DISCLAIMER
HVEM ER JEG OG HVOR «BOR» JEG?
INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller uautorisert endring eller sletting Tilgjengelighet Sikre at informasjon er tilgjengelig ved behov, innenfor definerte krav Kvalitet Sikre at informasjon er korrekt, oppdatert, relevant og tilstrekkelig «Informasjonssikkerhet er ikke et mål i seg selv, men et middel for å oppnå tilfredsstillende kvalitet på virksomhetens tjenester»
RAMMER Lover Personopplysningsloven Helseregisterloven Helsepersonelloven Pasientrettighetsloven Spesialisthelsetjenesteloven Helseforskningsloven Forskrifter Personopplysningsforskriften Forskrift om pasientjournal Annet Norm for informasjonssikkerhet i helse-, omsorgs-og sosialsektoren. En samling krav og retningslinjer som skal bidra til tilfredsstillende informasjonssikkerhet. Faktaark Veiledere Forskrift på vei. Helseinformasjonssikkerhetsforskriften
NORMEN Etablert etter initiativ fra Sosial- og helsedirektoratet Formål Bidra til tilfredsstillende informasjonssikkerhet Stiller krav og supplerer gjeldende regelverk Etterlevelse av krav oppfyller tilfredsstillende informasjonssikkerhet Juridisk bindende ved avtale Styringsgruppe Sekretariat Referansegrupper
NORMEN Styrende del Gjennomførende del Kontrollerende del Styringssystem Taushetsplikt Sikkerhetsrevisjon Sikkerhetsmål Tilgangsstyring Risikovurdering Sikkerhetsstrategi Nivå for akseptabel risiko Oversikt over helse-og personopplysninger Risikovurdering Behandling av helse-og personopplysninger Sikring av områderog utstyr Drift Kompetanse Datakommunikasjon Avtaler Avvikshåndtering Ledelsens gjennomgang Kontroll av tilganger
HELSEINFORMASJONSSIKKERHETSFORSKRIFTEN
HVA HAR VI GJORT? Kartlagt alle behandlingsretta helseregister * Levert oversikt til HOD Kontrollert etterlevelse i henhold til forskrift Søkt om dispensasjon
Skulle trådt i kraft 1.1.2013, men er utsatt til nærmere ikke angitt tidspunkt..
«FORSKRIFTEN» Men hva er det som skaper så mye debatt så mye arbeid så mye uro så mye av alt.
«FORSKRIFTEN»
Da er det bedre at vi jobber sammen om en felles forståelse og at vi alle bidrar til å etablere den beste balansen mellom god pasientsikkerhet og godt personvern.
Det er viktig at regelverket blir fulgt på en lojal måte. Det må være rom for dialog om ønsket utvikling fremfor at aktører bevisst velger å «utfordre» eksisterende regelverk.
HELSEINFORMASJONSSIKKERHETSFORSKRIFTEN
BAKGRUNN Vedtatt 24. juni 2011 Trer i kraft? Målgruppe Systemutviklere Kravspesifikasjon ved anskaffelser IKT ansvarlige ved administrering av tilgang Opplæring og kompetansebygging
FORMÅL Ved elektronisk tilgang til helseopplysninger i behandlingsrettede helseregistre Helseregisterloven 13 Endret for å fjerne regelverksmessige hinder for effektiv og trygg kommunikasjon av helseopplysninger i helsetjenesten, samtidig som pasientens rett til konfidensialitet og vern om personlige integritet ivaretas Helseinformasjonssikkerhetsforskriften Regulere nødvendig tilgang til helseopplysninger og bidra til tilfredsstillende informasjonssikkerhet slik at helsehjelp kan tilbys på en forsvarlig og effektiv måte samtidig som personvernet ivaretas
DEFINISJONER Databehandlingsansvarlig Den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes Databehandler Den som behandler helseopplysninger på vegne av den databehandlingsansvarlige Autorisasjon Bestemte rettigheter til å lese, registrere, redigere, rette, slette, sperre eller på annen måte behandle helseopplysninger
DEFINISJONER Autentisering Bekrefte identitet (passord, kort, fingeravtrykk, osv..) Strukturerte helseopplysninger Helseopplysninger som er inndelt slik at tilgang kan begrenses til de opplysningene som vurderes som relevante og nødvendige for å yte helsehjelp til den enkelt pasient Personlig kvalifisert sertifikat (PKI) Nøytral og tiltrodd tredjepart er utsteder Fungerer som legitimasjonsbevis Kan være et smartkort og pinkode. Ved utlevering må man vise godkjent legitimasjon Referanse til <kravspesifikasjon for PKI i offentlig sektor>
KRAVSPESIFIKASJON FOR PKII OFFENTLIG SEKTOR
INNHOLD Tilgang på tvers Logging Tilgang Kontroll Sperring
TILGANG PÅ TVERS Helseregisterloven 13 En og en pasient Autorisere for tilgang fra eget sykehus eller annet sykehussystem Autentisering fra eget eller annet sykehussystem Samtykke Helseinformasjonssikkerhetsforskriften 6 Begrensninger i autorisasjon ekstern tilgang kun ved intern tilgang og tidsbegrenset 11 Avtale 12 Skrivetilgang (dersom nødvendig for helsehjelp, må avtalefestes) 13 Unntak fra uttrykkelig samtykke Hvis pasientens fysiske eller psykiske tilstand ikke muliggjør samtykke og det antas at pasienten ville gitt samtykke dersom vedkommende hadde vært i stand til dette Unntak skal dokumenteres og begrunnes 14 Behandling av forespørsel om tilgang kan bare omfatte en person om gangen
LOGGING Helseregisterloven 13 Logg Pasientens innsynsrett i logg om hvem som har hatt tilgang Kravet innebærer at system må ha funksjonalitet for logging av alle oppslag, både internt og ved tilgang på tvers Rett til innsyn i logg gjelder også annet enn helsehjelp, som forskning og kvalitetssikring Helseinformasjonssikkerhetsforskriften 16 Innhold logg Navn, rolle og organisatorisk tilhørighet til den som har fått tilgang Grunnlag for tilgang Tidspunkt for tilgang Pasienten har rett til utskrift etter eget ønske om sortering Svar innen 30 dager, vederlagsfritt
TILGANG 4 Beslutningsstyrt tilgang med dokumentasjon på hvilken hjemmel som er anvendt Organisatorisk del (stillingsbeskrivelser) Teknisk del (kontroll av bruk ved varslingssystem, tilgangskontroll, osv.) Risikovurdering (urettmessig tilegnelse av helseopplysninger) 16 Tilgang må hjemles* (helsehjelp, forskning, kvalitetssikring, administrative støttefunksjoner, rapportering til myndigheter, osv.) 10 Strukturerte opplysninger («norgesjournal») Autorisert tilgang for kun nødvendige og relevante helseopplysninger Konkret beslutning som skal dokumenteres (kan fravikes dersom det på annen måte kan sikres at det ikke gis tilgang til flere opplysninger enn det som er nødvendig)
TILGANG 5 Autorisasjon Formål er å yte forsvarlig helsehjelp til en pasient Kan også gis til helsepersonells medhjelper eller administrativt personell Knyttes til entydig identifisert person i bestemt rolle (kan ha flere roller) Tilgangsstyring/differensiering 6 Tilgang kun til opplysninger som er nødvendig, gjenstand for vurdering og endring 10 Struktur for å «styre» tilgang
KONTROLL 17 Kontroll av autorisasjoner Databehandlingsansvarlig skal jevnlig kontrollere hvem som har hatt elektronisk tilgang til helseopplysninger Varsling til Datatilsynet og Statens helsetilsyn 7 Opplæring Før autorisasjon utstedes «Ikke dispensasjon» 8 Autorisasjonsoversikt Utstedte, begrunnelse, hvem, hvilken rolle, formål, tidspunkt, varighet, tilbakekalt 9 Autentisering Ved bruk av personlig kvalifisert sertifikat (eller annen tilsvarende sikker løsning)
SPERRING 15 Sperring Innhold Alle helseopplysninger er sensitive, men noen kan fremstå som mer sensitive enn andre Tilgang Bestemte personer Alle bortsett fra Bare tilgjengelig ved samtykke Blanding Det skal fremgå av journal at det er registrert opplysninger som er sperret Retten til å reservere seg er ikke absolutt
UTFORDRINGER «forskriften» skiller ikke mellom de minste (1 bruker) og de største (x tusen brukere) Veilederen Ingen system oppfyller pr. i dag alle krav Hvordan komme dit? Hvordan møte kravene for nye system? Hvordan skape forståelse? Samhandling God sikkerhet er og god pasientbehandling - Tillit -
HVA GJØR VI I DAG OG I MORGEN? Presenterer «forskriften» i ulike miljø Utformet krav til bruk i anskaffelser 4 prosjekt pr. i dag Avklare funksjonalitet hos leverandører av medisinsk utstyr Tema i regionalt sikkerhetsutvalg Venter