Datasikkerhet internt på sykehuset DRG Konferansen 11. mars 2009 Informasjonssikkerhetsleder Jan Gunnar Broch Sykehuset Innlandet HF
Agenda Informasjonssikkerhet; Hva, hvorfor og hvordan Hvordan håndterer helseforetaket tilgang til pasientdata? Hvilke krav må stilles til verktøy som håndterer analyse og rapportering av pasientdata?
Informasjonssikkerhet - Hva, Hvorfor og Hvordan
Hva er informasjonssikkerhet? Tilgjengelighet Har du tjenstlig behov, skal også opplysningene være tilgjengelig til rett tid og sted Konfidensialitet Opplysningene skal være skjult for uvedkommende Integritet Opplysningene skal være sikret mot utilsiktet/ uautorisert retting eller sletting Kvalitet Korrekte, oppdaterte, relevante og tilstrekkelige opplysninger
Drivere for høyere sikkerhetsnivå Avhengigheten av tilgjengelige ITsystemer øker Nye, flere og farligere trusler Eksterne krav Tilsynsmyndigheter Større enheter større eksponeringsflate
Antallet forsøk på kartlegging og spionering på norske datamaskiner er tidoblet fra 1. januar 2007 til 1. januar i år. I fjor registrerte NSM til sammen 3049 «hendelser» i form av organiserte dataangrep, innbrudd eller virusutbrudd
6 av 10 datamaskiner i Norge utsatt for dataangrep Norge har høy båndbredde og mange PC-er med høy kvalitet og vi er et attraktivt mål
mens brukerne vil ha Helsepersonell krever bedre tilgang til internett Kunnskapsbasert praksis De mest innovative vil heller bruke Google Docs enn Word, og snakker entusiastisk om Web 2.0 Helsepersonell krever å arbeide mobilt Antall bærbare pc er med VPN i SI: ca 1000 Pasientrettede tjenester på internett flere tjenester
Informasjonsbehandling og taushetsplikt i helseforetak: Lov 02-07-1999 nr. 63: Lov om pasientrettigheter Lov 02-07-1999 nr. 64: Lov om helsepersonell LOV 1999-07-02 nr 61: Lov om spesialisthelsetjenesten m.m. Lov 18-05-2001 nr. 24: Lov om helseregistre og behandling av helseopplysninger Lov 14-04-2000 nr. 31: Lov om behandling av personopplysninger + forskrifter: Journalforskriften Forskrift til personopplysningsloven (Kap 2)
Norm for informasjonssikkerhet i Beskriver krav til informasjonssikkerhet for alle aktører i helsesektoren, også private aktører Samler krav fra et stort antall lover og forskrifter i et dokument Tilslutning er inngangsbillett til Norsk Helsenett I tillegg til Normen er faktaark utarbeidet helsesektoren
Bevisste brukere INFORMASJONS- SIKKERHET Teknisk sikkerhet Rutiner og sikkerhetsorganisasjon
En dag på avdelingen: Hvorfor bevisste brukere er viktig Jeg OK. må Brukenavnet få Uffda, Hallo, vite brukernavnet hva medisinsk gjør hanne, jeg og passordet Takk og sengepost, passordet skal Det er Hei, med ditt, du så det? ha! er skal jeg fikse problemet abba123 Hanne? for deg. Det er fra ITavdelingen. Vi har oppdaget en feil i DIPS oppsettet ditt!
Litt av det brukerne må minnes på (1) Pasientopplysninger skal ikke sendes via e-post Logg ut, eller lås pc en når du forlater den Ikke skriv ned passordet i nærheten av pc en
Litt av det brukerne må minnes på (2) Bruk av bærbare pc er tenk om pc en blir stjålet Bruk av minnepenner Virus Sensitive data på avveie Journalsnoking kan oppdages gjennom logging
Ny bestemmelse i Helsepersonelloven: 21. Hovedregel om taushetsplikt Helsepersonell skal hindre at andre får adgang eller kjennskap til opplysninger om folks legems- eller sykdomsforhold eller andre personlige forhold som de får vite om i egenskap av å være helsepersonell. 21a. Forbud mot urettmessig tilegnelse av taushetsbelagte opplysninger Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte opplysninger som nevnt i 21 uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift. Tilføyd ved lov 9 mai 2008 nr. 34 (i kraft 9 mai 2008 iflg. res. 9 mai 2008 nr. 442).
Bevisste brukere INFORMASJONS- SIKKERHET Teknisk sikkerhet Rutiner og sikkerhetsorganisasjon
Lovpålagt internkontroll for informasjonssikkerhet tyrende dokumentasjon Oppfølgingsaktiviteter SI/14 Informasjonssikkerhet SI/14.01 Overordnet informasjonssikkerhetspolicy og sikkerhet i organisasjonen SI/14.01-01 Overordnet informasjonssikkerhetspolicy SI/14.02 Ledelsens ansvar SI/14.02-01 Lovpålagte administrative oppgaver knyttet til informasjonssikkerhet SI/14.03 Klassifisering av og tilgang til personopplysninger SI/14.03-01 Policy for tilgang til elektroniske pasientopplysninger SI/14.03-02 Tilgangsadministrasjon SI/14.03-03 Sikkerhets- og taushetserklæring SI/14.03-04 Autorisasjonskontroll nyansatte SI/14.03-05 Opprettelse av personregistre SI/14.03-06 Skjema opprettelse av personregistre SI/14.03-07 Behandling av personopplysninger ved forskning SI/14.03-08 Opprettelse/endring av brukerkonto SI/14.03-09 Meldeskjema for forsknings- og studentprosjekt SI/14.04 Allmenne sikkerhetstiltak SI/14.04-01 Fysisk adgangskontroll SI/14.04-02 Plassering og sikring av utstyr SI/14.04-03 Bruk av telefax SI/14.04-04 Sikkerhetsregelverk for IT-brukere SI/14.04-05 Datavirus - alle brukere SI/14.04-06 Retningslinjer for bærbart IT-utstyr SI/14.04-07 Brukeravtale bærbart utstyr SI/14.04-08 Kontroll, sikkerhet og taushetsplikt hos leverandører SI/14.04-09 Sikkerhets og taushetserklæring leverandører SI/14.05 Avbruddshåndtering SI/14.05-01 Kontinuitetsplanlegging SI/14.05-02 Varsling driftsavbrudd Ledelsens gjennomgang Risikovurderinger Sikkerhetsrevisjon Avvik
Hvordan håndterer helseforetaket tilgang til pasientdata?
Tilgang etter behov Somatiske leger Sykepleiere i sengepost Bioingeniører Radiografer Logopeder Miljøarbeidere Miljøterapeuter Hjelpepleiere Hjelpepleiere som jobber på sengepost uten døgnkontinuerlig sykepleierdekning Ergoterapeuter i rehab team trenger tilgang til røntgenbeskrivelse i journalen Dialyse sykepleiere vil ha tilgang til sengepostlista ved de enhetene de har pasienter Sykepleier ved akutt psyk avd.trenger tilgang til pasienten før Vurdering av behov
Rutiner for tildeling av tilganger Systemeier y bruker Nærmeste leder rekvirer tilgang basert på rolle IT-avd / systemansvarlige Avvik fra rolle/tilgang besluttes av systemeier Tilganger gis i hht policyer basert på rolle Bruker tildeles brukerkonto Bruker signerer brukerkontrakt Systempolicyer SI/14.03-01 Policy for tilgang til elektroniske pasientopplysninger SI/14.03-02 Tilgangsadministrasjon SI/06.15-04 Systempolicy Dips SI/06.15-05 Tilgang journalgrupper SI/14.03-03 Sikkerhets- og taushetserklæring
Avdeling for analyse og DRG rapportering Divisjonscontrollere Ledelse Journaldatabase
Hvilke krav må stilles til verktøy som håndterer analyse og rapportering av pasientdata?
Tilgangskontroll (1) Sikre at tilgangene i systemet er i tråd med tjenstlig behov Tilgang kan gis ut i fra Brukerens funksjon Plassering i organisasjonen Pasientens kontaktstatus Beslutningsstyrt tilgang (aktualisering)
Tilgangskontroll (2) Autentisering Pålogging Passordstyrke Antall forsøk Levetid for passord AD integrasjon Autorisering Administrative rutiner for tildeling, endring og fjerning av tilgang Roller og differensiering av tilgang Beslutningsstyrt tilgang
Logging All autorisert bruk og forsøk på uautorisert bruk av informasjonssystemene skal registreres Skal omfatte oppslag, utskrifter, endring, retting, og sletting av helse- og personopplysninger Logger skal sikres mot endring og sletting av uautorisert personell
Bruk av innsamlede data på tvers av formål
Oppsummering La ikke analyse- og rapporteringsverktøy utgjøre en kortslutning av sikkerheten rundt EPJ