Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

Like dokumenter
Personvern og informasjonssikkerhet ved samhandling

Bruk av pasientjournal og personvern. Helge Veum, senioringeniør DRG-forum, Gardermoen 8. mars 2011

Personvern og tilgang i journal Internt & Eksternt. Helge Veum, senioringeniør HelsIT, Trondheim, 25. september 2008

Hvordan kan personvernet ivaretas i helsesektoren?

Personvern som hinder eller mulighet. Seniorrådgiver Monica Fornes , Nokios Trondheim

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

HVEM ER JEG OG HVOR «BOR» JEG?

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Ot.prp. nr. 51 ( )

Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato:

Om utarbeidelse av forslag til lovendringer som kan sikre helsepersonell tilgang til nødvendig informasjon. Rådgiver Nina Fladsrud

Bedre helse og sikkerhet med EPJ

Personvern - Problem eller en grunnleggende demokratisk rett?"

Betydningen av personvern i helsesektoren. Cecilie L. B. Rønnevik, seniorrådgiver Tromsø 16. juni 2009

Personvern og tilgang på tvers. Hva mener KITH?

Sikkerhetskrav for systemer

Ny lov nye muligheter for deling av pasientopplysninger

En Vestlending en sykehusjournal. Normkonferansen 2015 Rica Ørnen Hotell, Bergen, 14. oktober 2015 Adm. dir. Erik M. Hansen, Helse Vest IKT

Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10.

Behandling av helseinformasjon - på kryss og tvers Norsk Arkivråd, Trondheim,

Formidling av pasientinformasjon ny lovgivning (i forbindelse med pasientbehandling) NSH

Endelig kontrollrapport

Endelig kontrollrapport

Tilgangskontroll i fugleperspektiv Tilgangskontroll i IT-systemer de fire A-er Administrasjon Autentisering Autorisasjon Audit (etterhåndskontroll) Av

Utviklingen av framtidas elektroniske forvaltning hvor går grensen

Behov for oppdatering av EPJ standard som følge av regelverksendringer mv

Elektronisk tilgang til pasientopplysninger i Norge, EU-land og på tvers av landegrenser

Risikogrupper og personvernhensyn hvor viktig er personvern når det gjelder sikkerhet, liv og helse?

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning.

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Taushetsplikt. Taushetsrett, opplysningsplikt og meldeplikt. Seniorrådgiver Pål Børresen, Statens helsetilsyn. Nidaroskongressen 21.

Sov trygt med dine journalopplysninger i DocuLive EPJ

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger mellom virksomheter

Sikkerhetskrav for systemer

Hvilken betydning har personvernforordningen på helseområdet

Kan du legge personopplysninger i skyen?

Rettslig regulering av helseregistre. Dana Jaedicke juridisk rådgiver E-post:

De største utfordringene i tilgangsstyring til EPJ?

Fagkurs for kommuner Personvern og taushetsplikt (75 minutter)

Pasientjournalloven - endringer og muligheter

Datasikkerhet internt på sykehuset

Sikkerhetskrav for systemer

Informasjonssikkerhet, personvern og tilgangsstyring

HelsIT 2013 Trondheim Kjellaug Enoksen, sykehjemsoverlege, Askøy kommune spes. indremedisin, infeksjonssykdommer og samfunnsmedisin.

Norm for Informasjonssikkerhet i Helsesektoren. Tor Ottersen

Sviktende tilgangsstyring i elektroniske pasientjournaler?

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

Informasjonssikkerhet

Lovlig journalbruk Oppslag i og bruk av Pasientjournalen

Hvis helseregisterloven 13 ikke fantes hva så?: Tilgang til journalopplysninger. trengs

Sverre Engelschiøn. Oslo 19. Mai 2008

Hvordan bruker pasientene personvernombudet?

Nasjonal metode og rammeverk for statistisk analyse av logger fra oppslag i behandlingsrettede helseregistre

Ny lovgivning nye muligheter. Normkonferansen 2014 Rica Holmenkollen Park Hotell, Oslo, 14. oktober 2014 Erik M. Hansen, adm. dir.

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Veiledende merknader til helseregisterloven 13 og helseinformasjonssikkerhetsforskriften

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Utfordringer med medisinsk-teknisk utstyr og informasjonssikkerhet. Barbro Salte, Medisinsk teknologi og e-helse, Akershus Universitetssykehus HF

BEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger

SAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET

Side 1 av 5. Storgata Oslo. Helse- og omsorgsdepartementet Postboks 8011 Dep Oslo

Vår referanse: Deres referanse: Dato: 08/ / Saksbehandler: Anne Marie Dalen Øverhaug,

Analyse av bruk av aktualisering i elektronisk pasientjournal. v/personvernombud Aksel Sogstad Medforfatter: Eirik Nikolai Arnesen

Formålet er forsvarlig behandling

Kontroll av oppslagslogger i EPJ ved hjelp av mønstergjenkjenning

" Deling og utveksling med pasienter Deling i store foretak Utlevering / deling mellom foretak Legemiddeldeling Kjernejournal

Synspunkter på Gode helseregistre bedre helse

Endelig kontrollrapport

Samhandlingsreformen IKT i helse- og omsorgssektoren

Saksframlegg. Sørlandet sykehus HF. Informasjonssikkerhet. 1. Styret tar informasjonen om informasjonssikkerhet i helseforetaket til orientering.

Taushetspliktens bakgrunn og begrunnelse hvilke interesser skal taushetsplikten beskytte? Ved førsteamanuensis Bente Ohnstad

IT i helse- og omsorgssektoren Stortingsmelding om ehelse

Ny pasientjournallov endringer og muligheter

Praktiske løsninger for utveksling av. 21. oktober 2005

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Det fremgår av høringsbrevet at: "Formålet med lovforslagene er å fjerne

Registrering og innsamling av helsedata sett opp mot IT - sikkerhet Kvalitetsregisterkonferanse Tromsø

innhente taushetsbelagte helseopplysninger. Setningen burde derfor omformuleres.

DRAMMEN KOMMUNE. Postmottak HOD

Målfrid J Frahm Jensen. mj@frahmjensen.com PASIENTJOURNALEN - EN ÅPEN BOK? de skriver personlige ord

Høringsnotat: Enklere tilgang til helseopplysninger for kvalitetssikring av helsehjelp og egen læring

Tilgang på tversdrøm eller virkelighet? Ellen K. Christiansen, juridisk rådgiver, Nasjonalt senter for telemedisin

Oversender høring - Digital sårbarhet - sikkert samfunn - NOU 2015:13 Vi viser til Justis- og beredskapsdepartementets brev av 9. desember 2015.

Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Vår fil:b13aa-013 Vårt arkiv: 402 Saksbeh: Arnfinn Aarnes

Anne Anderssen - Prosjektleder EPJ Utvikling. Norsk Arkivråd seminar - Oslo 17 september 2012

Lovlig journalbruk Oppslag i og bruk av pasientjournalen

Helse- og omsorgsdepartementet. Postboks 8011 Dep OSLO

Pasienters digitale tilgang til journalen: Revolusjon eller evolusjon?

Elektronisk journal. Behovet for å vite, behovet for å beskytte og klart plassert ansvar Taushetsplikt i praksis. Rolf Kåresen Sjeflege

Status Riksrevisjonens undersøkelser om helseforetakenes ivaretakelse av elektroniske pasientjournaler (EPJ) vedlegg til styresak

Bedre personvern i skole og barnehage

Mønstergjenkjenningsprosjektet ved Oslo universitetssykehus

Internkontroll og informasjonssikkerhet lover og standarder

Hvordan lykkes med koordinatorrollen i sykehus og i kommunen

HELSE MIDT-NORGE RHF STYRET

Anbefalt ehelsekompetanse

2 eller 3 juni eller 31 august i Mosjøen? Sak Tema Innhold Ansvar: 1

Helseforskningsrett med fokus på personvern

Transkript:

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.september 2012

Om Datatilsynet Et forvaltningsorgan med stor grad av faglig uavhengighet Målgruppen består av offentlig og privat sektor Informasjon Veiledning - Tilsyn Regulering Ca 40 medarbeidere 4 Avdelinger Juridisk Tilsyns- og sikkerhet Informasjon Administrasjon 18.09.2012 Side 2

Hva er egentlig personvern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger som skal brukes, av hvem, til hvilke formål osv Informasjon hvis man ikke har rett til å samtykke, har man i det minste rett til å vite hvilke opplysninger som brukes, av hvem, til hvilke formål osv Personvern er noe mer enn informasjonssikkerhet. Informasjonssikkerheten er bare en nødvendig forutsetning for å kunne ivareta personvernet 18.09.2012 Side 3

Fokusområder for Datatilsynet på helseområdet Helseregistre Helseforskning NAV Bioteknologi Tilgangsstyring Tilgang på tvers Kjernejournal Velferdsteknologi Strategi: Bedre personvern i helsesektoren 18.09.2012 Side 4

Godt personvern - bedre helse.. Godt personvern sikrer befolkningens tillit til helsepersonell Tillit mellom pasienter og helsepersonell er en nødvendig forutsetning for god medisinsk behandling Dersom pasienten ikke har tillit til at sensitiv informasjon, som gis i fortrolighet, blir ivaretatt på en god måte svekkes også tilliten til helsetjenestene og helsepersonell Dersom tilliten svikter kan resultatet bli at pasientene ikke vil gi nødvendig informasjon til helsepersonellet. 18.09.2012 Side 5

Sviktende tilgangsstyring? I en tilsynsrapport ser Datatilsynet på hvordan sikkerheten er ivaretatt i elektroniske pasientjournaler og konkluderer med at man ennå er langt unna en løsning på problemene med tilgangsstyring 18.09.2012 Side 6?

Norge er ikke alene om dette problemet.. William Behringer testet HIV-positiv på et medical center i New Jersey, der han selv jobbet som kirurg. Kort tid etter at testresultatene var ferdig ringte kollegaer og andre ved virksomheten for å uttrykke sin empati og medlidenhet. Få dager senere mistet han jobben. Principles of Biomedical Ethics James F. Childress Tom Beauchamp 18.09.2012 Side 7

Tilgangsstyring Hva er viktig? At journalen behandles med respekt TAUSHETSPLIKTEN At journalen er tilgjengelig ved behov Tilgjengelighet At journalen ikke er tilgjengelig utover behov konfidensialitet At journalen er til å stole på Kvalitet & Integritet 18.09.2012 Side 8

Hovedmomenter fra et tilsyn med et helseforetak Tilsynsfokus: Sikring av konfidensialitet gjennom tilgangsstyring og logging Gjennomgang av EPJ, PAS, IS og PACS: Tildeling av lesetilgang i journal for de store gruppene av helsepersonell: Journalinndeling: domener: psykiatri/ somatikk Normal tilgang : tilgang til pasienter ved egen avdeling/ enhet aktualisering : tilgang til hele domenet blålystilgang : tilgang til alle domener 18.09.2012 Side 9

Normal tilgang og aktualiseringstilgang Utgangspunkt for tildeling av tilgang til pasientjournaler: den avdeling legen er tilknyttet den enhet sykepleier er tilknyttet Helsepersonell som arbeider ved flere avdelinger/enheter: interne henvisninger Aktualisering Intern henvisning fungerte ikke 18.09.2012 Side 10

79% har rett til å aktualisere Helsepersonell Lege 99 % Bioingeniør 99 % Sekretær 98 % Psykolog 97 % Pedagog 96 % Fysioterapeut 85 % Sykepleier 72 % Vernepleier 31 % Hjelpepleier 15 % Andre 84 % Totalt 79 % Aktualiseringsrett 18.09.2012 Side 11

Hvilke pasientopplysninger får helsepersonell tilgang til I utgangspunktet er journalopplysningene inndelt i grove kategorier: personellgrupper og innhold Helseforetaket dokumenterer adgangsfunksjoner som ikke er i samsvar med faktisk tilgang Tidsbegrenset tilgang: a) normalt 30 dager b) aktualisering ingen tidsbegrensning 18.09.2012 Side 12

Datatilsynets konklusjon Hensiktsmessig å begrense tilgangen til : inneliggende eller aktive pasienter bør i større grad følge pasientforløpet Spesielt unødvendig at personell har generell tilgang til journaler til pasienter som ikke er under behandling Helseforetaket har ikke etablert nødvendig tilgangsstyring i samsvar med helseregisterloven 13. Den mangelfulle tilgangsstyringen gir ikke tilfredsstillende konfidensialitetssikring etter helseregisterloven 16, jf. Personopplysningsforskriftens 2-11 18.09.2012 Side 13

Tilgangsstyring Status For mange har tilgang til for mye En funksjonell tilgangsstyring må på plass Kombinasjon av vid tilgang og liten evne til å avdekke uautoriserte oppslag Det kreves systemendringer Tilgang må i større grad følge prosessene Prosesstyrt, flytorientert, beslutningsstyrt 18.09.2012 Side 14

4. Logging Vi er på vei fra tilstanden: Fraværende, Ubrukelige, eller Ikke i bruk Til noe som er langt bedre I dag er loggen stort sett Slått på, og Egnet for av bekrefte eller avkrefte mistanke 18.09.2012 Side 15

Logging Veien videre Mot et verktøy for å avdekke uautorisert bruk Loggene må brukes i sikkerhetsarbeidet Logganalyse er nøkkelen Det er viktig at vi lykkes med prosjektene Regelbasert, profilbasert eller en kombinasjon - Det er målet som teller Viktig å også ivareta de ansatte Klare rammer Informasjon Begrense inngrepet mest mulig 18.09.2012 Side 16

5. Endringene Hva nå Ny forskrift Tilgang på tvers blir tillatt Kjernejournal Hva innebærer det i praksis? 18.09.2012 Side 17

Endringene Hva nå - Internt Ingen lettelser Klarere krav En skjerpelse? Bl.a. krav om Strukturering 18.09.2012 Side 18

Endringene Hva nå Samhandling Den planlagte rutinemessige kommunikasjonen => Fortsatt meldinger Få det på plass! Etter Datatilsynets syn må lokal sikkerhet spille en sentral rolle for sikker bruk av kjernejournal og tilgang på tvers For tilgang på tvers forankret i forskriften 6 og 14 Der hvor pasienten er kan vi Styre tilgangen Følge opp bruken av tilgangen 18.09.2012 Side 19

Endringene Hva nå Samhandling Dere må få på plass lokal tilgangsstyring og logging Bruk av fremtidens verktøy forutsetter dette Bygg personvern inn i løsningen fra starten 18.09.2012 Side 20

Hva gjør Datatilsynet? Strategi Tilgangsstyring i journalsystem Bidra til klarere rammer for hva som kan gis av tilganger. kommunisere viktigheten av beslutningsstyrt tilgangsstyring følge forsøksprosjektene for logganalyse nøye veilede publikum om rett til innsyn i logger og sperringer i journaler kjenne og påvirke leverandørene arbeide for å styrke normen - innholdet og utbredelse kontroll med tilgangsstyring i journalsystemer, fortrinnsvis i samarbeid med Helsetilsynet samarbeide med RHFene for å få til logganalyse 18.09.2012 Side 21

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding