EPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE Informasjonssikkerhet Jan Gunnar Broch PMU 2018
Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten Nytteeffekter 1. Gjør det enklere å få på plass nødvendige sikkerhets- og personverntiltak 2. Bidrar til økt tillit til at sektoren behandler helse- og personopplysninger på en trygg måte 3. Bidrar til et harmonisert sikkerhetsnivå i sektoren 4. Bidrar til at sektoren har et godt kravstillingsverktøy til sikkerhet ved anskaffelser Styringsgruppen Kurs Sektorens mange dataansvarlige og deres leverandører og databehandlere Normen Faktaark Veiledere Utadrettet virksomhet Den offentlige tannhelsetjeneste Sekretariatet Normen Norges første og største bransjenorm for informasjonssikkerhet og fra 2018 også for personvern Normen er åpent tilgjengelig via www.normen.no
Informasjonssikkerhet Tilgjengelighet Konfidensialitet Integritet i Tilgjengelig informasjon for helsepersonell er en forutsetning for god og forsvarlig behandling Ivaretakelse av taushetsplikt og personvern er viktig for innbyggernes tillit til helse- og omsorgstjenesten Korrekt og oppdatert informasjon er en forutsetning for god kvalitet i pasientbehandlingen.
«Med andre ord blir store bedrifter rammet av flere typer hendelser» Side 5
Virus- og malwareinfeksjon 30.04.18 Side 6
Phishing / sosial manipulering «Direktørsvindel» Side 7
Datainnbrudd / hacking 8
Hvordan oppdages hendelser? Side 9
Har virksomhetene styringssystem for informasjonssikkerhet? Har dere styringssystem for informasjonssikkerhet? Side 10
Hvorfor styringssystem for informasjonssikkerhet? Det fungerer mer systematikk mindre avhengig av flaks og tilfeldigheter Det forventes av samhandlingsparter, f.eks HF. Skal kravene i personvernforordningen etterleves, kommer man ikke utenom Gjennomgående valg av tiltak på bakgrunn av risiko Tiltak skal kunne gjennomgås og oppdateres ved behov Lovkrav til kvalitet og informasjonssikkerhet Fastelegeforskriften 16 Forskrift om ledelse og kvalitetsutvikling Pasientjournalloven 22 og 23( Dokumenterte tekniske og organisatoriske tiltak ) Side 11
Hva innebærer et styringssystem for informasjonssikkerhet for en liten virksomhet som et legekontor: Normen 5.3: Styringssystem er den del av virksomhetens internkontrollsystem (kvalitetssystem) som omfatter hvordan virksomhetens aktiviteter planlegges, gjennomføres, evalueres og korrigeres. Styringssystemet skal tilpasses virksomhetens størrelse, egenart og aktiviteter og informasjonsbehandlingens art, omfang, formål og sammenhengen den utføres i. Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten 5.Omfang og dokumentasjon Styringssystemet, jf. pliktene i 6 9, skal tilpasses virksomhetens størrelse, egenart, aktiviteter og risikoforhold og ha det omfang som er nødvendig. Konkretisering av dette vil bli en sentral del av oppdatert veileder for små virksomheter, og i Normen 6.0 Side 12
Hvis virksomheten: Har styringssystem på plass: IKKE har styringssystem på plass: Side 13
Innføring av styringssystem for informasjonssikkerhet Anskaffe et system, eller Benytte Normens maler i legekontorveilederen NB: Denne vil oppdateres i 2019 Sørg for å ha «protokoll over behandlinger» Fortsatt mange relevante maler, f.eks mal for risikovurdering Kap 2 i Normen Legekontorveilederen med internkontrollmal Side 14
Mal for risikovurdering i legekontorveileder - et godt verktøy for felles gjennomgang på kontoret Noen eksempler på trusselscenarioer i malen: Stans i server med elektronisk pasientjournal pga tekniske problemer Bygget hvor legekontoret holder til i brenner ned til grunnen og server med elektronisk pasientjournal og sikkerhetskopier (backup) går tapt Bærbar PC med helseopplysninger mistes eller blir stjålet Legesekretær signerer legens journalnotat i den elektroniske pasientjournalen Pasient ser helseopplysninger om en annen pasient på PC/arbeidsstasjon (som er plassert slik at innsyn er mulig) Ansatt kaster utskrift med helse- og personopplysninger i papirinnsamlingen Ansatt som fratrer (slutter) blir ikke fjernet som bruker i den elektroniske pasientjournalen Databehandleravtale er ikke opprettet med ekstern teknisk leverandør Bruker sender diagnose på e-post eller SMS Legekontoret har ikke utarbeidet nødprosedyrer ved stans i den elektroniske pasientjournalen Side 15