i et helhetlig perspektiv og konkret kompetanse innen IKT-sikkerhet. Uten tilstrekkelig kompetanse på dette området, er det vanskelig for ledelsen fullt ut å forstå de risikobedømminger som gjøres og ta de riktige beslutningene. Svak kvalitet på risikovurderinger tas opp som utfordring fra flere. For å oppnå god styring av de private leverandørene, må foretakene i større grad enn i dag bygge opp en kompetent sikkerhetskultur, ikke minst på ledelsesnivå. Kriterier: Tydelige krav til nødvendig kompetanse innen informasjonssikkerhet og risikovurderinger hos blant annet: Ledelsen og styret De som arbeider med anskaffelsene (bestillerkompetanse) De som arbeider med innføring og oppfølging Rutiner: Eksempel på rutiner som er viktige ved kjøp fra private leverandører i et større marked: Rutine som sikrer at det er tilstrekkelig basiskompetanse i styre og ledelse, inkludert forståelse av forhold som kan påvirke informasjonssikkerhet og tilgang til pasientinformasjon. Rutiner som sikrer at det er tilstrekkelig bestillerkompetanse i alle enheter som deltar i anskaffelser og leverandøroppfølging. Rutiner for kompetansehevende tiltak for å møte endringer som påvirker informasjonssikkerhet og risikobildet i leveransene. IE

134 Tiltak: Etablere forum for deling av beste praksis og erfaringer i sektoren på områder som sikkerhetskultur og kompetanseutvikling. Det er naturlig at dette sees i sammenheng med oppdraget om kompetanseutvikling innen informasjonssikkerhet som Direktoratet for e-helse har i sam arbeid med Norsk Helsenett. Sektorens bør utvikle felles opplegg/plan for å sikre at opplæringstilbud til ledere og ansvarlige beslutningstakere innen sikkerhetskompetanse er på et tilstrekkelig nivå Håndtering av ny teknologi og løsninger tatt i bruk av privatpersoner Utfordring/risikoområde Utfordringene ved bruk av ny teknologi er mange og kort beskrevet i kapittel 6.1.5, samt i referansematerialet. Hovedaktørene vil måtte legge til rette for at slik teknologi og løsninger skal kunne inngå i helsetjenestetilbudet og helse hjelpen der det er formålstjenlig, samtidig som personvern og sikkerhetskrav må tilfredsstilles. Arbeider og referanser velferdsteknologi og medisinsk teknisk utstyr: Norsk lovgivning på området medisinsk utstyr og håndteringen av utstyret er godt implementert og i tråd med EU- direktivene 33 og Helsedirektoratet er fag- og tilsynsmyndighet 34. Det er vanskelig å avgrense hva som er «helsehjelp» og hva som er et «konsumentgode» i privatrettslig sammenheng. Krav til sikker håndtering av pasientinformasjon bør være lik for pasientnær e-helse- og velferdsteknologi som det som kreves for lignende løsninger i helsesektor for øvrig. Overordnet er kravene gitt i Normen, gjeldende forbruker lovgivningen og Datatilsynet har utgitt Veileder Personvern for apputviklere 35. Velferdsteknologi er i rivende utvikling og stadig flere kommuner er i produksjon, særlig vedrørende trygghetsskapende teknologi i hjemmene. Tilrettelegging for håndtering av ny teknologi og løsninger tatt i bruk av privatpersoner er også omtalt på Direktoratet for e-helse sitt hjemmeområde Helsedirektoratet Norsk lovgivning 34 Helsedirektoratet Klinisk utprøving og evaluering av medisinsk utstyr 35 Datatilsynet Veileder Personvern for apputviklere 36 Direktoratet for e-helse: Nasjonal referansearkitektur Velferdsteknologi 76 IE-1012

135 Direktoratet for e-helse har i 2016 vurdert om det skal etableres sertifiseringseller selvdeklareringsordninger på helseapp-området. Det er ikke ønskelig nå på grunn av uavklarte spørsmål i gjeldende lovgivning. Det er derimot et stort ønske om bedre veiledning blant annet fra forbrukermyndighetene, Datatilsynet og direktoratene i helse- og omsorgssektoren. Problemstillingen antas å være viktig for kommunesektoren, og tiltak bør vurderes for sektoren samlet. Derfor bør en nærmere kartlegging av status og behov i kommunene finne sted først. Tiltak: Det bør tas initiativ for å samordne veiledningen på området, og for øvrig følge med på den nasjonale, nordiske og internasjonale utviklingen på området pasientnære og mobile applikasjoner for helseformål. Forslag til oppfølging er Velferdsteknologiprogrammet. Det vises også til ellers til omtale av sertifisering nedenfor. Det må også vurderes om det er behov for å utrede mer om ansvar og sikkerhetsnivå, primært knyttet til databehandleransvar og godkjenninger Sikkerhetsloven Utfordring/risikoområde Departementet ber i oppdraget om at det sees på forholdet mellom helsetjenesten og sikkerhetsloven. Direktoratet anser at det er spesielt 29 a i sikkerhetsloven, om nye krav til varslingsplikt ved anskaffelser til kritisk infrastruktur, hvor det fra sektoren etterlyses veiledning. Paragrafen er ny fra i år (trådte i kraft ) og i tillegg er forslag til ny sikkerhetslov fremmet for Stortinget. Fra forarbeidene er det særlig to forhold som kan nevnes her. For det første fremgår det at dersom praktiseringen av bestemmelsen blir vanskelig, kan det bli aktuelt å utforme vurderingskriterier i forskrift og at det tas sikte på at det utarbeides veiledningsmateriell til bestemmelsen 37. For det andre gis det holdepunkter for en ulik tilnærming til kravet for store og mindre virksomheter da det er beskrevet at større virksomheter lettere vil kunne ha tilgang til egne tekniske miljøer og informasjon om trusler enn de mindre. Departementet uttaler også at «Omfanget av risikovurderingene må tilpasses den enkelte anskaffelse, og virksomhetene har selv ansvaret for å tilpasse ressursbruken.» Prop. 97 L ( ) side Prop. 97 L ( ) side 63. IE

136 Det er usikkerhet blant flere aktører i sektoren om sikkerhetsloven får anvendelse på deres aktivitet. Siden konsekvensene er betydelige (anskaffelser kan i ytterste konsekvens stanses), er behovet for veiledning stort. Det er derfor viktig at det raskt kommer tydelig veiledning fra sentrale myndighets organer for 29 a. Dette inkluderer når og hvordan den kommer til anvendelse. Se punkt for videre vurdering av helsetjenesten og sikkerhetsloven. Tiltak: Det bør utarbeides veiledningsmateriale til sikkerhetsloven 29 a. Direktoratet for e-helse kan bistå med kunnskap og vurderinger knyttet til helse- og omsorgssektoren. Ved større IKT-anskaffelser i sektoren må det vurderes om sikkerhetsloven 29 a om «kritisk infrastruktur» kan være relevant. Ved anskaffelse til noe som kan bli vurdert som «kritisk infrastruktur» må risikovurdering etter sikkerhetsloven foretas og overordnet departement varsles dersom det er risiko for at «sikkerhets truende virksomhet» blir etablert. Direktoratet for e-helse kan bistå departementet med rådgivende uttalelser til departementets videre håndtering av slike saker Forenkle vurderingen av sikkerheten ved valg av leverandører Utfordring/risikoområde Flere aktører i sektoren mener det er omfattende å vurdere sikkerhet ved valg av leverandører og løsninger/tjenester. Vurderingene tar lang tid, krever mye ressurser og blir likevel ikke så komplette og gode som ønsket. Både forenklinger som ulike godkjenningsordninger, sjekklister, rammeverk og mer kompetansedeling ønskes. Vurderingsarbeidet er sett på som en utfordring for både små og store aktører, for eksempel fastleger, tannleger og RHFene. Noen av innspillene om sertifisering framgår av svarene fra RHFene som er gjengitt i vedlegg 7 «Endringer av krav og rutiner». IKT-næringen tar også opp dette behovet og støtter forslag til sertifisering/ deklarerings-ordninger, primært i henhold til internasjonale normer og standarder. Det ble i lagt ned et arbeid med vurdering av en ordning for selvdeklarering for programvare i blant annet Helsedirektoratet i forbindelse med forarbeidet til forskrift om IKT-standarder i helse- og omsorgssektoren. I sendte Direktoratet for e-helse ut et høringsnotat «Forslag til selv- 78 IE-1012

137 deklarerings ordning for mobile helseapplikasjoner». Det er ikke planlagt innført noen konkrete ordninger. Tiltak: Videre arbeid med eventuelle sertifisering- eller selvdeklareringsordninger bør bygge på det arbeidet som allerede er nedlagt og det som gjøres internasjonalt. Hovedaktørene anbefaler at eventuell sertifisering er et område for EU-harmonisering. Det er kommet innspill om at dette bør bygge på anerkjente globale sertifiseringer/deklareringer innen informasjonssikkerhet for helse- og omsorgssektoren. Problemstillingen er om det skal foretas en ny vurdering og på hvilke områder det gir verdi. Et annet mulig tiltak er at Normen kan videreutvikles til å inneha en omforent «kravliste» på nasjonalt nivå. Omforente nasjonale krav vil gi sektoren større tyngde i det internasjonale leverandørmarkedet. Denne listen kan baseres på faktaark 6b) med nødvendige tilpasninger og listen kan danne grunnlag blant annet en ISAE3402-attestasjon. Dette er attestasjon som gjør det mulig for en revisor å attestere en tjenesteleverandørs oppfyllelse av gitte krav. Standarden er mye brukt i andre sektorer og en attestasjonsordning kan være raskere å gjennomføre enn en sertifiseringsordning. Forslag er at det i første omgang avklares om dette skal vurderes nærmere for sektoren og for hvilke områder det vil gi størst verdi. Dersom tiltaket blir aktuelt, bør det vurderes hvorvidt tiltaket kan underlegges nasjonal styring og samfinansiering blant aktørene i sektoren. Se også tiltak for kompetanseheving beskrevet i Særnorske krav kartlegging av omfang og videre arbeid Utfordring/risikoområde Både fra sektoren og leverandørsiden er det påpekt at opplevelsen av særnorske krav og ulike tolkninger medfører at det brukes ekstra ressurser for å ta i bruk utenlandske løsninger. Direktoratet for e-helse har prøvd å innhente eksempler på særnorske krav, inkludert lovkrav. Det har kommet inn noen eksempler. Disse er primært ulik tolkning av krav og ikke særnorske lovkrav. Men problemet med mange ulike tolkninger skaper også utfordringer for leverandører og kjøpere. Innen rammen av dette oppdraget har det ikke vært mulig å stadfeste omfanget på «særnorske» krav. Ett RHF skriver: «Det brukes store ressurser for å sikre etterlevelse av krav til informasjonssikkerhet. Ofte krever dette videreutvikling av internasjonale IE

138 leverandørers løsninger, dette for å sikre at de tilfredsstiller våre krav. Med innføring av GDPR får vi et felles juridisk rammeverk i EU/EØS, og en harmonisering av praksis innenfor EU og EØS, inkludert Norge, vil gjøre det vesentlig enklere for oss å sikre at de krav som gjelder i Norge (og da også resten av dette området) blir oppfylt. Dette vil ikke bare forenkle anskaffelsene, men også fjerne en betydelig risikofaktor knyttet til innføringen av løsningene, og dessuten legge bedre til rette for bruk av de systemer som vi ser komme innenfor e-helse og velferdsteknologi.» Ett annet RHF skriver at: «Det er generelt utfordringer knyttet til at leverandørmarkedet ikke har tilstrekkelig kjennskap til nasjonale krav. Anbefalingene er at regelverket harmoniseres i større grad internasjonalt, ny EU-forordning er et skritt i denne retningen». IKT-leverandørene påpeker at særkrav kan medføre at norske virksomheter ikke blir tilbudt de mest moderne og beste tjenester eller løsninger om vi ikke harmoniserer oss med kravene i et globalt marked i fremtiden. Tiltak: Særnorske krav og krav som leverandører bare møter i Norge, rundt behandling av pasientinformasjon, bør kartlegges på overordnet nivå for å identifisere omfang. Kartleggingen bør ha fokus på viktige krav basert på innspill fra IKT-l everandørene og et utvalg av de andre aktørene. Basert på dette må det bestemmes eventuelt videre arbeid. Norske krav bør harmoniseres med krav fra EU og eventuelt internasjonale standarder. Norske myndigheter bør påvirke EU/EØS eventuelt i internasjonale fora slik at «internasjonale krav» innehar tilstrekkelig sikkerhet på nivå med det som er ønsket i Norge. Tiltak som foreslåes er å utarbeide standardiserte maler for databehandleravtaler Normen Utfordring/risikoområde Norm for informasjonssikkerhet i helse og omsorgstjenesten, Normen, oppfattes som omfattende og komplisert av mange små virksomheter. Hvis kravene i Normen ikke forstås av virksomhetene som stiller krav til leverandørene, er det tvilsomt om virksomhetene klarer å omsette dette i tydelige krav. Blant de store aktørene er det imidlertid påpekt at Normen bør dekke mer og gi flere føringer og tydelige kriterier. 80 IE-1012

139 Helse- og omsorgssektoren består av små og store virksomheter, fra Helse Sør- Øst som er en av Norges største virksomheter med mer enn ansatte, til privatpraktiserende leger, psykologer og tannleger. Det er utfordrende å lage felles regler som skal gjelde alle og samtidig være både enkle og dekkende for alle virksomhetene. Utviklingen av Normen, og det meste av øvrig arbeid med informasjonssikkerhet, har primært siktet seg inn mot de store virksomhetene som helseforetakene og de største kommunene. Men Normen har også veiledningsmateriell for dem som ikke er spesialister på informasjonssikkerhet. Det finnes for eksempel en veileder for legekontor. Denne gir legekontorer et praktisk verktøy i arbeidet med å ivareta gjeldende krav til personvern og informasjonssikkerhet. Normen videreutvikles i dag etter en plan som innebærer at den over det neste halvåret tilpasses den nye personvernforordningen (GDPR). Denne oppdateringen vil kunne dekke utfordringen med at Normens krav både oppfattes for lite dekkende og samtidig for omfattende. Det vurderes om Normen skal bygges opp på en måte som gjør at vi får færre og lettere forståelige «skal»-krav og flere «bør»-krav. Det kan også være aktuelt at enkelte «bør»-krav blir «skal»- krav dersom de oppfyller gitte kriterier, for eksempel virksomhetens størrelse, type behandling, omfang osv. Normen er i dag sektorens viktigste virkemiddel for å stille krav til informasjonssikkerhet og personvern. For å operasjonalisere rutinene og kriteriene som beskrives i denne rapporten, vil det være viktig at disse gjenspeiles og detaljeres i Normen. Dette kan skje både gjennom nye bindende krav i Normen, eller som veiledning i faktaark og veiledere. Denne rapporten peker også en del forhold knyttet til komplekse leverandørstrukturer og leveransemodeller. Dette bør også reflekteres i Normen, for eksempel ved å vise til metodikk og bakgrunnsinformasjon for landrisikovurderinger hos andre myndigheter som Nasjonal sikkerhetsmyndighet. Tiltak: Vurdere hvordan Normen kan bli et bedre verktøy tilpasset alle brukergruppene. Forenkling og eventuell modulisering for å tilpasses ulike brukergrupper Struktur og språk (pågår) Tilpasset GDPR (pågår) Oppdatere Normen slik at den speiler komplekse leverandørstrukturer og leveransemodeller, blant annet gjennom å utdype kriteriene og rutinene omtalt i denne rapporten. IE

140 7 Forslag til videre aktiviteter Dette kapittelet oppsummerer forslag til videre aktiviteter som bør gjennomføres på kort og mellomlang sikt. Forslagene omfatter aktiviteter som vil ha generell betydning i helse- og omsorgssektoren og hvor gjennomføringsansvaret bør legges sentralt. Forslagene er basert på Direktoratet for e-helses funn. I tillegg er det i kapittel 6.2 forslag til flere rutiner og tiltak som den enkelte virksomhet bør iverksette i eget arbeid med informasjonssikkerhet. I Nasjonal e-helsestrategi er det et grunnleggende prinsipp at det som kan bli løst nasjonalt, skal bli løst nasjonalt. Å legge til rette for nye samhandlingsformer er viktige tiltak i strategiperioden. Dette omfatter blant annet tilgang mellom virksomheter, grunndataløft, økt sporbarhet, bedre pasientmedvirkning og informasjonsflyt og digital sikkerhetsstrategi for helsesektoren. Disse oppgavene må løses i fellesskap i sektoren. For å få dette til, er det viktig å etablere finansieringsmodeller som gjør det mulig. Direktoratet har anbefalt obligatorisk samfinansiering av viktige nasjonale løsninger. De anbefalte aktivitetene i dette kapitlet er gruppert som følger: Avklaring av databehandlingsansvar mellom RHF og HF Oppdatering av Normen Kompetanseheving Øvrige funn for oppfølging 7.1 Avklaring av databehandlingsansvar mellom RHF og HF Det legges i dag til grunn at helseforetakene er databehandlingsansvarlige for personopplysninger helseforetaket behandler i sin virksomhet. De regionale helseforetakene har som oppgave å planlegge, organisere, styre og samordne virksomhetene i helseforetakene de eier. RHFene etablerer i stor grad fellesløsninger som helseforetakene benytter til å yte spesialisthelsetjenester og hvor det behandles pasientopplysninger i stort omfang. Som databehandlingsansvarlig må hvert helseforetak risikovurdere løsningene før oppstart og ved alle endringer som kan påvirke informasjonssikkerheten. Det bør utredes om databehandlingsansvaret slik det er i dag er forenlig med strategier for etablering av fellesløsninger i helse- og omsorgssektoren. Det bør særskilt vurderes om det er behov for regulering av felles data behandlings ansvar eller fordeling av dette ansvaret mellom regionale helseforetak og helseforetakene de eier. EUs personvernforordning åpner for å regulere dette i nasjonal rett og arbeidet bør også omfatte eventuelt utkast til regulering. Forslag til ansvarlig: Direktoratet for e-helse. 82 IE-1012

141 Det er viktig å få gjennomført dette arbeidet så raskt som mulig, da dagens kompliserte ansvarsforhold påvirker og forsinker arbeidet med digitalisering i helse- og omsorgssektoren. 7.2 Oppdatering av Normen Rapporten peker på en del områder hvor Normen kan gi bedre støtte. Det er også kommet opp andre forslag som kan tillegges arbeidet med Normen. Det bør samles og systematiseres «beste praksis» fra blant annet RHFene, med formål å oppnå større harmonisering. Løpende oppdatering av Normen inngår i Nasjonal handlingsplan for e-helse , punkt 1.4.1, Personvern og informasjonssikkerhet, og tiltakene nedenfor må sees som innspill til prioriteringer for det pågående arbeidet. Komplekse leverandørstrukturer og leveransemodeller. Bidra til bedre styringsmodeller ved å: Innhente erfaring fra andre sektorer og oppdatere Normen med blant annet sjekklister for attestasjon (se kapittel 6.3.1). Oppdatere rutiner og maler for å understøtte komplekse anskaffelse (se kapittel 6.3.5). Vise til metode og bakgrunnsinformasjon om landrisikovurdering. Risikovurdering og styring. Innhente erfaring fra andre sektorer og aktører i helse- og omsorgssektoren, som innspill til løpende arbeid med Normen (se kapittel 6.3.7). Et mulig tiltak er å speile relevante deler av IKTforskriftens krav til utkontraktering i Normen. Utarbeide standardiserte maler for databehandleravtaler (se kapittel 6.3.6). Nasjonal standard for tilgangsstyring - delvurdering som gjelder private leverandører (se kapittel 6.3.6). Generell videreutvikling av Normen med forenklinger og tilpassing til GDPR (se kapittel 6.3.7) Kriterier og rutiner som omhandles i 6.2 bør vurderes innarbeidet i planen for oppdateringer i Normen. 7.3 Kompetanseheving Kompetanseheving innen IKT-sikkerhet og risikovurdering på styre og ledelsesnivå må heves (se kapittel ). Det bør vurderes om Norsk Helsenett i samarbeid med Direktoratet for e-helse, som sektorens kompetansesentre for informasjonssikkerhet, kan lede oppgavene med å: Etablere et forum for beste praksis i bransjen for kompetanseheving og sikkerhetskultur. Utvikle felles plan for å sikre at opplæringstilbud til ledere og ansvarlige beslutningstakere innen sikkerhetskompetanse er på adekvat nivå. IE

142 7.4 Øvrige funn for oppfølging Tiltak som er foreslått: Privat velferdsteknologi Det bør tas initiativ for å samordne veiledningen på området, og for øvrig følge med på den nasjonale, nordiske og internasjonale utviklingen på området pasientnære og mobile applikasjoner for helseformål (se kapittel 6.3.3). Det må også vurderes om det er behov for at det utredes mer om ansvar og sikkerhetsnivå, primært knyttet til data behandleransvar og godkjenninger (se kapittel 6.3.1). Forslag til oppfølging er Velferdsteknologiprogrammet. Sertifisering, selvdeklarering og attestasjon av leverandører, løsninger eller MTU Avklare om dette skal vurderes nærmere for sektoren og for hvilke områder det vil medføre størst verdi (se kapittel 6.3.5). Særnorske krav rundt behandling av pasientinformasjon Overordnet kartlegging av omfang og forslag til gjennomføring av videre arbeid 39 for særnorske krav (se kapittel 6.3.6). Sikkerhetsloven og IKT-anskaffelser Det bør utarbeides veiledningsmateriale til sikkerhetsloven 29 a. Direktoratet for e-helse kan bistå med kunnskap og vurderinger knyttet til helse- og omsorgssektoren. Ved større IKT-anskaffelser i sektoren må det vurderes om sikkerhetsloven 29 a om «kritisk infrastruktur» kan være relevant. Ved anskaffelse til noe som kan bli vurdert som «kritisk infrastruktur» må risikovurdering etter sikkerhetsloven foretas og overordnet departement varsles dersom det er risiko for at «sikkerhetstruende virksomhet» blir etablert. Direktoratet for e-helse kan bistå departementet med rådgivende uttalelser til departementets videre håndtering av slike saker. Kommunesektoren skulle vært inkludert i dette oppdraget, men det har ikke kommet inn tilstrekkelig antall svar for å danne et godt nok grunnlag. Rapporten omhandler derfor ikke kommunesektoren og en egen kartlegging må eventuelt iverksettes som eget oppdrag senere. Utfallet av en slik kartlegging er relevant for blant annet tiltak på området ny teknologi og løsninger tatt i bruk av privatpersoner, og en prioritering bør sees i sammenheng med dette. 39 Ref. NOU 2013:2 Hindre for digital verdiskaping. 84 IE-1012

143 8 Dokumentoversikt I dokumentoversikten gis det henvisning til en del dokumenter som er nevnt i rapporten og noen andre dokumenter som er relevante for problemstillinger knyttet til informasjonssikkerhet ved bruk av private leverandører i helse- og omsorgssektoren. Dokumenthenvisninger og henvisninger til relevant informasjon er også angitt i fotnoter og i vedleggsamlingen. Rapporter og dokumenter PwC (juni 2017). Helse Sør-Øst RHF Rapport fra ekstern gjennomgang av programmet for modernisering av IKT-infrastruktur (imod). Styrem%C3%B8ter/2017/ / %20Vedlegg%201%20-%20 HS%C3%98%20FY%202017%20-%20Rapport%20iMod%20v%201.0.pdf Direktoratet for samfunnssikkerhet og beredskap (2016). Samfunnets kritiske funksjoner: Hvilken funksjonsevne må samfunnet opprettholde til enhver tid? Nasjonal sikkerhetsmyndighet (2017). Veiledning for sikkerhetsgraderte anskaffelser og anskaffelser til kritisk infrastruktur. Nasjonal kommunikasjonsmyndighet (2017). EkomROS 2017 Risikovurdering av ekomsektoren. rapporter/_attachment/29084?_ts=15c9b3cff27 Nasjonal IKT (2015). Strategi for Nasjonal IKT HF En felles IKT-strategi for spesialisthelsetjenesten styrem%c3%b8te%20og%20pf/strategi%20nikt%202016%20-% pdf Helsedirektoratet (2017). Overordnede risiko og sårbarhetsvurderinger for helse og omsorgssektoren. Datatilsynet hjemmeside for oppsummering av krav til innhold i databehandleravtaler. hva-betyr/?id=6326 IE

144 Datatilsynet hjemmeside for syv steg til innebygd personvern innebygd-personvern/ Datatilsynets hjemmesider for en mer fullstendig oppsummering og veiledning: Direktoratet for e-helse: Søk i Normen-dokumenter. Stortings-/departementsmeldinger Stortingsmelding 9 ( ). Én innbygger én journal Stortingsmelding 38 ( ). IKT-sikkerhet Et felles ansvar id / NOU 2015:13 Digital sårbarhet sikkert samfunn Beskytte enkeltmennesker og samfunn i en digitalisert verden (Lysneutvalget I) Modernisert sikkerhetslov som favner bredere. Uoffisiell norsk oversettelse av personvernforordningen c907cd a6486b8dd3ee00a4e3d/uoffisiell-norsk-oversettelse-avpersonvernforordningen.pdf Høringsnotat ny personopplysningslov, gjennomføring av personvernforordningen i norsk rett c907cd a6486b8dd3ee00a4e3d/horingsnotat--nypersonopplysningslov--gjennomforing-av-personvernforordningen-i-norskrett.pdf Høyring ny forskrift om offentlege arkiv Høringsnotat. Forslag til selvdeklareringsordning for mobile helseapplikasjoner. Forslag%20selvdeklareringsordning%20mobile%20helseapplikasjoner.pdf 86 IE-1012

145 Commission decisions on the adequacy of the protection of personal data in third countries Lover og forskrifter Samfunnssikkerhetsinstruksen: Lov om helseforetak m.m. (helseforetaksloven) - LOV Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) - LOV Lov om helseregistre og behandling av helseopplysninger (helseregisterloven) - LOV Forskrift om behandling av personopplysninger (personopplysningsforskriften) - FOR Lov om behandling av personopplysninger (personopplysningsloven) - LOV Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten - FOR Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) - LOV Lov om arkiv (arkivlova) - LOV Lov om offentlige anskaffelser (anskaffelsesloven) - LOV Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT) - FOR Forskrift om objektsikkerhet - FOR Forskrift om sikkerhetsgraderte anskaffelser - FOR IE

146 Innhold VEDLEGG 1: Begrepsforklaringer 89 VEDLEGG 2: Oversikt over aktører deltakelse og innlegg på seminar 94 VEDLEGG 3: Hvilke aktører som har bidratt med innspill til rapporten 97 VEDLEGG 4: Spørreskjemaet 100 VEDLEGG 5: Risikoreduserende tiltak ved tjenesteutsetting 108 VEDLEGG 6: Aktørers vurdering av hvilke tjenester som ikke bør overlates til private leverandører 117 VEDLEGG 7: Endringer av krav og rutiner 130 VEDLEGG 8: Vurdering av land og landområder 135 VEDLEGG 9: Innspill fra fag- og pasientorganisasjoner 139 VEDLEGG 10: Kriterier IE-1012

147 VEDLEGG 1: Begrepsforklaringer Applikasjonsdrift Applikasjonsforvaltning Applikasjonsutvikling/- innføring Basisdrift Databehandlingsansvarlig Databehandleravtale DPIA (Data Protection Impact Assessment) Drift Tilgjengeliggjøring av programvare for sluttbrukere med tilhørende over våking, kapasitetsplanlegging, proaktiv drift og patching. Applikasjonsforvaltning er funksjonen som administrerer applikasjoner gjennom deres livssyklus. Dette dreier seg for eksempel om vedlikehold i form av feilrettinger og endringer i oppsett for å håndtere endrede behov, samt planlegging, testing og gjennomføring av oppdateringer og mindre oppgraderinger. Applikasjonsutvikling og -innføring dekker utvikling av programvare og å sette opp og integrere nye systemer, eller gjøre omfattende endringer i eksisterende utover vanlig vedlikehold som gjøres som en del av forvaltningen. Drift og overvåkning av infrastrukturen, som er nettverk, utstyr, operativ system, datasenter/datarom, servere, databaser og datalagring, mellomvare, sikkerhetssystemer, lisenser m.m. uten noen form for forretningslogikk. Databehandlingsansvarlig er definert slik i pasientjournalloven 2: «den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes, og den som i eller i medhold av lov er pålagt et databehandlingsansvar» og som sammenfaller med personopplysningslovens definisjon. Dette betyr at den som bestemmer hva personopplysningene skal brukes til og derfor også hvorfor opplysningene samles inn, er behandlingsansvarlig. I praksis vil det være virksomhetens øverste administrative leder som er behandlingsansvarlig. Lederen kan delegere oppgaver nedover i organisasjonen, men den øverste ledelsen har fortsatt ansvaret for at behandling av personopplysninger skjer på en god måte (Datatilsynet). Forholdet mellom en behandlingsansvarligvirksomhet og databehandleren skal være regulert i en databehandleravtale. Dette reguleres av person opplysningsloven 13, jf. 15. En konsekvensevaluering, relatert til informasjonssikkerhet, med formål å vurdere hvordan en bestemt handling eller aktivitet påvirker personvernet. Under GDPR er dette noen ganger obligatorisk, som for eksempel ved bruk av personopplysninger til profilering. ( GDPR, artikkel 35, ec.europa. eu/justice/data-protection/reform/files/regulation_oj_en.pdf) Summen av alle styrings- og arbeidsprosesser som er nødvendige for å sikre brukerne tilgang til et IKT-system med avtalt kvalitet. Det være seg basis drift- og applikasjonsdrift. IE

148 Ekomloven EPJ Fjernaksess, -styring, -support (eng. remote access) Forvaltning Lov om elektronisk kommunikasjon. Lovens formål er å sikre brukerne i hele landet gode, rimelige og fremtidsrettede elektroniske kommunikasjonstjenester, gjennom effektiv bruk av samfunnets ressurser ved å legge til rette for bærekraftig konkurranse, samt stimulere til næringsutvikling og innovasjon. Elektronisk pasientjournal, en elektronisk samling av registrerte opplysninger om en pasient i forbindelse med helsehjelp. Med «fjernaksess» menes i dette dokumentet ekstern tilgang fra leverandør til virksomhet via kommunikasjonslinje. Eksempler på anvendelsesområder er feilretting, feilsøking, oppdateringer, fjernadministrasjon, test- og utvikling, overføring av datafiler, driftsovervåking (databaser, servere, lagringsløsninger), behandling av feilmeldinger og datafiler hos leverandør og sending av feildiagnoser, mv. av fagsystemer og IKT-infrastruktur. Summen av alle styrings- og arbeidsprosesser som er nødvendige for å opprettholde krav til kvalitet i en IKT-tjeneste (IKT-løsning, metode, prosess etc.) over tid. Forvaltning kan deles inn i Funksjonell forvaltning, Applikasjons forvaltning og Teknisk forvaltning. GDPR/PVF General Data Protection Regulation (GDPR) / Personvernforordningen (PVF) (Forordning 2016/679) er en forordning som skal styrke og harmonisere personvernet ved behandling av personopplysninger i Den europeiske union (EU). Det omhandler også i noen grad behandling som skjer utenfor EU eller overføring av personopplysninger ut av EU. Forordningen trer i kraft 25. mai 2018 og avløser da personverndirektivet (EU-direktiv 95/46/EF). Helseplattformen Informasjonssikkerhet Infrastruktur Jurisdiksjon Prosjekt som skal anskaffe og innføre elektronisk pasientjournal for spesialisthelsetjenesten og kommuner i Midt-Norge. Informasjonssikkerhet handler om å sikre at informasjonen ikke blir kjent for uvedkommende (konfidensialitet), ikke blir endret utilsiktet eller av uvedkommende (integritet) og er tilgjengelig ved behov (tilgjengelighet) (DIFI). Informasjonssikkerhet er ikke synonymt med data- eller IT-sikkerhet, som heller er subsett av informasjonssikkerhetsbegrepet, og kun omfatter de tekniske aspektene. Informasjonssikkerhet dekker også fysisk og organisatorisk sikkerhet som omfatter lovmessig etterlevelse, styringssystemer, regelverk, prosesser, prosedyrer og avtaler. Infrastruktur er de mest grunnleggende byggesteinene i IKT som datasenter, maskinvare, samband, nettverk og operativsystem. Plattform består også av byggesteiner som kan brukes til å levere applikasjoner. Eksempler er databaser og mellomvare som kjøretidsmiljø og løsninger for integrasjoner, identitet- og tilgangsstyring. Domsmyndighet. En domstols myndighet er geografisk, saklig og funksjonelt avgrenset. Det vil si at domstolen bare kan behandle saker som faller innenfor et bestemt geografisk område og som ikke hører inn under en særdomstol. 90 IE-1012

149 KIT Kritisk infrastruktur Konfidensialitet, integritet og tilgjengelighet. Informasjonssikkerhet handler om å sikre at informasjonen ikke blir kjent for uvedkommende (konfidensialitet), ikke blir endret utilsiktet eller av uvedkommende (integritet) og er tilgjengelig ved behov (tilgjengelighet) (DIFI). Kritisk infrastruktur er infrastruktur som er kritisk for samfunnet, og som ved en alvorlig svikt medfører at samfunnet ikke vil være i stand til å opprettholde de leveranser av varer og tjenester som befolkningen trenger. I den norske sikkerhetsloven er kritisk infrastruktur definert i 3 som «anlegg og systemer som er nødvendige for å opprettholde samfunnets grunnleggende behov og funksjoner». Se også Prop. 97 L ( ) for videre forklaring av begrepet. I sivilbeskyttelsesloven 3 er legaldefinisjonen «anlegg, systemer eller deler av disse som er nødvendige for å opprettholde sentrale samfunnsfunksjoner, menneskers helse, sikkerhet, trygghet og økonomiske eller sosiale velferd og hvor driftsforstyrrelse eller ødeleggelse av disse vil kunne få betydelige konsekvenser». Se også «Samfunnets kritiske funksjoner. Hvilken funksjonsevne må samfunnet opprettholde til enhver tid?» utgitt av Direktoratet for samfunnssikkerhet og beredskap. Landrisikovurdering Ved tjenesteutsetting, skal det gjennomføres en landrisikovurdering. Med landrisiko forstår vi risikoen for tap som følge av handlinger helt eller delvis under myndighetenes kontroll. Eksempler på landrisiko er nasjonaliseringer, offentligrettslige sanksjoner som for eksempel importrestriksjoner, krig, grensesperringer eller borgerkrig. Bakenforliggende forhold som ofte fører til økt landrisiko er: Politisk ustabilitet; korrupte og ukvalifiserte regjeringer, kupp, revolusjoner, anstrengte forhold til nabostater og lignende Sosial ustabilitet; store sosiale skjevheter, lavt utdanningsnivå, langvarige og ødeleggende streiker med mer Økonomisk ustabilitet, stort underskudd i handelsbalansen, gjerne i kombinasjon med høy utenlandsgjeld og inflasjon, dårlig infrastruktur (transport og telekommunikasjonsnett), ekstrem avhengighet av enkelte naturressurser etc (Innovasjon Norge) Lysneutvalget I Medisinsk-teknisk utstyr (MTU) Lysneutvalget I kommer med en rekke anbefalinger for å redusere digitale sårbarheter i samfunnet. Denne meldingen gir en oversikt over status på oppfølgingen av utvalgets anbefalinger. Statusoversikten viser at det er behov for å jobbe parallelt med et bredt spekter av områder innenfor IKT-sikkerhet. Vårt samfunn vil aldri kunne være helt beskyttet mot utfall av eller angrep mot digital infrastruktur og digitale systemer, men vi må evne å iverksette de riktige sikkerhetstiltakene for å redusere risikoen og for å kunne gjenopprette normal funksjon så fort som mulig. Ethvert medisinsk utstyr, inklusiv in vitro-diagnostisk medisinsk utstyr, inkludert programvare og systemløsninger, beregnet for mennesker til diagnose, overvåkning og/ eller behandling på medisinsk grunnlag og som for å fungere er avhengig av en energikilde (strøm, lys, gass- eller væsketrykk) samt nødvendig tilbehør til slikt utstyr (Medisinsk Teknologisk Forening). IE

150 Normen Offshoring Outsourcing/ tjenesteutsetting Pasientinformasjon (det begrepet prosjektet bruker) Norm for informasjonssikkerhet i helse- og omsorgstjenesten (Normen) er en bransjenorm utarbeidet av sektoren for sektoren. Stadig større deler av kommunikasjonen i helse- og omsorgssektoren foregår elektronisk. De utfordringer dette medfører for personvernet ble bakgrunnen for at Helsedirektoratet i 2002 tok initiativ til å utarbeide omforente regler for trygg og sikker informasjonsutveksling mellom aktørene i sektoren. Normen skal bidra til å etablere mekanismer hvor virksomhetene kan ha gjensidig tillit til at behandling av helse- og personopplysninger gjennomføres på et forsvarlig sikkerhetsnivå. Normen stiller krav som detaljerer og supplerer gjeldende regelverk. Normen er imidlertid ikke heldekkende. Helseregisterloven, personopplysnings loven og øvrig regelverk stiller enkelte krav til behandling av helse- og personopplysninger utover det som er tema for Normen. Normen er utarbeidet av representanter for helse-, omsorgs- og sosialsektoren. Offshoring betyr å flytte en aktivitet fra hjemlandet til utlandet. Dersom en tjeneste tidligere ble gjennomført av en virksomhet i Norge nå gjøres av en leverandør i utlandet, er det snakk om å både outsourcing og offshoring. Outsourcing/tjenesteutsetting går ut på at en organisasjon går over til å skaffe en vare eller tjeneste fra en ekstern leverandør i stedet for å levere denne selv. Både sensitiv informasjon og personopplysning. Personopplysning er en opplysning eller vurdering som kan knyttes til deg som enkeltperson, slik som for eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer). Sensitive personopplysninger er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger. Privacy Shield Regionale helseforetakene (RHF) Overføring av personopplysninger kan nå skje til amerikanske selskaper som slutter seg til avtaleverket Privacy Shield, og som dermed har forpliktet seg til å følge særlige regler for beskyttelse av personopplysninger. Som følge av EØS-avtalen kan Privacy Shield også benyttes som grunnlag for overføring av personopplysninger fra norske virksomheter til USA. Privacy Shield trådte i kraft 12. juli 2016, og overtar for den tidligere «Safe Harbor»-avtalen. De regionale helseforetakene i Norge består av Helse Sør-Øst RHF, Helse Midt RHF, Helse Vest RHF og Helse Nord RHF. I tillegg til å drive sykehusene og sørge for at befolkningen blir tilbudt spesialiserte helsetjenester, har de regionale helseforetakene oppgaver innen forskning, utdanning og opplæring av pasienter og pårørende. 92 IE-1012

151 Sikkerhetsloven ( 29a anskaffelser til kritisk infrastruktur) Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven). Lovens 29a pålegger en risikovurdering ved anskaffelse av kritisk infrastruktur. Dersom risikovurderingen avdekker at anskaffelsen kan innebære en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført, skal overordnet departement varsles. Et departement som mottar varsel etter andre ledd, bør innhente en råd givende uttalelse fra relevante organer om leveransens risikopotensial, og leverandørers sikkerhetsmessige pålitelighet. Dersom en anskaffelse til kritisk infrastruktur kan medføre en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført, kan Kongen i statsråd fatte vedtak om at anskaffelsen skal nektes gjennomført, eller om at det settes vilkår for gjennomføringen. Skjermingsverdig informasjon Skjermingsverdig objekt Skytjeneste og -løsninger Sikkerhetsloven 3: Informasjon som skal merkes med sikkerhets grad etter reglene i 11 i loven her. Sikkerhetsloven 3: eiendom som må beskyttes mot sikkerhetstruende virksomhet av hensyn til rikets eller alliertes sikkerhet eller andre vitale nasjonale sikkerhetsinteresser. Skytjenester, eller Cloud Computing, er en samlebetegnelse på alt fra dataprosessering og datalagring til programvare på servere som er tilgjengelig fra eksterne serverparker tilknyttet internett. De mest vanlige skytjeneste er programvare som tjeneste, plattform som tjeneste og infrastruktur som tjeneste. (Skytjenester, veiledning, 2014; Datatilsynet, s. 4). En skyløsning omfatter ofte flere ulike skytjenester som serverkapasitet, back-up og all programvare. IE

152 VEDLEGG 2: Oversikt over aktører del - takelse og innlegg på seminar I dette vedlegget ligger det en oversikt over hvilke aktører som deltok i oppstartsmøte og dialogseminarene. I disse møtene fikk aktørene mulighet til å holde innlegg. Oppstartsmøte med hovedaktørene 31. august 2017 Innlegg Folkehelseinstituttet ved Berit Ragnhild Svellingen Hamar kommune ved Marianne Bjønness Helse Midt RHF ved Øyvind Røset Helse Nord RHF ved Ida-Kristin Martinussen Helse Sør-Øst RHF ved Per Meinich Helse Vest RHF ved Lars Erik Baugstø-Hartvigsen Helsetjenestenes driftsorganisasjon (HDO) ved Kjetil Are Lund Norsk Helsenett ved André Meldal Pasientreiser HF ved Hilde Holt Sykehusinnkjøp HF ved Silje Jakola-Fjeld Telenor ved Hanne Tangen Nilsen Øvrige aktører Bærum kommune Finnmarkssykehuset HF Helse Bergen HF Helse Fonna HF Helse Førde HF Helse Midt-Norge IT Helse Midt-Norge, Helseplattformen Helse Møre og Romsdal HF Helse Nord-Trøndelag HF Helse Nord, Forvaltningssenter EPJ Helse Stavanger HF Helse Vest IKT AS KINS LMT Setesdal Nasjonal IKT HF Nasjonalt senter for e-helseforskning Norsk Helsenett SF Oslo kommune Oslo universitetssykehus HF Stavanger kommune Sykehusapotek Nord HF Sykehuset Østfold HF Sykehuspartner HF Trondheim kommune Helsedirektoratet 94 IE-1012

153 Dialogseminar med kompetansemiljøene 7. september 2017 Innlegg (skriftlig og muntlig) Center for Cyber and Information Security (CCIS) Datatilsynet Direktoratet for forvaltning og IKT (DIFI) Direktoratet for samfunnssikkerhet og beredskap (DSB) Helse Midt RHF (via Skype) Helse Sør-Øst RHF Nasjonal kommunikasjonsmyndighet (NKOM) Nasjonal sikkerhetsmyndighet (NSM) Stewart Kowalski Veronica Jarnskjold Buer Remi Longva Eline Palm Paxal Øyvind Røset og Bjørn-Einar Kolstad Ann-Margrethe Mydland og Heidi Thorstensen Rune Kanck og Svein Scheie Bente Hoff og Terje Aarhus Dialogseminar med IKT-næringen 13. september 2017 Innlegg Microsoft ved Ole Tom Seierstad Roche Diagnostics Norge AS ved Aage Andersen IBM ved Morten Bjørklund DXC ved Stuart Lawrence Vingmed AS ved Tor Havnes Sopra Steria Lillian Røstad og Gunnar Mørne Øvrige aktører Abelia ved Tarje Bjørgum Alere AS ved Terje Rybråten B. Braun Medical AS ved Nils Arne Greftegreff DXC Geirr Gustavsen og Kim Mugaas Evry Sigurd Alfsen, Ulf Dahl Ryen, Christian Sletbak-Akerø IBM Karina Bjørnarøy og Loek Vredenberg IKT Norge Nard Schreurs og Fredrik Syversen Medtek Norge Trond Dahl Hansen Medtronic AS Erik Sturla Kongshaug Philips Norge AS - Paolo Bernardi Vingmed AS Ole Einar Småkasin IE

154 Dialogseminar med fag- og pasientorganisasjoner 14. september 2017 Innlegg (presentasjon eller muntlig) Teknologirådet ved Hilde Lovett Datatilsynet ved Grete Alhaug Diabetesforbundet ved Sverre Ur Tekna ved Birgitte Jordahl Den norske legeforening ved Eirik Nikolai Arnesen Norsk tjenestemannslag ved Hallvard Berge Norsk sykepleierforbund ved Jo Cranner Den norske tannlegeforeningen ved Geir Fjerdingen NITO ved Harald Stavn Fagforbundet ved Christian Danielsen Norsk Psykologforening ved Julius Okkenhaug 96 IE-1012

155 VEDLEGG 3: Hvilke aktører som har bidratt med innspill til rapporten I denne tabellen presenteres en oversikt over hvilke aktører som var delaktige i oppdragsperioden og på hvilken måte. For de aktørene som holdt innlegg under dialogseminarene var det flere som svarte direkte på problemstillingene i oppdraget under sine innlegg, mens andre aktører sendte inn skriftlige innspill i etterkant av dialogseminarene. Så selv om enkelte aktører ikke har blitt huket av på «sendt skriftlig innspill» under, så kan de allikevel ha sendt inn relevant informasjon til prosjektet ved å sende sine innlegg i etterkant. Aktørene Holdt innlegg under oppstartsmøte/ dialogseminar Sendt skriftlig innspill Særmøter Hovedaktørene Helse Sør-Øst RHF Helse Vest RHF Helse Midt RHF / Helseplattformen Helse Nord RHF Norsk Helsenett SF Nasjonal IKT Helsetjenestenes driftsorganisasjon (HDO) Folkehelseinstituttet Sykehusinnkjøp HF Pasientreiser HF Trondheim kommune Hamar kommune Sandefjord kommune Bærum kommune LMT Setesdal (Bykle, Valle, Bygland og Evje og Hornnes) Kompetansemiljøer 7.9 Center for Cyber and Information Security (CCIS) Datatilsynet IE

156 Aktørene Holdt innlegg under oppstartsmøte/ dialogseminar Sendt skriftlig innspill Særmøter Direktoratet for forvaltning og IKT (DIFI) Direktoratet for samfunnssikkerhet og beredskap (DSB) Nasjonal sikkerhetsmyndighet (NSM) Nasjonal kommunikasjonsmyndighet (NKOM) IKT-næringen 13.9 DXC Evry IBM IKT Norge Medtek Norge Microsoft Philips Norge AS Roche Diagnostics AS Vingmed AS Sopra Steria Fag- og pasientorganisasjoner 14.9 Datatilsynet Teknologirådet Fagforbundet Den norske legeforening NITO Tekna Norsk sykepleierforbund Diabetesforbundet Norsk tjenestemannslag Den norske tannlegeforening Norsk psykologforening Særmøter Pasient og brukerombud i Sogn og Fjordane og Oslo Apotekerforeningen Fastleger (deltakende i EPJ-løftet) NUFA (Fagutvalget) Statoil 98 IE-1012

157 Alle aktørene fikk tilsendt beskrivelsen av oppdraget, inkludert de fire delleveransene. Tabellen nedenfor viser konkretisering av spørsmålene stilt til de ulike aktørene og som de fikk mulighet til å besvare. Aktører Hovedaktørene RHFene, Helsenett, HDO, Folkehelseinstituttet, Pasientreiser og kommuner Sykehusinnkjøp HF og Nasjonal IKT Kompetansemiljøene IKT-næringen Fag- og pasientorganisasjoner Spørsmål Totalt 19 spørsmål fordelt på fem områder skulle besvares (se spørreskjemaet i vedlegg 4). Disse områdene er: Del I Generelt om bruk av tjenesteutsetting til private leverandører Del II Bruk av tjenesteutsetting til private leverandører Del III Kriterier ved bruk av tjenesteutsetting til private / bruk av private leverandører Del IV Rutiner ved tjenesteutsetting til private/ bruk av private leverandører Del V Avveininger Hvilke hovedutfordringer og barrierer er tilstede ved bruk av private leverandører? Hvilke endringer kan være nødvendige for å gjøre det mulig å bruke det private leverandørmarkedet på en sikker og effektiv måte? Foreslå gode rutiner for å sikre at de til enhver tid gjeldende krav til informasjonssikkerhet ved bruk av private leverandører etterleves Status for bruk av nasjonale og internasjonale leverandører av tjenester som kontinuerlig eller episodisk arbeider inn mot virksomhetens datasystemer og under hvilke betingelser dette skjer. Kriterier eller betingelser som bidrar til at denne formen for tjenester skjer på en ansvarlig måte og i tråd med de til enhver tid gjeldende krav. Er det tjenester som ikke bør settes ut til private leverandører? Bør det skilles mellom ulike jurisdiksjoner (Norge, EØS, globale)? Hvilke hovedutfordringer og barrierer er tilstede ved bruk av private leverandører i helse- og omsorgsektoren? Hvilke endringer kan være nødvendige for å gjøre det mulig å bruke det private leverandørmarkedet på en sikker og effektiv måte? Er det tjenester som ikke bør settes ut til private leverandører? Bør det skilles mellom ulike jurisdiksjoner (Norge, EØS, globale)? Hvilke kriterier, betingelser og tiltak anser organisasjonene som nødvendig for å kunne benytte private underlevererandører på en trygg og ansvarlig måte? Er det tjenester som ikke bør overlates til private underleverandører, og hvilke kriterier legger en til grunn for denne anbefalingen? IE

158 VEDLEGG 4: Spørreskjemaet Denne spørreundersøkelsen ble sent ut til alle de regionale helseforetakene (RHFene), noen kommuner, Norsk Helsenett, HDO, Folkehelsedirektoratet og Pasientreiser. I etterkant ble spørsmål 4 b inkludert i spørreskjemaet, dette spørsmålet svarte kun de regionale helseforetakene på. Informasjonssikkerhet ved bruk av private leverandører innen IKT-området Direktoratet for e-helse har fått i oppdrag fra Helse- og omsorgsdepartementet å gjennomgå informasjonssikkerhet ved bruk av private under leverandører i helse- og omsorgssektoren. Denne informasjonshentingen skal brukes til å utarbeide en status på håndteringen av informasjonssikkerhet ved bruk av private IKTleverandører i helse- og omsorgstjenesten, samt gi mulighet for innspill til hva som skal til for å sikre en trygg og riktig bruk av både nasjonale og internasjonale leverandører av løsninger og tjenester. Informasjonssikkerhet dekker om pasientinformasjon og avgrenses til problemstillinger rundt sikkerhet ved bruk av private leverandører og dekker områdene IT-drift, applikasjons forvaltning og applikasjonsutvikling hvor man får tilgang til pasientinformasjon. Vi ønsker å dekke både mer omfattende tjenesteutsetting og mindre/tidsavgrensede tjenesteavtaler. Dette inkluderer problemstillinger rundt medisinsk teknisk utstyr. Informasjonsinnhenting er sendt til alle RHF-er, noen kommuner og aktører. Dersom dere har spørsmål eller innspill til denne forespørselen kontakt Jan Gunnar Broch (e-post: Jan.Gunnar.Broch@ehelse.no) eller Tore Magnussen (e-post: tma@a-2.no). Svarfrist er 12. september Informasjon om informasjonsinnhentingen Vi understreker at denne informasjonsinnhentingen skal gi en overordnet status for bruk av nasjonale og internasjonale leverandører som en del av oppdraget med å identifisere og forelå gode rutiner for etterlevelse av krav til informasjonssikkerhet. Vi spør også generelt om kriterier, krav og rutiner som en del av dette arbeidet. 100 IE-1012

159 Totalt er det 19 spørsmål fordelt på fem områder som skal besvares. Disse områdene er: Del I Generelt om bruk av tjenesteutsetting til private leverandører Del II Bruk av tjenesteutsetting til private leverandører Del III Kriterier ved bruk av tjenesteutsetting til private / bruk av private leverandører Del IV Rutiner ved tjenesteutsetting til private/ bruk av private leverandører Del V Avveininger Del II til V omhandler primært pasientinformasjon Påse at du besvarer alle spørsmål som er relevante for din sektor. De fleste spørsmålene krever noe lengre svar, mens i enkelte spørsmål ønsker vi at dere f.eks. svarer en prosentandel. Når det gjelder prosentandel og størrelser er vi ute etter anslag på omfang. Vi ønsker gjerne status per dato. På spørsmål med korte svar ønsker vi at dere i tillegg gir en kommentar med tanke på hvordan dere har kommet frem til svaret. Når vi i det etterfølgende bruker ordet «pasientinformasjon» mener vi helse- og personopplysninger knyttet til navngitte eller identifiserbare pasienter og/eller brukere. Hvilken virksomhet gjelder besvarelsen for? Vennligst skriv inn: Del I Generelt om bruk av tjenesteutsetting til private leverandører 1. I hvor stor grad er IKT-tjenester levert av private leverandører innen følgende områder (anslå i % andel av totalkostnader for det enkelte område): Basisdrift (omfatter drift av datasentertjenester, nettverk, lagring og back-up, OS-drift, drift av databaser og mellomvare inkludert medisinsk-teknisk utstyr, IT brukerstøtte, drift av arbeidsplassutstyr): Applikasjonsdrift (drift av dataløsninger): Applikasjonsforvaltning (som feilretting og nye versjoner): Applikasjonsutvikling (ny funksjonalitet): IE

160 Del II Bruk av tjenesteutsetting til private leverandører 2. I hvor stor grad er basisdrift av infrastruktur og plattform for systemer med pasientinformasjon i dag levert av private leverandører (dette omfatter drift av datasentertjenester, nettverk, lagring og back-up, OS-drift, drift av databaser og mellomvare inkludert medisinsk-teknisk utstyr, IT brukerstøtte, drift av arbeidsplassutstyr)? Anslå i % den andel av de nevnte tjenestenes totale kostnader som går til private leverandører. Svar i prosent: Kommentar: 3. I hvor stor grad er applikasjonsdrift (drift av dataløsninger) for systemer med pasientinformasjon i dag levert av private leverandører? Anslå i % den andel av de nevnte tjenestenes totale kostnader som går til private leverandører. Svar i prosent: Kommentar: 4 a. I hvor stor grad er applikasjonsforvaltning (som feilretting og nye versjoner) av systemer med pasientinformasjon i dag levert av private leverandører (dette gjelder både fjernaksess og fysisk tilstedeværelse)? Anslå i % den andel av den nevnte tjenestenes totale kostnader som går til private leverandører. Svar i prosent: Kommentar: 4 b. I hvor stor grad har ansatte hos eksterne private leverandører som jobber med applikasjonsforvaltning tilgang til pasientinformasjon? Aldri I liten grad I noen grad I stor grad I svært stor grad (Dette spørsmålet var ikke i den opprinnelige spørreundersøkelsen, men ble lagt til i etterkant for de regionale helseforetakene) 5. I hvor stor grad har ansatte hos eksterne applikasjonsutviklere tilgang til pasientinformasjon, f.eks. i forbindelse med test, migrering og mindre utviklingsoppdrag? 102 IE-1012

161 Aldri I liten grad I noen grad I stor grad I svært stor grad Gi en kommentar om hvor dette primært skjer. Kommentar: 6. Er det noen områder i dag hvor det benyttes eksterne skytjenester hvor det behandles pasientinformasjon. Angi områder. (Spørsmålet er overlappende med omfanget i spørsmålene 2 5, men vi ønsker en oversikt over områdene). Svar: 7. I hvor stor grad har private leverandører av medisinsk-teknisk utstyr tilgang til pasientinformasjon, f.eks. via intern aksess, fjern aksess eller ekstern lagring av data? Beskriv også omfang og på hvilke områder slik tilgang benyttes. Svar: 8. Hvilke erfaringer (positive og negative) har dere med de private leverandørene og avtalene dere har med dem? Har dere vært fornøyd med hvordan informasjonssikkerheten har ivaretatt? Har det vært utfordringer eller hendelser rundt uautorisert tilgang til pasientinformasjon, og hvilke tiltak er eventuelt blitt igangsatt? Svar: 9 a) Hvis det er personell hos leverandørene og deres underleverandører som må få tilgang til pasientinformasjon, i hvilket land befinner dette personellet seg? Kryss av for aktuelt land, og angi anslag for prosentandel for alle private leverandører: Land Prosentandel for alle private leverandører Norge EØS Utenfor EØS IE

162 Kommentar: b) Dersom land utenfor EØS ble krysset ut, angi land, omfang og hvilke tjenesteområder det gjelder. Svar: Del III Kriterier ved bruk av tjenesteutsetting til private / bruk av private leverandører Når det gjelder medisinsk-teknisk utstyr, ønsker vi kommentarer der det er relevant. 10. Ved bruk av private leverandører hvilke kriterier ser dere som de viktigste for å bestemme hvilke systemer og tjenester de kan levere? Dette inkluderer også underleverandører. (Eksempel på kriterier er tilgjengelighet kompetanse og kapasitet, kostnader, ny teknologi, alternative/nye leveranse modeller som f.eks. skytjenester). Svar: 11. Dersom dere verken benytter private leverandører eller har vurdert dette, vennligst oppgi grunner for dette. Svar: 12. Når dere har besluttet å benytte privat leverandør for en tjeneste for et system, hvilke krav må oppfylles av leverandør/underleverandør rundt sikring av pasientinformasjon? Har dere vurdert andre sikkerhetshensyn enn sikring av pasientinformasjon? Hvilke tiltak må være iverksatt av egen organisasjon før tjenesten settes ut? (Eksempler er teknisk, arkitekturmessig, organisatorisk, rutiner). Angi svaret med tanke på både historiske og pågående prosesser. Svar: 13. Er det tjenester som dere mener ikke bør overlates til private leverandører? Er det jurisdiksjoner (land) som enkelte tjenester ikke bør settes ut til private leverandører? Begrunn eventuelt hvorfor dere mener dette ikke bør settes ut eller leveres fra eksterne private leverandører? Kommenter nedenfor per tjenesteområde, eventuelt hvilke deler av tjenesteområder, som ikke bør overlates til private leverandører. Kommenter eventuelt begrensninger vedrørende jurisdiksjoner (land). 104 IE-1012

163 Svar vedrørende basisdrift: Svar vedrørende applikasjonsdrift: Svar vedrørende applikasjonsforvaltning: Svar vedrørende applikasjonsutvikling (migrasjon, test, driftssetting): Andre kommentarer: 14. Hvis dere benytter private leverandører som skal ha tilgang til pasientinformasjon, hvilke jurisdiksjoner (land) krever dere at leverandørene og leverandørenes personell kan holde til i? Angi svaret med tanke på både historiske og pågående prosesser. Norge EØS Annet, vennligst angi land: Kommentar: 15. Hvilke innspill til endringer i nåværende krav har dere, for å bidra til at denne formen for tjenester skjer på en ansvarlig måte? Svar: 16. Hvilke utfordringer er tilstede ved bruk av private leverandører? Hvilke endringer kan være nødvendige for å gjøre det mulig å bruke det private leverandørmarkedet på en sikker og effektiv måte? Relater det gjerne til nye tjenester og leveransemåter. Svar: Del IV Rutiner ved tjenesteutsetting til private/ bruk av private leverandører 17. Hvilke rutiner har dere for å sikre at kriteriene vedrørende informasjonssikkerheten til pasientopplysning blir oppfylt per prosess under: Anskaffelsesprosessen blant annet sikre at kriteriene blir oppfylt, og at kravene til leverandør blir avtalefestet? Svar: Implementering/overføring (før driftsettelse) blant annet sikre at kriteriene blir oppfylt og at interne tiltak blir iverksatt i tide? Svar: Oppfølging av løpende «drift» blant annet sikre at kriteriene blir oppfylt og at interne tiltak blir iverksatt i tide? Svar: IE

164 18. Hvilke forbedringer/endringer i rutiner ser dere som hensiktsmessige for å sikre etterlevelse av krav til informasjonssikkerhet ved bruk av private leverandører? Svar: Del V Avveininger 19. Ved fastsettelse av kriterier, krav og rutiner, hvilke vurderinger og avveininger mellom risiko/sårbarhet og effekter (kostnader og gevinster) av utsettingen til eller bruk av privat leverandør er gjort? Svar: 106 IE-1012

165 IE

166 VEDLEGG 5: Risikoreduserende tiltak ved tjenesteutsetting Risikovurdering er helt sentralt ved tjenesteutsetting av IKT. Risikovurderingen handler ikke bare om å identifisere og kvantifisere sårbarheter og trusler, men også om å identifisere, vurdere og planlegge risikoreduserende tiltak. I dette vedlegget vil vi se nærmere på det siste. Dette finnes tekniske tiltak som både kan redusere sannsynlighet for brudd på informasjonssikkerheten og redusere konsekvensen av eventuelle brudd. Innen helse- og omsorgssektoren er det spesielt to typer tekniske tiltak som har vært benyttet: perimetersikring og applikasjonssikkerhet. Dette er viktige tiltak, men de reduserer i beskjeden grad risiko i forbindelse med tjenesteutsetting av IKT. Det finnes derimot mange andre tiltak som gjør det.. Dette ble kort nevnt i rapportens kapittel 6.2 og 6.3. Her blir til takene beskrevet i mer detalj. Mulig risikoreduserende tiltak ved tjenesteutsetting Det er en rekke tiltak man kan gjøre for å redusere risiko. Det dreier seg om forebyggende tiltak som: Å avskrekke eventuelle angripere Å beskytte systemene Det dreier seg også om beredskapstiltak som gir en bedre håndtering av hendelser når de likevel inntreffer som Å oppdage dem Å håndtere hendelsene raskt og godt Å gjenopprette en sikker tilstand God informasjonssikkerhet krever både forebygging og beredskap. Tiltakene kan deles inn i tre typer Fysisk Teknisk Organisatorisk Fysiske tiltak dreier seg om fysisk sikring av utstyr både mot angrep og mot det fysiske miljøet. Eksempler på fysisk sikring er solide vegger og dører, låser, kameraovervåkning, vakthold, overspenningsvern og flomvern. Redundans gir mer robuste løsninger ved å sikre at det ikke er noe enkelt punkt som gir svikt alene, for eksempel ved å ha dobbelt opp av utstyr og linjer og datasentre på ulike lokasjoner. Tekniske tiltak (også kjent som logiske) dreier seg om sikkerhet bygd inn i systemene som identitet- og tilgangsstyring, kryptering, logging osv. 108 IE-1012

167 Organisatoriske tiltak (også kjent som administrative) dreier seg om sikkerhet knyttet organisasjonen og personell i organisasjonen som bakgrunnssjekker, kompetanse, kultur, avtaler, kontrollrutiner osv. De tre typene tiltak henger sammen. Man kan til en viss grad bruke tiltak av en type for å kompensere for manglende tiltak av en annen type. Et eksempel er når datasenter deles med andre. Da kan ikke alltid fysisk tilgang begrenses til eget utstyr og til eget autorisert personell. For å kompensere for dette kan data som er lagret på utstyret og som transporteres mellom det krypteres, slik at informasjonen er i en form som gjør den vanskelig tilgjengelig for dem med fysisk tilgang. Tjenesteutsetting av IKT forutsetter tekniske tiltak som ofte ikke er på plass Tjenesteutsetting av IKT har konsekvenser for informasjonssikkerheten. Det organisatoriske miljøet vil nødvendigvis endre seg siden man går fra å ha produksjonen internt i organisasjonen styrt gjennom organisasjonens interne styringssystem til å skje delvis i ett eller flere andre foretak styrt gjennom avtaler og samarbeid. Man har ikke lenger direkte styringsrett av personell som utfører arbeid for organisasjonen. Selv med de beste avtaler vil man miste noe organisatorisk kontroll ved tjeneste - utsetting. Dette betyr at man gjerne må bruke noen andre typer tiltak for å kompensere. Tjenesteutsetting har ofte også ofte direkte konsekvenser for det fysiske og det tekniske. Tjenestene leveres gjerne fra andre steder og ved hjelp av annet utstyr og systemer enn det som ellers ville vært tilfellet. Mange av IKT-løsningene i helsesektoren ble utviklet og designet i en tid da tjeneste utsetting av IKT i sektoren ikke var et tema. Dette har hatt konsekvenser for hvordan man har valgt å sikre systemene. Tradisjonelt har de tekniske tiltakene i hovedsak dreid seg om perimetersikring og applikasjonssikring. Perimetersikring består i hovedsak å bygge hindre i nettverket ved hjelp av brannmurer og lignende. Man deler gjerne verden inn i soner og begrenser tilganger ut i fra det. Et enkelt eksempel kan for eksempel være slik: Åpen sone Alle på Internett er i denne sonen. Her kan man få tilgang til de offentlige nettsidene til foretaket og eventuelle selvbetjeningsløsninger det tilbyr. Intern sone Alle ansatte og innleide på det lokale nettverket eller fra annet sted ved hjelp av løsning for fjernoppkobling er i denne sonen. De kan i tillegg nå applikasjoner rettet mot interne brukere i foretaket. Driftssone Her har bare IKT-driftspersonell tilgang. De får her direkte tilgang til tjenerne som brukes til å levere applikasjonene. Det var et svært enkelt eksempel og ofte har man langt flere soner for å gi en mer finmasket kontroll. For eksempel kan man ha ulike driftssoner slik at de som IE

168 driver med applikasjonsdrift bare for tilgang til de tjenerne som brukes av sine applikasjoner eller man kan ha en egen «sikker» sone som gir tilgang til applikasjoner med informasjon som skal behandles fortrolig. Ved tjenesteutsetting av IKT-tjenester, spesielt driftstjenester, må man slippe eksternt personell inn i de mest begrensede sonene for at de skal kunne utføre arbeidet sitt. Dette gjelder både basis- og applikasjonsdrift. For applikasjonsdrift kan man begrense tilgang til infrastrukturen til en bestemt applikasjon ved å lage egne soner for dem. Applikasjonssikring dreier seg om å sikre applikasjonene herunder identitet- og tilgangsstyring for brukere, ulike former for sporing og kryptering av forbindelsen fra tjener til klient. Dette er på plass i mange kliniske systemer i dag. Ved tjenesteutsetting av IKT-tjenester har applikasjonssikring begrenset verdi som risikoreduserende tiltak. IKT-personell må gjerne ha tilgang direkte til infrastruktur, plattform og applikasjonskomponenter på tjenere og kommer da utenom tradisjonell applikasjonssikring. Finnes tekniske tiltak som begrenser risiko ved tjenesteutsetting av IKT Det finnes tekniske tiltak som begrenser risiko ved tjenesteutsetting av IKT. Det dreier seg om verktøy man kan ta i bruk og endringer i hvordan applikasjonene er satt sammen, deres arkitektur, som gjør det mulig å bruke disse verktøyene. Identitet- og tilgangsstyring for privilegerte brukere IKT-personell omtales ofte som privilegerte brukere siden de har langt mer omfattende tilganger enn andre brukere og siden tilgangene gjerne går utenom applikasjonssikkerhet. Identitet- og tilgangsstyring handler om å sikre at de rette personene har tilgang til de rette ressursene til de rette tidene. Systemer for identitet og tilgangsstyring tilbyr verktøystøtte for dette. De gir: Sentral oversikt over identiteter hvem det er snakk om Kontroll på at personer er dem de gir seg ut for å være, autentisering Håndtering av hvilke tilganger hvem skal ha nå, autorisasjon Med verktøy for identitet- og tilgangsstyring får man en sentral oversikt over identiteter, kontoer, tilganger og bruken av disse. Dette gjør det enklere å administrere og å kontrollere tilganger. Uten en slik sentral oversikt vil det kreve mye tid og innsats å gjennomføre periodiske gjennomganger av tilganger og å foreta revisjoner og tilsyn. Det gjør det også vanskelig å kontrollere at brukere ikke har ulovlige kombinasjoner av tilganger, situasjoner av typen «bukken og havresekken». For eksempel bør ikke personell som har tilgang til å administrere 110 IE-1012

169 et system også ha tilgang til å administrere systemet for logging av hva som gjøres på tjenerne. Identitet Ved tjenesteutsetting av IKT-tjenester er identitet knyttet til leverandørene, deres underleverandører og personell hos disse. For norske leverandører som leverer tjenestene fra Norge er ikke dette så vanskelig. Vi har sentrale oversikter og identifikatorer for både fysiske og juridiske personer. Fysiske personer finnes i Det sentrale folkeregister og er unikt identifisert ved hjelp av deres fødselseller D-nummer. Juridiske personer finnes i Foretaksregisteret og er unikt identifisert ved hjelp av deres organisasjonsnummer. I noen andre land finnes det tilsvarende, men ikke i alle. Selv der det finnes, er det ikke sikkert at man uten videre får tilgang til dem eller at det er lett å gjennomføre i praksis. Knyttet til identitet for fysiske personer kan det være nyttig å få informasjon om blant annet: Nasjonalitet Ansettelsesforhold som arbeidsgiver, stilling og arbeidssted Taushetserklæringer Bakgrunnssjekker Sikkerhetsklarering Knyttet til identitet for juridiske personer som aksjeselskap og lignende kan det være nyttig å ha informasjon om blant annet avtaler om tjenesteutsetting av IKT, databehandleravtaler og sikkerhetsavtaler. Autentisering Systemer som brukes ved levering av helsehjelp havner fort oppe i det øverste risikonivået i Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor 1 siden det potensielt kan forekomme tap av liv og/eller store helseskader. Dette nivået, risikonivå 4, medfører krav om sikkerhetsnivå 4 to-faktorautentisering hvorav én skal være dynamisk. To-faktorautentisering betyr at det kreves to ulike faktorer for autentisering. En faktor kan være: Noe du vet, som for eksempel PIN-kode eller passord Noe du er, som for eksempel fingeravtrykk eller ansiktstrekk Noe du har, som et smartkort eller en passordkalkulator Det at én av faktorene skal være dynamisk betyr at den endres fra gang til gang. Eksempler på slike løsninger er tidsbaserte passordkalkulatorer, som gir nytt passord avhengig av tid, og løsninger basert på PKI, hvor det ved hver autentisering genereres en ny, tilfeldig datastreng som signeres digitalt. 1 IE

170 I Norge har vi en etablerte fellesløsning på sikkerhetsnivå 4 som Bank ID, Buypass og Commfides. Det finnes tilsvarende i noen andre land og det finnes EU-standarder som skal gi interoperabilitet, men i praksis er det en tilleggsutfordring når man har personell i utlandet. Systemet kan også kreve at man autentiserer seg på nytt etter en tids inaktivitet for å hindre at uvedkommende for tilgang ved å bruke noen andres utstyr som har blitt forlatt uten å ha blitt låst. Autorisasjon Med systemer for identitet- og tilgangsstyring er det mulig å automatisk håndheve bestemmelser for når og hvor man skal ha tilgang. Man kan for eksempel sette opp regler som er spesielt relevante ved tjenesteutsetting som at: Man ikke skal ha tilganger som gjør at man kan se personopplysninger hvis man ikke har undertegnet en taushetserklæring og er ansatt i et foretak man har en databehandleravtale med. Man ikke skal ha tilganger som gjør at man kan se gradert informasjon hvis man ikke er sikkerhetsklarert og er ansatt i et foretak man har en sikkerhetsavtale med. Man ikke skal ha tilgang fra ikke-godkjente steder, utstyr eller nettverk. Man skal ikke ha tilgang med mindre man har en aktiv arbeidsoppgave som tilsier at det er nødvendig med tilgang. Ved tjenesteutsetting får man tilleggsutfordringer med autorisasjon. Det kan være vanskelig for internt personell å bedømme hvorvidt en person hos en leverandør har tjenstlig behov for en tilgang. Dette forutsetter at man vet og forstår hvordan leverandøren er organisert, hvilke arbeidsoppgaver de enkelte hos leverandøren har og hva de krever av tilganger. Dette er krevende oppgaver både ved forespørsel om tilganger og ved periodiske gjennomganger av tilganger. For internt personell har man både tilgang til personalsystemet som inneholder denne informasjonen og kan hvile seg på nærmeste leder som har de beste forutsetningene for å forstå arbeidsoppgavene til sine medarbeidere. Det at disse oppgavene er såpass krevende gjør at man både risikerer forsinkelser og at vurderingene ikke blir reelle. Systemet må også håndtere tilganger i forbindelse med uønskede hendelser. Det kan være at man havner i en situasjon med kritiske eller alvorlige feil der eget personell ikke er i stand til å løse problemet og har behov for bistand fra ekstern ekspertise. Ved slike situasjoner må systemet gjøre det raskt å gi tidsbegrenset tilgang til personell som normalt ikke skulle ha det, men på en måte som gjør at man i etterkant kan se at det ble gjort og hvorfor. Informasjonssikkerhet dreier seg ikke bare om konfidensialitet, men også om tilgjengelighet. 112 IE-1012

171 Provisjonering Det hjelper ikke å ha et system for privilegert identitet- og tilgangsstyring hvis ikke løsningene man har forøvrig fungerer med det. Det å la en slik sentralt system spre de nødvendige brukerkontoene og tilgangene til andre systemer kalles provisjonering og det finnes standarder for det. Det er imidlertid ikke alle som støtter disse standardene, spesielt ikke eldre løsninger. Der det mangler støtte krever det mer å få på plass sentral identitet- og tilgangsstyring. Det er ikke alltid mulig å gjøre det på en måte som supporteres av leverandørene. Føderasjon Som vi har sett kan identitet, autentisitet og autorisasjon være utfordrende å få til for eksternt personell, spesielt i utlandet. En mulig løsning er i stedet å benytte leverandørens egne løsninger. Hvis leverandøren har gode nok tekniske løsninger og administrative rutiner, kan man ved hjelp av noe som heter føderasjon gjøre det mulig for eksternt personell å bruke sin arbeidsgivers løsning for å logge seg på. For at dette skal være aktuelt, må man før man setter det opp vurdere om løsningene er pålitelige nok, både teknisk og administrativt, og man må etter implementering kontrollere at det fungerer som avtalt og gjennomføre nødvendige forbedringer som konsekvens av endringer i risikobildet. Sikre forbindelser og arbeidsflater Ofte vil eksternt personell arbeide på utstyr og fysiske steder som ikke kontrolleres av kunden. Dette medfører økt risiko siden man ikke selv kan sikre utstyret og nettverket fysisk. Noe av dette kan til dels kompenseres ved administrative tiltak som avtaler som stiller krav om fysisk sikring av arbeidsplass, kryptering av disker og verktøy for å oppdage ondsinnet programvare, samt kontroller av at disse etterleves. For å hindre avlytting og manipulasjon av kommunikasjon over samband finnes det tekniske tiltak som ved hjelp kryptering etablerer virtuelle private nettverk. I helse- og omsorgssektoren i Norge har man et felles slik nettverk kalt Helsenettet som leveres av Norsk helsenett og i henhold til Normen bør dette benyttes. I tillegg kan man begrense risikoen knyttet til fremmed utstyr ved å bruke terminal tjenere. Personell arbeider da på en arbeidsflate levert fra en tjener hos kunden. Det gjør at data ikke lagres lokalt på utstyret og begrenser mulighetene for ondsinnet programvare å få tilgang. Terminaltjenere kan settes opp slik at det ikke er mulig å kopiere filer og elementer på utklippstavlen til og fra eget utstyr og terminalen. Det er ikke alltid det er mulig med alle disse begrensningene. Det kan være at eksternt personell har tjenstlig behov for å kunne overføre filer som for IE

172 eksempel ved filer med oppdateringer og oppgradering av programvare eller behov for å laste ned data fra utstyr til analyse på egne tjenere. Kryptering og signering Det finnes også tekniske tiltak som reduserer risiko for at data kommer på avveie eller blir manipulert. Man kan for eksempel gjøre det vanskeligere for personell med fysisk tilgang til utstyr og nettverk til å misbruke disse tilgangene ved å kryptere av filsystemet på tjenerne og all kommunikasjon mellom dem på transportnivå. De vil fortsatt ha tilgang til dataene, men de vil være på en form som gjør det vanskelig å nyttiggjøre seg dem. Dette tiltaket vil imidlertid ikke hjelpe mot driftspersonell som har mulighet for å logge seg på tjenerne. For at de skal fungere vil for eksempel operativsystemet være nødt til å dekryptere dataene lagret på filsystemet når de aksesseres. Det finnes imidlertid tekniske tiltak basert på kryptografi som gjør at denne typen driftspersonell heller får tilgang til ukrypterte data. Filer, databaser og meldinger kan også krypteres. Et eksempel på at dette er gjort er Kjernejournal der driftspersonell ikke uten videre har tilgang til dataene i databasen. Det er også mulig å bruke kryptografi for å sikre integriteten av dataene selv når de er tilgjengelige ved hjelp av digitale signaturer og blokkjeder. Et eksempel på bruk av elektroniske signaturer i sektoren er resepter som signeres elektronisk av leger. Disse tiltakene kan være vanskelig å få til med gamle løsninger som ikke er designet med tanke på det. Kryptering gir også dårligere ytelse og kan gjøre det vanskeligere gjenopprette data. Anonymisering, aggregering og pseudonymisering Det er mange situasjoner det er ønskelig med tilgang til reelle data fra produksjon som kan inneholde personopplysninger. I forbindelse med testing av systemer kan det være krevende å lage tilstrekkelige omfattende og representative testdata fra grunnen av. Leverandører av medisinsk-teknisk utstyr som biodsukkermålere kan ha behov for å ha tilgang til dataene for å gjøre dem tilgjengelige for brukeren, deres pårørende og for å formidle dem til helsevesenet. I forbindelse med forskning og annen bruk av maskinlæring har man behov for reelle data til å teste hypoteser og å trene algoritmer. Det finnes tekniske tiltak som kan redusere risikoen. Dataene kan for eksempel på ulike vis anonymiseres og aggregeres. Formålet med bruk av dataene er ofte ikke slik at det er nødvendig å vite hvem de gjelder. Anonymisering dreier seg om å gjøre det umulig å spore dataene tilbake til en enkelt person. Dette er vanskeligere enn bare å fjerne fødselsnummer og navn. Det kan være direkte identifiserbar informasjon i fritekstfelt og vedlagte dokumenter. I tillegg er det ofte mulig å finne ut hvem det dreier seg om ved å samkjøre opplysningene med andre datakilder. Ofte kan opplysninger som kan være relevante for for- 114 IE-1012

173 målet som alder og bosted være nok til å finne ut hvem noen er. Aggregering er da et annet teknisk tiltak som kan benyttes der man ikke får data om den enkelte person, men kun oppsummert for grupper av personer. En teknikk beslektet med anonymisering er pseudonymisering. Der fjerner man også informasjon som er direkte identifiserbar, men man beholder en oversikt som gjør det mulig å finne tilbake til hvem det dreier seg om. Denne oversikten skjermes fra de som behandler dataene. For eksempel kan man tenke seg at man angir en i seg selv intetsigende token i stedet for fødselsnummer for å identifisere en pasient man kobler til noe medisinsk-teknisk utstyr. Denne brukes av utstyret for å oversende informasjon til kurve- og journalsystem som finner ut hvem det dreier seg om og legger det til rett pasient. Det er nødvendig med verktøystøtte for å få til disse teknikkene på en god måte. Sporing Sporbarhet er et viktig prinsipp innen informasjonssikkerhet og dreier seg om å ta vare på informasjon om hvem som gjorde hva når og hvilke tilganger de benyttet. Dette kan blant annet brukes til etterkontroll, etterforskning og i forbindelse med periodiske gjennomganger, revisjon og tilsyn. For eksempel kan det at noen ikke har benyttet en tilgang på lang tid være en indikasjon på at vedkommende ikke lenger trenger tilgangen og den kan fjernes. Det tekniske tiltaket er logging og verktøy for analyse av logger. Det er viktig å sikre lagringen av loggene. Det må settes opp skiller slik at personell og helst ikke annet personell hos samme leverandør har mulighet for å manipulere loggen. Det er også viktig å ta vare på loggene tilstrekkelig lenge. Avanserte angripere som etterretningsorganisasjoner kan ha angrep som går over måneder. Det kan også gå tid før man oppdager et angrep og man må ha mulighet for å gå tilbake i tid for å sikre bevis. Loggene blir fort så omfattende at man er avhengig av å verktøy for å håndtere og analysere dem. En utfordring med å få på plass god logging er at eksisterende løsninger ikke alltid er designet med tanke på dette. En annen utfordring er at også personell hos leverandører har krav på personvern og det er begrensninger i hvor mye og hvordan man kan overvåke. Deteksjon Et annet mulig teknisk tiltak er å implementere verktøy som bidrar til å avdekke sårbarheter og mulige brudd på sikkerheten. Det finnes verktøy som avdekker mulige angrep fra innsidere. Disse ser for eksempel etter uventede endringer i bruksmønster. En utfordring med disse verktøyene er at det krever mye tuning for å unngå for mange falske positiver. IE

174 Det finnes også ulike verktøy som ser etter sårbarheter for eksempel ved skanne etter kjente sikkerhetshull eller ved å se gjennom kildekode etter usikker koding som åpner for noen vanlige angrepsteknikker. Håndtering av endringer og hendelser Til slutt finnes det tekniske tiltak som hjelper ved håndtering av endringer og hendelser. For endringer finnes det sakssystem som gjør det mulig: Å planlegge hvem som skal gjøre hva når. Å dokumentere hva endringene går ut på og eventuelle risikovurdering (pålagt ved endringer som kan medføre konsekvenser for informasjonssikkerheten). Å sikre at risikovurderinger og godkjenninger er gjennomført. Disse kan henge sammen med andre verktøy for konfigurasjonsstyring som dokumenterer hva man har med versjoner og andreegenskaper. Det finnes også verktøy for håndtering av kritiske hendelser når de først inntreffer. Når man arbeider distribuert, som ofte er tilfellet ved tjenesteutsetting, er det ikke så lett å samle alle i et «situasjonsrom» for å sikre rask og effektiv kommunikasjon med alt relevant personell. 116 IE-1012

175 VEDLEGG 6: Aktørers vurdering av hvilke tjenester som ikke bør overlates til private leverandører I dette vedlegget gjengis aktørenes vurdering på spørsmålet om det er noen tjenester som ikke bør overlates til private leverandører, spesifisert hvilke tjeneste områder som eventuelt ikke bør settes ut, hvorvidt det burde skille mellom ulike jurisdiksjoner (Norge, EØS/EU, globale) og eventuelt kriterier som ligger til grunn for denne vurderingen. Nedenfor presenteres en oversikt over hvilke aktører som fikk hvilke spørsmål, før vurderingene for hver aktør presenteres. 2 Aktører Hvilke tjenester bør ikke overlates til private leverandører Spesifisere hvilke tjenesteområder som eventuelt ikke bør settes ut (basisdrift og applikasjonsområder) RHFene, Norsk Helsenett, HDO, Folkehelseinstituttet og Pasientreiser 2 Kompetansemiljøene IKT-næringen Fag- og pasientorganisasjoner Hovedaktørene Består av de regionale helseforetakene (RHFene), Norsk Helsenett, HDO, Folkehelseinstituttet og Pasientreiser (Sykehusinnkjøp regnes som en hovedaktør, men besvarte ikke spørreskjemaet i sin helhet) Helse Sør-Øst Innledning Helse Sør-Øst mener at for å svare utfordringsbilde vedrørende hvilke tjenesteområder som kan overlates til underdatabehandler (privat leverandør), er det sentralt om tjenesten omfatter personopplysninger, inkludert avidentifiserte, eller om tjenesten kun omfatter anonyme data. Dette må sees i 2 Sykehusinnkjøp fikk ikke tilsendt spørsmålene vedrørende hvilke tjenester som ikke bør settes ut. IE

176 forhold til om tjenesten leveres fra Norge, EU/EØS, tredjeland med avtale og tredjeland. Disse utfordrings- og mulighetsbilder presenteres i det følgende i to oversiktsbilder utarbeidet av Sykehuspartner 3. Offshoring personal data Figur 1: Bruk av databehandler for personopplysninger og anonyme opplysninger Figur 1 viser utfordringsbildet med bruk av databehandler for personopplysninger, som omfatter også avidentifiserte (indirekte identifiserbare) opplysninger, samt reelt anonyme opplysninger. For tjenester som kun omfatter reelt anonyme opplysninger, er ikke outsourcing i samme grad lovregulert. Det gir dermed en indikasjon på mulighetsrommet. Examples of operations activities and from where it may be performed Figur 2: Databehandling av personopplysninger fra ulike land 3 Figur 1 og 2 er utarbeidet av Sykehuspartner. 118 IE-1012

177 Figur 2 gir et skjematisk bilde over utfordringsbildet ved databehandling (outsourcing) fra ulike landområder. Målet er effektive, forutsigbare og sikre tjenester innenfor helsesektoren. Bruk av private leverandører vurderes i forhold til lovverk, forskrifter og forordninger samt normer. Innføring av personvernsforordningen (GDPR) skal sikre et felles regelverk i hele Europa. Helse Sør-Øst anser det som meget viktig at det skjer en harmonisering av praksis på dette området, både innenlands og i Europa, slik at det blir enklere å sikre at leverandører leverer på de krav som er gjeldende for Norge. Helse Sør-Øst har innenfor denne problemstillingen skilt mellom det som er tjeneste- og pasientnært og det som er mer generisk drift av datasystemer (altså ikke så spesifikt for helsesektoren). Det sentrale bør være at det leveres effektive tjenester med rett kvalitet, i tråd med alle krav (lover, forskrifter osv.). Svar for hvert enkelt tjenesteområde er angitt nedenfor. Svar vedrørende basisdrift Med bakgrunn i de erfaringer vi så langt har gjort knyttet til å sette ut basisdrift pågår det en intern prosess knyttet til svar på spørsmålsstilling 1, som vi derfor per i dag ikke kan svare på. Svar vedrørende applikasjonsdrift og -forvaltning Applikasjonsdrift og -forvaltning er (for pasientrettede systemer) drifts- og forvaltningsoppgaver som ligger tett opp mot våre kjerneoppgaver som leverandør av helsetjenester, og som derfor i stor grad utføres av Sykehuspartner. De systemene vi bruker er imidlertid i all hovedsak levert av private leverandører, og disse private leverandørene leverer feilrettinger, oppgraderinger osv. og samarbeider med oss i driftssettingen av disse, for eksempel som tredjelinjesupport e.l. Det er derfor behov for betydelig bistand fra private leverandører og deres underleverandører, som også medfører at leverandørene får tilganger til personopplysninger og sensitive personopplysninger når dette er godkjent av databehandlingsansvarlig i risikovurdering og databehandleravtale er inngått. Det planlegges ikke endringer i denne organiseringen av arbeide. Videre ser vi at det innenfor e-helsetjenester og ikke minst velferdsteknologi skjer en utvikling der private leverandører i økende grad tilbyr tjenester de selv driver, og denne utviklingen kan medføre at vi i økende grad vil måtte forholde oss til privat drift også innenfor dette området (Dette er kommentert ytterligere i andre deler av Helse Sør-Øst svar). IE

178 Svar vedrørende applikasjonsutvikling og -innføring Helse Sør-Øst er lite involvert i leverandørenes utvikling (annet enn ev. som bestiller), men innføring foregår i nært samarbeid med private leverandører. Leverandørene av både de systemene som erstattes og de nye vi setter i drift er stort sett private. Disse leverandørene utvikler altså stort sett selv sine løsninger, stort sett uten at de er i kontakt med våre systemer, mens driftssetting inklusive migrering etc. skjer i tett samarbeid med dem, eventuelt også med den leverandør som har levert det systemet som erstattes. Det planlegges ikke endringer i denne organiseringen av arbeidet. Oppsummering Det ligger uansett som en forutsetning for både basisdrift, applikasjonsdrift, applikasjonsforvaltning og applikasjonsutvikling at kontrollen over disse oppgavene alltid må være underlagt og gjenværende i virksomheten. Ved bruk av underleverandører øker virksomhetens kontrollspenn, noe som medfører behov for styrking av egen og underleverandørers internkontroll og kontraktsstyring. Ansvaret endres ikke, og det er risikovurderinger som er det nødvendige verktøyet for å dokumentere tilfredsstillende informasjonssikkerhet og personopplysningsvern hos leverandører og deres underleverandører. Helse Vest Innledning Helse Vest har ikke sett seg nødt til å sette restriksjoner knyttet til enkelte land og jurisdiksjoner i forbindelse med tjenesteutsetting. Det er ikke dermed sagt at vi vil akseptere en driftsmodell hvor et «hvilket som helst» land brukes, men dette vurderes fra sak til sak. Det er i mange henseende forenklende om data ved tjenesteutsetting kan residere i Norge, alternativt innen EU/EØS-områdets indre marked. Svar vedrørende basisdrift Helse Vest har så langt ut i fra en samlet vurdering av kost og kvalitet valgt å ikke sette ut basisdrift. Dersom basisdrift skulle bli satt ut vil sentrale sikkerhetsfunksjoner ikke bli satt ut. Dette vil for eksempel være brannmurdrift, overvåkning av infrastruktur, sikkerhets og sårbarhetsovervåkning av servermiljø. Svar vedrørende applikasjonsdrift Helse Vest viser til at når det gjelder drift i miljøer utenfor egne (Checkware og Webcruiter) utgjør dette under 1 % av totale basisdrift kostnader (BO), nærmere bestemt 0,7 %. Helse Vest IKT sin «policy» er i hovedregel å forestå drift i egen regi, og i egne lokaler. Samtidig er det åpning for andre driftsmodeller i anbudsprosesser. Når det kommer løsningsforslag og besvarelser med større eller mindre innslag av tjenesteutsetting vurderes dette fra case til case. 120 IE-1012

179 Svar vedrørende applikasjonsforvaltning Svaret er at vi ikke har noen ekskluderende policy på enkeltland og jurisdiksjoner men vi har knyttet vår vurdering til hvilken type tjeneste vi ikke ønsker satt ut (sentrale sikkerhetsfunksjoner) til noen som helst jurisdiksjoner. Svar vedrørende applikasjonsutvikling (migrasjon, test, driftssetting): Svaret er at vi ikke har noen ekskluderende policy på enkeltland og jurisdiksjoner men vi har knyttet vår vurdering til hvilken type tjeneste vi ikke ønsker satt ut (sentrale sikkerhetsfunksjoner) til noen som helst jurisdiksjoner. Sikkerhetstesting har vi så langt kun fått gjennomført av norske virksomheter, eller internasjonale virksomheters norske avdeling. Andre kommentarer Gjennomgang gjort av Gartner rundt sourcing i Helse Vest viser at vi har en god kostprofil og kvalitetsprofil på dagens drift. Dermed har det vært få drivere for ytterligere sourcing. Det er derfor en noe krevende øvelse å skulle redegjøre for policy knyttet til begrensinger i tjenesteutsetting, både knyttet til tjenesteområder og hvilke land dette eventuelt skal gjøres fra all den tid vi i svært liten grad benytter tredjepart til full tjenesteutsetting. Med våre tilgjengelige ressurser har vi i begrenset grad evne og anledning til å lage policier og retnings linjer for problemstillinger som i liten grad har vært relevante og etterspurte. Helse Midt Innledning Vi har en leverandørstrategi som omhandler dette med følgende prinsipper: Alle virksomhetsnære tjenester skal leveres i egen regi Leverandørmarkedet skal brukes for standardtjenester ut fra en vurdering om kostnadseffektivitet og kvalitet. Ved skifte i porteføljen for administrative applikasjoner skal ulike leveransemodeller være en del av vurderingen Leverandørstrategien er under revidering, ferdigstilles høsten Svar for hvert enkelte tjenesteområde er angitt nedenfor. Svar vedrørende basisdrift Helse Midt-Norge har som praksis at basisdrift og datalagring foregår i egne datasentre, men kan vurderes ut fra informasjonssikkerhet, kvalitet og kost. IE

180 Svar vedrørende applikasjonsdrift Helse Midt-Norge har den daglige driften av applikasjonen og benytter leverandørmarkedet for feilretting i applikasjonen der dette ikke kan gjøres i egen regi. Svar vedrørende applikasjonsforvaltning Helse Midt-Norge bruker i hovedsak leverandørmarkedet. Videreutvikling av applikasjoner gjøres av leverandører på bestilling av Helse Midt-Norge, eller i form av egenutvikling hos leverandøren (nye versjoner). Helse Midt-Norge står for innføring og produksjonssetting, f.eks. håndtering av integrasjoner. Svar vedrørende applikasjonsutvikling (migrasjon, test, driftssetting) Helse Midt-Norge bruker i hovedsak leverandørmarkedet ved anskaffelse av nye applikasjoner. Helse Midt-Norge står for innføring og produksjonssetting, f.eks. håndtering av integrasjoner, bruk av leverandørmarkedet vurderes i hvert enkelt tilfelle. Helse Nord Innledning En generell tilbakemelding fra Helse Nord er at outsourcing av drifts- og systemutviklingsoppgaver til leverandører som befinner seg i andre land og på andre kontinent reiser en rekke sikkerhets- og beredskapsutfordringer. Dette gjelder spesielt utenfor EU/EØS. Lokale driftsforhold og nasjonale regler og praksis på området kan avvike fra norske krav til sikker IT-drift eller regelverk knyttet til behandling av helse- og personopplysninger. Nasjonalt tilsyn og mulighetene til å føre kontroll med hvordan den utkontrakterte virksomheten håndterer data kan bli svekket. For å sikre best mulig kontroll må alle anskaffelser vurdere om det vil være forsvarlig å bruke utenlandske tjenesteleverandører i det konkrete tilfellet. Svar vedrørende basisdrift Helse Nord har ikke satt ut basisdrift i dag, og det foreligger ingen planer om å vurdere utsetting av hele eller deler av basisdriften. Svar vedrørende applikasjonsdrift Helse Nord har i liten grad satt ut applikasjonsdrift i dag, og det foreligger ingen planer om å vurdere ytterligere utsetting av hele eller deler av applikasjonsdriften. 122 IE-1012

181 Svar vedrørende applikasjonsforvaltning og -utvikling Se den generelle kommentaren i innledningen over, i tillegg kan organisering av leverandører utenfor EØS/ EU, og som ikke er på listen over land som er godkjent av Europakommisjonen til å ha forsvarlig databehandling påvirke leveranser. Det vil blant annet være en utfordring rundt support, tilgjengelighet på personell med nødvendig sikkerhetsklarering og riktig kompetanse. Folkehelseinstituttet Instituttet behandler i stor grad sensitiv personinformasjon via de forskriftsbaserte helseregistrene, samtykkebaserte helseundersøkelser, laboratorietester (for eksempel ved smittesporing), samt Giftinformasjonen og i varierende grad i forskningsprosjekt. Folkehelseinstituttet mener basisdrift ikke bør settes ut til private aktører. Da de har basisdrift via NHN er det kritisk for dem at all bruk av underleverandører skal skje etter avtale med Folkehelseinstituttet. Som driftspartner har NHN tilgang til all sensitiv informasjon ved instituttet. Deres holdning er at utsetting av det dere kaller applikasjonsdrift/forvaltning/ utvikling er avhengig av type system og prosesser disse skal støtte. Norsk Helsenett Med mindre det er lovkrav knyttet til dette mener Norsk Helsenett at det kan benyttes private aktører der det er formålstjenlig. Det er viktig framover at leverandørene kan forpliktes på nasjonale lover eller bransjenormer eller lover utarbeidet av EU (GDPR). Pasientreiser Pasientreiser HF informerer om at de ikke har gjort en generell vurdering av dette. Drift gjennomføres i dag av Norsk Helsenett. HDO HDO har ingen kommentar. IE

182 INNSPILL FRA KOMPETANSEMILJØENE Kompetansemiljøene ble også stilt spørsmålet om det er tjenester som ikke bør overlates til private underleverandører. Det ble mottatt skriftlige svar fra DIFI, Nasjonal sikkerhetsmyndighet og Datatilsynet. DIFI DIFI har delvis svart spørsmålet, det vil si de har svart på det som handler om jurisdiksjon. I henhold til anskaffelsesregelverket er det i utgangspunktet liten mulighet til å skille mellom norske leverandører og leverandører fra EU/EØS-området. Unntaket er «rikets sikkerhet» i praksis betyr det informasjon og systemer hvor sikkerhetsloven kommer til anvendelse. Det har vært gjort en vurdering av dette spørsmålet i forbindelse med et «Sikker sky»-prosjekt i regi av Nasjonal sikkerhets myndighet. Denne vurderingen kan muligens gjenbrukes av Direktoratet for e-helse i arbeidet med dette oppdraget. Nasjonal sikkerhetsmyndighet Generelt om tjenesteutsetting av IKT tjenester har NSM følgende råd: Tjenesteutsetting av IKT-tjenester til profesjonelle aktører vil kunne gi bedre sikkerhet og mer stabile og tilgjengelige tjenester, lavere og mer forutsigbare kostnader og i større grad bidra til bedre fokus om virksomhetens kjerneaktivitet. Tjenesteutsetting medføre Forholdet til sikkerhetsloven er også omhandlet i kapittel 2.1.r økt sikkerhetsrisiko på grunn av redusert kontroll på stadig mer komplekse verdikjeder. Virksomheter må aktivt etablere organisatoriske, prosessuelle, tekniske og juridiske sikringstiltak Tjenesteutsetting krever gode risikovurderinger og høy bestiller kompetanse NSM er bekymret for at konsolidering av store mengder nasjonale data ikke gjennomføres med nødvendig verdi- og risikovurdering. En risikovurdering med hensyn på sikring bør bygge på en verdivurdering, en trusselvurdering og en sårbarhetsvurdering. Sammenstillingen av disse bestemmer risikobildet. Verdivurderingen skal identifisere hvilke verdier som er de viktigste for virksomhetens oppdrag og leveranser, konsekvenser ved tap, avhengigheter med mer. Spørsmål om kritikalitet hører hjemme her. Dette er nærmere beskrevet i NSM Håndbok Risikovurdering for sikring. 124 IE-1012

183 INNSPILL FRA FAG- OG PASIENTORGANISASJONER Fag- og pasientorganisasjonene fikk spørsmål om det er tjenester som ikke bør overlates til private underleverandører, og hvilke kriterier legger en til grunn for denne anbefalingen. Vi fikk skriftlige svar på dette spørsmålet fra følgende foreninger: Fagforbundet, NITO, Tekna og Den norske Legeforening. For å lese de tilsendte innspillene fra alle fag- og pasientorganisasjonene, se vedlegg 9. Nedenfor er det en oppsummering av svarene. Fagforbundet Fagforbundet mener at IKT-infrastruktur i helse- og omsorgsektoren ikke bør settes ut til private underleverandører. Med IKT-infrastruktur menes her det som muliggjør flyt av elektronisk informasjon i helseforetakene, samt steder hvor denne informasjon lagres. Dette inkludere komponenter som, servere, rutere, switcher, kabler og wifi-nettverk. Slike komponenter bør driftes av IKT-ansatte i helsefortekene. Argumentene for standpunktet om offentlige drevet IKTinfrastruktur er flere. De kan deles i tre underkategorier: Sikkerhet og integritet, kompetanse og samfunnsansvar, samt effektivitetsgevinst. Fagforbundet mener også at IKT-infrastruktur i helsevesenet bør omfattes av sikkerhetslovens regler om håndtering av samfunnskritisk informasjon. NITO NITO mener at drift av IKT-infrastrukturen i dag er for sårbar til å settes ut til private underleverandører. Når det gjelder sikkerhetsloven mener NITOs at i de tilfeller hvor det er sammenfall mellom nasjonal eller regional helseberedskap og IKT-systemer, bør det vurderes å klassifisere IKT-systemene etter bestemmelsene om objektsikkerhet. Dette kan også gjelde større datasentre. NITO mener tjenester ikke bør overlates til private underleverandører dersom det går utover behovet for å skjerme store mengder helseopplysninger eller at det går utover nasjonal beredskap og helseberedskap. Ved bruk av eksterne leverandører mister man kontroll over driften og bruk av underleverandører kan medføre ansvarspulverisering. Tekna Tekna viser til Lysne-utvalgets NOU 4 hvor man trekker frem at utkontraktering til et annet land kan representere en økt sårbarhet i seg selv. Her bør nasjonale myndigheter stille tydelige krav til overordnede sikkerhetsvurderingene. Tekna mener at drift av systemer med sensitiv pasientinformasjon, som faller innenfor definisjonen av kritisk infrastruktur og som ligger innenfor sikkerhetslovens virkeområde, skal gjøres i Norge. Nærhet er viktig for slike driftsoppgaver. 4 NOU 2015 Digital sårbarhet sikkert samfunn Beskytte enkeltmennesker og samfunn i en digitalisert verden IE

184 Tekna tar ikke stilling til hvor data lagres, utover at selskapet og personalet som drifter løsningen må være lokalisert i Norge, og underlagt Norsk lov og regelverk. Ved en eventuell lagring av data i et annet land, må risiko og sikkerhetsvurderingen også omfatte en vurdering av lovverk og sikkerhetssituasjon i landet der dataene lagres. Svært sensitive persondata mener Tekna bør lagres i Norge. Rammene for hva som faller innenfor kritisk infrastruktur må klargjøres av nasjonale myndigheter. Ny sikkerhetslov, som nå er til behandling i Stortinget, vil bidra her, når arbeidet med tilhørende forskrifter og retningslinjer er ferdigstilt. Når man bruker og behandler pasientinformasjon er det avgjørende å sikre integritet, konfidensialitet og tilgjengelighet. Tekna mener derfor det må utarbeides klare nasjonale retningslinjer for innholdet i og gjennomføringen av sikkerhets- og sårbarhetsvurderingene. Dette for å sikre at alle forhold systematisk blir gjennomgått og belyst før virksomheter fatter beslutninger om drift og lagring av data. Den norske legeforening Helsetjenesten sysselsetter omtrentlig personer, og kanskje jobber spesifikt med IKT på nasjonalt nivå. Med et så stort antall ansatte bør man forvente at nasjonen kan eie og utvikle fagmiljøer innen alle sider av IKT, som er høykompetente. Det er vanskelig å forstå at vi ikke skal kunne drifte våre egne løsninger innenfor landets grenser, og skaper tillitsutfordringer når det blir kjent at sparebehov fører til utflagging av helsedata. Det handler ikke bare om faktisk, men opplevd risiko for den enkelte borger. At IKT i helsetjenesten også er samfunnskritisk infrastruktur betyr også at nasjonen må ha nok kompetanse til å håndtere ulike typer hendelser og ondsinnede angrep på denne infrastrukturen. 126 IE-1012

185 INNSPILL FRA IKT-NÆRINGEN IKT-næringen fikk stilt spørsmålet om det er noen tjenester som ikke bør settes ut til private leverandører og om det bør det skilles mellom ulike jurisdiksjoner (Norge, EØS, globale). De bedriftene som har svart på skriftlig på dette spørsmålet er IKT Norge, DXC, IBM og Sopra Steria. Nedenfor er det en oppsummering av svarene. IKT-Norge Tidsrammen for denne utredningen er altfor smale til å komme med endelig svar, dette må være starten på en prosess som dekket innspill til hvordan outsourcing kan gjennomføres på en god måte og det er flere hensyn som må ivaretas. IKT-Norge mener det er viktig å fokusere på at outsourcing fungerer bra i tilfellene: Der det ikke er tilgang på nok kompetanse i Norge. Der det ikke er tilgang på nødvendig spisskompetanse i Norge. Der det er høy grad av standardisert og/eller automatisert drift. Der det er kritisk å klare å konkurrere på pris for å vinne anbud. Der lovverk, f.eks. Sikkerhetsloven, ekomloven, etc., ikke krever at dataene behandles i Norge. I tillegg mener IKT-Norge at: Outsourcing/offshoring kan kvalitetssikres gjennom tydelig regulering, avtaler og prosedyrer. Gjøres outsourcing/offshoring på riktig og sikker måte, vil det støtte digitaliseringen i Norge og styrke norske it-selskaper. Det er avgjørende at det er bred tillit i prosesser som innebærer outsourcing/offshoring, særlig når det gjelder samfunnskritiske systemer eller opplysninger. Det er derfor viktig med debatt, åpenhet, transparens og spørsmål. IKT-Norge bør bidra til det, og ha full forståelse for andre meninger. Det er svært viktig at vi i Norge for helsesektoren, som på andre områder, får tydelig retningslinjer. To områder peker seg ut til være basert på en politisk avgjørelse: Skal data knyttet opp til helse lagres på norsk jord? I så fall må det avklares hvilke data dette omfattes. Skal data knyttet opp til helse behandles av personer som er under norsk lov, har norsk nasjonalitet og/eller jobber i Norge. DXC Overall, DXC does not believe there are healthcare systems that cannot be sourced and hosted by private vendors within the healthcare environment IE

186 provided the correct controls are in place and the appropriate risk assessments undertaken. DXC is also of the view that the full use of hybrid workload placement (Traditional on premise, Private Cloud and Public Cloud) should be utilized both within and outside of Norway in order to provide access to clinicians and citizens to the best possible healthcare outcomes, whilst providing public service organizations the access to secure, flexible and cost effective solutions. IBM IBM mener at det er litt for kort tid for å gi et kvalifisert svar, men bidrar gjerne til en videre prosess for å vurdere dette nærmere. Sikkerhetsmulighetene og de regulatoriske rammebetingelser vil være sentrale også i denne vurderingen. Leverandørenes bruk av internasjonale løsninger vil generelt gi lavere pris til kundene. Det bør vurderes om det kan skilles mellom Norge, Norden, EU/EØS og andre deler av verden. Sikkerhetsløsningene kan eventuelt være ulike, noe som vil være reflektert i prisen. Helseforetakene bør se på å klart skille mellom systemer som inneholder sensitive personopplysninger (pasientdata) og ikke sensitive personopplysninger. Systemer som ikke inneholder sensitive personopplysninger bør kunne prosessers globalt, men systemer med sensitiv personinformasjon kan eventuelt begrenses til færre jurisdiksjoner (Norge/ Norden/EØS avhengig av sikkerhetskrav). Dataklassifisering av informasjon, også internt i systemer, bør kunne brukes for å bestemme i hvilken jurisdiksjon dataene kan behandles og hvilken ikke er tillatt. Sopra Steria Sopra Sterias svar deles opp i to spørsmål: A. Er det tjenester som ikke bør settes ut til private leverandører? Sopra Steria mener svaret er et tydelig «nei». Det er ingen grunn til å tro at det finnes oppgaver i dag som kan bli bedre løst av det offentlige alene. Det er viktig nå å finne bedre måter å samhandle på. Bedre måter å utnytte hverandres komparative fortrinn. B. Bør det skilles mellom ulike jurisdiksjoner (Norge, EØS, globale)? Sopra Steria mener Lysne-utvalget (Digitalt sårbarhetsutvalg, NOU 2005:13) gir en relevant måte å vurdere dette på: 1. Informasjon som bare bør lagres i Norge Eksempel: gradert informasjon (Sikkerhetsloven) 2. Informasjon som kan lagres i utlandet, men som en må kunne ta hjem om det blir særlig behov for det, og på bestemte betingelser Eksempel: sensitive personopplysninger 3. Informasjon som kan lagres i utlandet uten spesielle betingelser Eksempel: virksomhetsintern informasjon, ingen spesielle regulatoriske krav 128 IE-1012

187 Informasjonssikkerhet ved bruk av private leverandører i helse- og omsorgstjenesten IE

188 VEDLEGG 7: Endringer av krav og rutiner Innspill fra de regionale helseforetakene med forslag til endringer i krav, løsninger på utfordringer og forbedringer/endringer i rutiner. Hovedaktørene i sektoren fikk tre spørsmål hvor det oppfordres til å foreslå endringer eller forbedringer. Disse er: 1. Hvilke innspill til endringer i nåværende krav har dere, for å bidra til at denne formen for tjenester skjer på en ansvarlig måte? 2. Hvilke utfordringer er tilstede ved bruk av private leverandører? Hvilke endringer kan være nødvendige for å gjøre det mulig å bruke det private leverandørmarkedet på en sikker og effektiv måte? Relater det gjerne til nye tjenester og leveransemåter. 3. Hvilke forbedringer/endringer i rutiner ser dere som hensiktsmessige for å sikre etterlevelse av krav til informasjonssikkerhet ved bruk av private leverandører? Øvrige aktører er også stilt spørsmål om hvilke endringer kan være nødvendige for å gjøre det mulig å bruke det private leverandørmarkedet på en sikker og effektiv måte? Svarene har gitt innspill som omhandles og drøftes flere steder i rapporten. De formelle svarene fra RHFene, på de tre spørsmålene, er gjengitt nedenfor. Helse Sør-Øst Hvilke innspill til endringer i nåværende krav har dere, for å bidra til at denne formen for tjenester skjer på en ansvarlig måte? Svar: Helse Sør-Øst RHF ønsker at det arbeides for en harmonisering av så vel lover og forskrifter som praktisering av disse, dette også sett i relasjon til innføring av personvernforordningen. Entydige krav og praktisering bør på sikt kunne lede frem til en form for sertifisering av løsninger og leverandører innenfor dette området, hvilket i betydelig grad vil lette arbeidet med innføring og drift av disse. Hvilke utfordringer er tilstede ved bruk av private leverandører? Hvilke endringer kan være nødvendige for å gjøre det mulig å bruke det private leverandørmarkedet på en sikker og effektiv måte? Relater det gjerne til nye tjenester og leveransemåter. Svar: Ved bruk av private leverandører er det nødvendig å sjekke leverandøren grundig før avtaleinngåelse, inkludert finansiell situasjon, sikkerhetsrutiner 130 IE-1012

189 inkludert rutiner for håndtering av pasientinformasjon, og sikring av pasientinformasjon. Videre må det etableres et tett samarbeid med, og oppfølging av, leverandøren under etablering, innføring og drift. Tjenesteutsetting medfører høye krav til internkontroll, revisjonskompetanse og leverandørstyring og vil ofte kreve styrking av intern kompetanse. Videre, der skytjenester tas i bruk må det sikres at dataene håndteres på riktig måte, bl.a. i forhold til lagring, tilgang til og sikring av dataene, slik at disse ikke kommer på avveier. Hvilke forbedringer/endringer i rutiner ser dere som hensiktsmessige for å sikre etterlevelse av krav til informasjonssikkerhet ved bruk av private leverandører? Svar: Det brukes store ressurser for å sikre etterlevelse av krav til informasjonssikkerhet. Ofte krever dette videreutvikling av internasjonale leverandørers løsninger, dette for å sikre at de tilfredsstiller våre krav. Med innføring av GDPR får vi et felles juridisk rammeverk i EU/EØS, og en harmonisering av praksis innenfor EU og EØS, inkludert Norge, vil gjøre det vesentlig enklere for oss å sikre at de krav som gjelder i Norge (og da også resten av dette området) blir oppfylt. Dette vil ikke bare forenkle anskaffelsene, men også fjerne en betydelig risikofaktor knyttet til innføringen av løsningene, og dessuten legge bedre til rette for bruk av de systemer som vi ser komme innenfor e-helse og velferdsteknologi. Fra Helse Vest Hvilke innspill til endringer i nåværende krav har dere, for å bidra til at denne formen for tjenester skjer på en ansvarlig måte? Det er vanskelig å ha kontroll med underleverandørers underleverandører. En standardisert avtalemal for databehandling, gjerne basert på EUs model clauses ville kunne være nyttig. Det er nok vanskelig for norske virksomheter (som er små i den store verden) å komme med egne versjoner av databehandleravtaler ovenfor tredjepart. Dersom det fantes en omforent, anbefalt og mer eller mindre standardisert avtale man kunne ta utgangspunkt i ville dette være forenklende. Sertifisering av tredjeparter (både mot informasjonssikkerhet og ovenfor diverse skysertifiseringer) vil være godt for å avklare etterlevelse og god kontroll med informasjonssikkerheten. Hvilke utfordringer er tilstede ved bruk av private leverandører? Hvilke endringer kan være nødvendige for å gjøre det mulig å bruke det private leverandørmarkedet på en sikker og effektiv måte? Relater det gjerne til nye tjenester og leveransemåter. Det å verifisere etterlevelse av avtale kontroller og tiltak på informasjonssikkerhet er komplisert ved bruk av private leverandører. Å ivareta kontroll og å revidere tredjepart vil gjerne være krevende. IE

190 Vi vurderer å anskaffe bedre produkt for overvåkning av tredjeparts aktiviteter via VPN. Hvilke forbedringer/endringer i rutiner ser dere som hensiktsmessige for å sikre etterlevelse av krav til informasjonssikkerhet ved bruk av private leverandører? Svar: Tydelige retningslinjer rundt pasientnære løsninger med innslag av sky. Det er behov for avklaring av ansvarsforhold der noen leverandører ønsker full tilgang til data i behandlingshjelpemidler hvor leverandøren da har mulighet for å utlevere til helseforetak. Pasienten samler da selv opplysningene på det utstyret pasienten ønsker å benytte og leverandøren må tilrettelegge for utlevering til HF når HF trenger disse dataene. Da blir leverandøren av det medisintekniske utstyret databehandlingsansvarlig. Dette er en uvant situasjon for helseforetakene. Case her er CGM-målere og dialysemaskiner. Det er ellers en generell betraktning at det er manglende grenseoppgang mellom hva som er velferdsteknologi og hva som er Medisinsk Utstyr (MU) i sektoren. Her er det store gråsoner der kanskje ingen passer på. Andre punkter: Gode databehandleravtaler herunder adekvat kontroll med underleverandørs underleverandører Viktig å få fullstendig beskrivelse i starten fra tredjepart og sikre god samhandling med disse Hvordan kan vi sjekke FAKTISK etterlevelse av krav/normen i leveransen? Standardavtaler inn mot Normen herunder tilpasset GDPR (Model clauses har vært nevnt ovenfor). Fra Helse Midt Hvilke innspill til endringer i nåværende krav har dere, for å bidra til at denne formen for tjenester skjer på en ansvarlig måte? Svar: Det ønskes tydeligere retningslinjer nasjonalt for fortolkning av kravene, med hensyn til blant annet Hvor er det akseptabelt å lagre data, hvilke kriterier skal ligge til grunn? Hva er mulig med hensyn til anskaffelsesreglementet? Hvilke data er det akseptabelt å gi tilgang til? Hvilke utfordringer er tilstede ved bruk av private leverandører? Hvilke endringer kan være nødvendige for å gjøre det mulig å bruke det private leverandørmarkedet på en sikker og effektiv måte? Relater det gjerne til nye tjenester og leveransemåter. Svar: Nedenfor er det listet opp en del områder som Helse Midt-Norge mener bør adresseres fremover mht. å bruke det private leverandørmarkedet på en 132 IE-1012

191 sikker og effektiv måte. Dette gjelder både på regionalt nivå og på myndighetsnivå (avklaringer/føringer). Tilgangssystemer knyttet til MTU. Bruk av leverandørspesifikke skytjenester. Leverandører går i større grad mot SaaS, krever kapasitet og kompetanse på avtaler og tjenestekjøp Omfattende krav for små leverandører. For hvilke områder/omfang må sikkerhetsloven tas hensyn til? Blir informasjonssikkerhet tilstrekkelig ivaretatt i inngåelse av nye avtaler (gjelder spesielt Sykehusinnkjøp og MTU)? Infrastruktur som støtter skytjenester. Det er generelt utfordringer knyttet til at leverandørmarkedet ikke har tilstrekkelig kjennskap til nasjonale krav. Anbefalingene er at regelverket harmoniseres i større grad internasjonalt, ny EU-forordning er et skritt i denne retningen. Hvilke forbedringer/endringer i rutiner ser dere som hensiktsmessige for å sikre etterlevelse av krav til informasjonssikkerhet ved bruk av private leverandører? Svar: Tydeligere nasjonale malverk som angår informasjonssikkerhet for anbudskonkurranser, kontraktsinngåelse, databehandleravtaler. Tydeligere krav til logging av tilganger, spesielt knyttet til MTU. Fra Helse Nord Hvilke innspill til endringer i nåværende krav har dere, for å bidra til at denne formen for tjenester skjer på en ansvarlig måte? Svar: I dag er det i utgangspunktet ingen rettslige begrensinger for å ta i bruk leverandører som drifter utenfor Norges grenser forutsatt at mottakerlandet sikrer en forsvarlig behandling av helse- og personopplysningene. Som hovedregel kan det sies at alle stater som har gjennomført EUs personverndirektiv på en tilfredsstillende måte, land som Europakommisjonen har godkjent, og enkelt bedrifter i USA som har sluttet seg til avtaleverket Privacy Shield, anses også å ha en forsvarlig behandling av personopplysninger. Norge er gjennom EØS-avtalen en del av EUs indre marked med fri flyt av varer, kapital, tjenester og personer (herunder selskapsetableringer). Dette er de såkalte fire friheter. Gjennom EØS-avtalen har Norge forpliktet seg til å sørge for at restriksjoner på grenseoverskridende handel og virksomhet fjernes. Helse Nord mener at det bør uttredes hvilken betydning det kan få dersom en definerer pasientinformasjon til å være «nasjonal kritisk informasjon», slik at dette ikke omfattet av konkurransereglene i EUs indre marked. IE

192 Helse Nord vil også til å se til vurderingene som IKT-sikkerhetsutvalget skal leverer i løpet av høsten. Utvalget skal se på regelverk og organisering innenfor IKT-sikkerhet. Utvalget skal levere sin innstilling innen 1. desember Hvilke utfordringer er tilstede ved bruk av private leverandører? Hvilke endringer kan være nødvendige for å gjøre det mulig å bruke det private leverandørmarkedet på en sikker og effektiv måte? Relater det gjerne til nye tjenester og leveransemåter. Svar: For utfordringer ved bruk av private leverandører se også svar på neste spørsmål om forbedringsområder. Det er leverandørene som må tilpasse seg kravene (både nasjonale og EU krav) som stilles for databehandling av helse- og personopplysninger. Hvilke forbedringer/endringer i rutiner ser dere som hensiktsmessige for å sikre etterlevelse av krav til informasjonssikkerhet ved bruk av private leverandører? Svar: En rutine vil ikke kunne sikre etterlevelse av krav til informasjonssikkerhet ved bruk av private leverandører. Den databehandlingsansvarlige må forsikre seg om å ha reell kontroll med kravene til informasjonssikkerhet, tilgang til opplysningene som lagres og at kravene til innsyn og sletting er oppfylt ved bruk av private leverandører. Risikovurderinger er et viktig verktøy for å fremskaffe en oversikt over ulike scenarioer som kan oppstå, da dette vil variere fra oppdrag til oppdrag. Det må derfor gjøres en konkret vurdering for det enkelte oppdrag, og i vurderingen bør det blant annet legges vekt på opplysningenes art, behandlingenes formål og varighet. Jo mer sensitiv karakter opplysningene har, jo høyere krav stilles det til sikkerhet hos den konkrete leverandøren. Behandlingens formål må også vurderes i hvert enkelt tilfelle, da enkelte behandlings formål kan være mer belastende for personvernet enn andre. Behandlingens varighet skal også vektlegges. Dersom behandlingen skal foregå over lengre tid, vil det stilles strengere krav. 134 IE-1012

193 VEDLEGG 8: Vurdering av land og landområder I dette vedlegget vil svarene fra hovedaktørene i sektoren på spørsmålet om hvorvidt det settes krav til land leverandøren og leverandørens personell kan holde til i. I tillegg vil det fremheves noen eksempler på kriterier som kan anvendes og kilder som kan være nyttige ved vurderinger av risiko for tjenestekjøp fra ulike geografiske områder. a) Svar på spørsmål om det settes krav til land leverandørene og leverandørenes personell kan holde til i? Vi har stilt sektoren følgende spørsmål til de regionale helseforetakene (RHFene): «Hvis dere benytter private leverandører som skal ha tilgang til pasientinformasjon, hvilke jurisdiksjoner (land) krever dere at leverandørene og leverandørenes personell kan holde til i? Angi svaret med tanke på både historiske og pågående prosesser.» Svarene viser generelt at få har satt generelle restriksjoner til land, men vurderer jurisdiksjoner som en del av risikovurderingen for den enkelte anskaffelse av en tjeneste eller løsning. Noen opplyser hvilken vurdering som konkret er gjort for en aktuell anskaffelse og disse har generelt valgt å legge seg på et restriktivt nivå, med eksempler på begrensninger til primært Norge og EU/EØS. Helse Sør-Øst Helse Sør-Øst viser til felles regionale krav til informasjonssikkerhet som skal benyttes ved anskaffelser og kriterier som må vurderes ved risikovurderingen, og svarer videre «Vi har spesifikke krav som må innfris dersom sensitive personopplysninger skal behandles utenfor Norge. For tredjeland innebærer bestemmelsene slik det fremgår i personopplysningsloven en strengere prøving mht. databehandling, og dette er et scenario som i stor grad søkes unngått. I praksis har en betydelig majoritet av leverandørene våre tilholdssted innenfor EU/EØS-området. Tredjeland, og særlig da såkalte sikre tredjeland, kan vurderes gitt at grunnleggende forutsetninger imøtekommes. For alle tilfeller er det risikoog sårbarhetsvurderinger som er verktøyet for å vurdere om databehandling kan iverksettes og tilganger kan gis.» IE

194 Helse Vest Helse Vest svarer «Vi har ikke per dags dato satt noen begrensninger på i hvilke områder de private leverandørene kan være (ref. follow-the-sun), men vi har satt begrensinger knyttet til hvilke type informasjon som skal kunne være tilgjengelig for tredjepart i andre land.» Svaret suppleres med «Helse Vest har ikke sett seg nødt til å sette restriksjoner knyttet til enkelte land og jurisdiksjoner i forbindelse med tjenesteutsetting. Det er ikke dermed sagt at vi vil akseptere en driftsmodell hvor et «hvilket som helst» land brukes, men dette vurderes fra sak til sak. Det er i mange henseende forenklende om data ved tjenesteutsetting kan residere i Norge, alternativt innen EU/EØS-områdets indre marked.» Helse Midt Helse Midt svarer at «Hemit forholder seg til de retningslinjene som finnes nasjonalt og for EU/EØS. ( behandle-personopplysninger/overfore/).» Helse Nord Helse Nord svarer at dette er «Avhengig av hvilket land produktet har sin serviceavdeling. Stort sett Norge, i liten grad USA/EØS» og at «Overføring av personopplysninger er regulert i personopplysningsloven kapittel 5. Her er kravene til hvilke vurderinger som skal gjøres for å sikre en forsvarlig behandling beskrevet. Helse Nord etterlever disse bestemmelsene. I tillegg brukes veiledsmateriell fra Norm for informasjonssikkerhet ved behov.» Øvrige aktører Det er fra flere påpekt at i henhold til anskaffelsesregelverket er det i utgangspunktet liten mulighet til å skille mellom norske leverandører og leverandører fra EU/EØS-området. Det har også blitt stilt spørsmål om det bør skilles mellom jurisdiksjoner (Norge, EØS, globalt) til leverandører og deres organisasjoner. Det er en felles faglig oppfatning av at de ulike regulatoriske rammebetingelser må vurderes og dette vil påvirke utfallet av en slik vurdering. Men det er også kommet innspill som viser ulike syn på hvilke krav til jurisdiksjon det bør kreves at leverandørene eller leverandørenes personell kan holde til i. b) Eksempler på kriterier som kan anvendes og kilder som kan være nyttige ved vurderinger av risiko for tjenestekjøp Nedenfor fremheves noen eksempler på kriterier som kan anvendes og kilder som kan være nyttige ved vurderinger av risiko for tjenestekjøp fra ulike geografiske områder. 136 IE-1012

195 Fra Kredittilsynet har vi fått følgende: «Når en utkontrakterer IKT-tjenester ut av Norge bør følgende tema om landet det utkontrakteres til, inngå i risikoanalysen: Finansiell stabilitet Politisk stabilitet Levestandard Teknisk infrastruktur Tilgang på kompetanse utdanningssystem Reguleringer lover regler politi rettsvesen Relevante hendelser i landet» Fra Kredittilsynet har vi også fått eksempler på flere relevante lenker som kan gi grunnlag for vurdering av land. Blant disse er: Transparency Internationals Corruption index, org/news/feature/corruption_perceptions_index_2016 International Monetary Fund, longres.aspx?sk= FATF reporting, copy-of-country-reports Doing business 2016 report index at page 5, org/rankings The Global Ecconomy political stability country rankings, theglobaleconomy.com/rankings/wb_political_stability/ Fra IBM har vi fått et eksempel på en liste med mulige kriterierier for vurdering av land, og tillatelse til å gjengi denne: IE

196 Direktoratet for e-helse anser også Gartners publikasjon for vurderinger av land og byer, samt deres verktøy for vurderinger som nyttige. Det kreves en lisens for anvendelse av dette materialet, men vi har fått tillatelse til å referere til eksempler på kriterier 5 : Forhold som et lands kultur for ledelse i næringslivet kan også være relevant for vurdering av risiko ved tjenesteleveranse fra et land. Det eksisterer kartlegginger og analyser hvor enkelte faktorer kan ha betydning for risikovurderingen. Eksempel på kulturanalyse: 5 Evaluate Offshore/Nearshore Countries for Outsourcing, Shared Services and Captives, IE-1012