Krav til informasjonssikkerhet
Innhold Informasjonssikkerhet vs personvern Eksempler på sårbarheter MTU og Normen Krav til informasjonssikkerhet i Normen 17.03.2018 2
Informasjonssikkerhet - begrep Behandler helse- og personopplysninger om pasient og bruker Plikt til å føre journal Forpliktelse ift pasienten kontinuitet i ytelse av helsehjelp Konfidensialitet Integritet Tilgjengelighet 17.03.2018 3
Personvern vs informasjonssikkerhet Personvern Privatlivets fred Regulere bruk av personopplysninger Informasjonssikkerhet Virkemidler for å sikre personvernet Konfidensialitet Integritet Tilgjengelighet Rett Plikt 17.03.2018 4
Eksempler på sårbarheter Helseopplysninger er ufullstendige Uautorisert tilgang og innsyn i helseopplysninger Tyveri av utstyr med helseopplysninger Tap av lagringsmedia eller bærbar PC med helseopplysninger Ødeleggelse av lagringsmedia eller datautstyr 17.03.2018 5
Eksempler på sårbarheter forts. Ny versjon av programvare installeres, men virker ikke helt eller delvis Trådløst nettverk er ikke sikret Avtale med leverandør dekker ikke personvern og informasjonssikkerhet 17.03.2018 6
MTU og Normen Lagringsenhet for elektromedisinsk utstyr som behandler helse- og personopplysninger skal plasseres i avlåst rom eller i bemannet område Elektromedisinsk utstyr som behandler helse- og personopplysninger skal inkluderes i virksomhetens arbeid med informasjonssikkerhet, herunder i risikovurderinger, tilgangsstyring og prosedyrer for bruk, på linje med andre informasjonssystemer 17.03.2018 7
Behandling i PVF «behandling» enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring 17.03.2018 8
MTU og Normen Oversikten kan f.eks. utarbeides som en database med oversikt over de systemer og registre for behandling av helse- og personopplysninger som til enhver tid er i bruk i virksomheten. Dette kan omfatte IT-systemer, databaser, prosjekter (forskningsprosjekter etc.), elektromedisinsk utstyr og manuelle registre mv. 17.03.2018 9
Autorisasjon til helse- og personopplysninger Tilgang kun ift. tjenstlig behov Skille mellom lese, registrere, redigere, rette, slette, sperre (K) Tilgangsstyring (K) Unik autentisering av den enkelte bruker (rolle + brukernavn og passord) (K, I) Fellesbruker for nettverkspålogging er OK 17.03.2018 10
Tilgang til helse- og personopplysninger Logging av (K, I) Autorisert bruk Forsøk på uautorisert bruk Autorisasjon av teknisk personell (K,I,T) Årlig kontroll av tildelte autorisasjoner (K, I) 17.03.2018 11
Tilgang mellom virksomheter autorisasjon for tilgang til helseopplysninger i annen virksomhet skal beskrive rettigheter og plikter som følger av autorisasjonen være i samsvar med helsepersonellovens regler om taushetsplikt dokumenteres i virksomhetens autorisasjonsregister tidsbegrenses alltid vurderes og eventuelt endres når det oppstår endringer i ansvarsområder eller ansettelsesforhold 17.03.2018 12
Tilgang mellom virksomheter kun gi tilgang til opplysninger som er relevante og nødvendige for å yte, administrere eller kvalitetssikre helsehjelp til pasienten 17.03.2018 13
Forsøk på uautorisert bruk Tilgangsstyring - prinsipper Virksomhet Organisatorisk enhet Formålet med tilgangen Bruker i en rolle Autorisering Autorisasjonsregister Autentisering Tilgang til helseopplysninger Autorisert bruk Logger 17.03.2018 sikkerhetsnormen@ehelse.no / www.normen.no 14
Autentisering Autentisering skal: sikre identifisering av den enkelte bruker sikre identifisering i korrekt rolle ved behov kreve ulike autentiseringskriteria for hver rolle Ulike ansettelsesforhold skal identifiseres og gis ulike autentiseringskriteria Autentiseringen skal være tilstrekkelig ift risikovurdering 17.03. 2018
Sikker autentisering Med sikker autentiseringsløsning menes i Normen en autentiseringsløsning som for eksempel er basert på personlig kvalifisert sertifikat eller annen autentiseringsløsning som gjennom en risikovurdering viser at den har tilstrekkelig sikkerhet. 17.03.2018 16
Autorisasjonsregister Databehandlingsansvarlig skal sørge for at det oppettes et autorisasjonsregister Skal som minimum inneholde informasjon om hvem som er tildelt autorisasjon til hvilken rolle autorisasjonen er tildelt formålet med autorisasjonen tidspunkt for når autorisasjonen ble gitt og eventuelt tilbakekalt informasjon om hvilken virksomhet den autoriserte er knyttet til helsepersonellets autorisasjon for tilgang til helseopplysninger i annen virksomhet Skal oppbevares i minimum 5 år Fra det tidspunkt autorisasjonen tas ut av bruk 17
Logging Plikt til logging i systemer Autorisert bruk og alle forsøk på uautorisert bruk All bruk av nødrettstilgang med begrunnelse Plikt til logging i infrastruktur Operativsystem Sikkerhetsbarrierer Oppbevaring av logger Til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem? Sikres mot uautorisert tilgang og sletting Rett tidsstempel 18
Logger autorisert bruk Skal minimum inneholde entydig identifikator for den autoriserte brukeren rollen den autoriserte brukeren har ved tilgangen virksomhetstilhørighet organisatorisk tilhørighet til den som er autorisert hvilke type opplysninger det er gitt tilgang til hvem som har fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer grunnlaget for tilgangen tidspunkt og varighet for tilgangen Skal oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for det analyseres (ukentlig) for å identifisere sikkerhetsbrudd 17.03.2018 19
Logging forsøk uautorisert bruk Kan følgende logges brukeridentiteten som ble benyttet tidspunkt (dato og klokkeslett) IP-adresse eller annen identifikasjon av PC/arbeidsstasjon som ble benyttet (for eksempel MAC-adresse eller NAT-adresse) Oppbevaring? 17.03.2018 20
Logger ved tilgang mellom virksomheter Skal dokumenteres automatisk Skal i tillegg inneholde person og organisatorisk tilhørighet til den som har hentet frem opplysningene hvorfor opplysningene er hentet frem hvilke tidsperioder vedkommende har hentet frem opplysningene 17.03.2018 21
Kontroller ved tilgang mellom virksomheter Partene skal samarbeide om kontroll av tilganger Den som autoriserer helsepersonell for tilgang, skal løpende kontrollere hvem i egen virksomhet som elektronisk har hentet frem helseopplysninger fra annen virksomhet hvorfor dette er gjort tidsperioden opplysningene er hentet frem Viser kontrollen urettmessigheter skal virksomheten opplysningene er hentet fra og pasienten opplysningene gjelder, varsles 17.03.2018 22
, jeg trodde jeg hadde innsynsrett.. 17.03.2018 23
Innsyn Pasienten/brukeren og den ansatte har rett til innsyn i registrerte opplysninger Henvendelse skal besvares innen 30 dager Om innsyn er besluttet skal minimum følgende meddeles: Navn, rolle og organisatorisk tilhørighet til den som har hatt tilgang Tidspunkt Hvilke opplysninger det ble gitt tilgang til Registreringsdato for den enkelte opplysning Ved tilgang mellom virksomheter person og organisatorisk tilhørighet til den som har hentet frem opplysningene hvorfor opplysningene er hentet frem hvilke tidsperioder vedkommende har hentet frem Rett på forklaring og utskift 24
Tekniske sikkerhetsløsninger Kryptering av ekstern kommunikasjon - NSM (K, I) To uavhengige tekniske tiltak mot eksterne nettverk (K, I) Skille behandling av helseopplysninger og eksterne nettverk - teknisk løsning med sikkerhetsbarrierer (K, I) Hindre uautorisert tilgang Antivirus hindre uautorisert endring All kommunikasjon skal starte innenfra eget nettverk Teknisk løsning fra Norsk helsenett er innenfor kravene for skille (K, I) 17.03.2018 25
Tekniske sikkerhetsløsninger Skytjenester (fjernlagring, synkronisering, kontorstøtte, osv) Risikovurdering av behandling av helse- og personopplysninger Databehandleravtale norsk rett gjelder Virksomheten og databehandler har ansvaret 17.03.2018 26
17.03.2018 27
Sikkerhets- og tilbakekopiering Dokumenterte rutiner (K, I, T) Periodisk Ansvar Sikkerhetskopi skal oppbevares (K, I, T) Avlåst Brannsikkert Adskilt fra driftsutstyret (server) Jevnlig test at sikkerhetskopiene (T) er korrekte kan tilbakeføres Nødrutiner skal utarbeides hva gjør virksomheten om journalopplysninger ikke er tilgjengelige? (T) Ekstern oppbevaring av sikkerhetskopi anbefales (T) 17.03.2018 28
Databehandler Med databehandler menes den som behandler helse- og personopplysninger på vegne av den databehandlingsansvarlige En databehandler er en ekstern person eller virksomhet utenfor den databehandlingsansvarliges virksomhet Eksempel: leverandør drifter RIS for helseforetaket Mal for databehandleravtale finnes på normen.no 17.03.2018 29
Service på utstyr / avhending av utstyr Fjernes utstyr som inneholder helse- og personopplysninger fra virksomheten må det opprettes en databehandleravtale med serviceyter (K) Service på stedet er å anbefale, men ikke et krav Ved utrangering av utstyr/lagringsmedia skal lagringsmedia slettes forsvarlig eller destrueres (K) 17.03.2018 30
Utskrifter / faks (papirdokumenter) Rutiner for behandling av utskrifter (K) Sikring Arkivering Makulering Bruk av faks for helse- og personopplysninger (K) Anonymiseres Samtykke fra pasienten 17.03.2018 31
Minnepinner og andre flyttbare Merkes tydelig (K) Skal krypteres (K, I) lagringsmedier Slettes forsvarlig destrueres ved utrangering (K) Oppbevares avlåst (K, I, T) Sendes som rekommandert post (K, I, T)* 17.03.2018 32
SMS og e-post (K) Skal aldri brukes til helseopplysinger Skal aldri inneholde 11-sifferet fødselsnummer Mottas helseopplysninger via SMS eller e-post svarer virksomheten at Henvendelser med helseopplysninger blir ikke besvart. Bruk telefon eller fremmøte SMS krever samtykke fra pasient/bruker 17.03.2018 33
Fysisk sikring Sikring av server og kommunikasjonsutstyr (K, I, T) Bemannet eller avlåst område Sikring av PC (K, I, T) Soneprinsippet ifm. resepsjoner, behandlingsrom, mv. (K, I, T) Hjelp for å ivareta den aktiv taushetsplikten 17.03.2018 34
Plassering av skjerm og skiver/faks (K) Plasser skjerm og skriver skjermet for innsyn og adgang Gjør en gjennomgang av virksomhetens lokaler Viktig å ta hensyn til ved flytting 17.03.2018 35
Aktiv taushetsplikt (K) Skjermsparer med passord manuell / automatisk Plassering av utstyr Låse kontor Låse ned dokumenter og notater Makulere Reelle data som testdata Utrangering av teknisk utstyr (multifunksjonskriver) 17.03.2018 36
Hjemmekontor Arbeidsgivers utstyr (K, I, T) Sikker teknisk løsning (K, I, T) Autentisering som for stasjonært utstyr(k, I) Fysisk sikring av utstyr (K, I, T) Rutiner for bruk (K, I) Utskrift er ikke å anbefale (K) Hvis utskrift; sikring, arkivering, makulering Hindre uautorisert tilgang og innsyn (K, I) Kryptering av lagringsenhet på bærbart utstyr er tilstrekkelig (K, I) 17.03.2018 37
Andre krav i Normen Taushetsplikt (K) Kontroll av tilgangsstyring ved sikkerhetsbrudd (K, I, T) Nødrettstilgang skal grunngis og følges opp som avvik (K, I) Helseopplysninger skal knyttes til rett identifisert person (I, T) være fullstendige og ajourført i forhold til behandlingen av opplysningene (I) føres i henhold til kodeverket (bl.a. ICD-10) (I) Krav til systemer (se Faktaark 38) (K, I, T) 17.03.2018 38
17.03.2018 39