Utfordringer med medisinsk-teknisk utstyr og informasjonssikkerhet Barbro Salte, Medisinsk teknologi og e-helse, Akershus Universitetssykehus HF
Innledning Definisjoner MTU på Ahus Informasjonssikkerhet ifm MTU Angrep utenfra; hva er mulig? Avslutning
Hvorfor fokus på temaet? MTU-miljøet har i «alle tider» forholdt seg til DSB og deres reguleringer MTU blir billigere pga teknologiske fremskritt, selv om utviklingen går langsomt Utstyret blir mer databasert, mindre mekanisk Andre sentrale lovregulerende organ har fått øynene opp for MTU
Opphavet i 2011
Medisinsk teknisk utstyr - definisjon Elektromedisinsk utstyr (Forskrift om håndtering av medisinsk utstyr; 2013)
DSB: Direktorat for samfunnssikkerhet og beredskap 8.Kvalifikasjonskrav ved reparasjon av elektrisk utstyr.. Den som har det faglige ansvaret for og den som reparerer elektromedisinsk utstyr klasse IIa, IIb og III, skal ha utdanning som dataelektroniker, master- eller bachelorgrad eller toårig fagskole innen elektronikk eller utdanning som gir tilsvarende relevant elektrokompetanse. Vedkommende skal ha tre års relevant praksis ved sykehus, hos produsent av elektromedisinsk utstyr eller foretak som reparerer elektromedisinsk utstyr, opparbeidet etter endt utdanning. Praksisen skal være i samsvar med en teoretisk og praktisk opplæringsplan og under veiledning fra en med samtykke til å reparere elektromedisinsk utstyr klasse IIa, IIb og III. Etter søknad kan Direktoratet for samfunnssikkerhet og beredskap gi fradrag i kravet til praksistid for en periode inntil ett år. Vedkommende skal ha samtykke fra Direktoratet for samfunnssikkerhet og beredskap eller fra den direktoratet bemyndiger...
Informasjonssikkerhet Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller uautorisert endring eller sletting Tilgjengelighet Sikre at informasjon er tilgjengelig ved behov, innenfor definerte krav Kvalitet Sikre at informasjon er korrekt, oppdatert, relevant og tilstrekkelig
MTU nevnes i forskrifter vedrørende informasjonssikkerhet og blir mange ganger regnet på linje med journal. «Nye lover» Personopplysningsloven Helseregisterloven Spesialisthelsetjenesteloven Helsepersonelloven Personopplysningsforskriften Forskrift om personaljournal Lov om statlig tilsyn med helse- og omsorgstjenesten m.m. (helsetilsynsloven) Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren Helseinformasjonssikkerhetsforskriften Veileder i personvern og informasjonssikkerhet ved bruk av elektromedisinsk utstyr Økt fokus på samhandling (ved hele-linja-tenkning nevnes MTU)
MTU på Ahus Ca. 8000 utstyrsenheter Ca. 20 % kan lage identifiserbare helseopplysninger Hvorfor tallet er så lite? Integrerte systemer kan gi mindre behov for identifiserte data.
Medisinsk teknisk utstyr
Faresignaler Fokus på pasientsikkerhet!
Cyberangrep på medisinsk utstyr Hva kan skje? Hvilke opplysninger er relevante? Konsekvenser? Er det en reell mulighet for slike angrep i Norge?
Norm for informasjonssikkerhet Flere av faktaarkene behandler også medisinsk teknisk utstyr. MTU behandles her på linje med andre journaler.
Eksempler på utfordringsområder EKG-apparat står lett tilgjengelig i alle akuttmottak og sengeposter. Viser hjerterytmen. Teknologi for innlogging er sjelden mulig Må kunne brukes enkelt Konsekvensen: ofte vanskelig å komme til opplysninger som er relevante. Overvåkningssentraler (live-overvåkning) blir upraktisk i forhold til pålogging, tilgangsstyring og logging. Hjerteovervåkning Intensiv/akuttmottak/postoperativ Fosterovervåkning
Oppsummering Økt fokus på informasjonssikkerhetsarbeidet ifm MTU på helseforetakene. Praktisk tilnærming slik at pasientene blir like godt ivaretatt som før, pasientsikkerheten opprettholdes. Lovverk som understøtter dette.
Takk for meg!