Behandling av helse- og personopplysninger ved legekontoret

Like dokumenter
Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Krav til informasjonssikkerhet

MTU - Krav til informasjonssikkerhet

Introduksjonskurs til Normen Normens krav. Jan Henriksen Sekretariatet for Normen

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer

Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag. Tor Ottersen

Sikkerhetskrav for systemer

HVEM ER JEG OG HVOR «BOR» JEG?

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

LÆRINGS- og GJENNOMFØRINGSPLAN

Noen utvalgte faktaark og veiledere. Åpent kurs

LÆRINGS- og GJENNOMFØRINGSPLAN

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Videokonsultasjon - sjekkliste

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

LÆRINGS- og GJENNOMFØRINGSPLAN

Bruk av databehandler (ekstern driftsenhet)

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL. Åpent kurs oktober 2018

Databehandleravtale etter personopplysningsloven

EPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE. Informasjonssikkerhet Jan Gunnar Broch PMU 2018

Lovvedtak 75. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( )

Noen utvalgte faktaark og veiledere. Åpent kurs 15. mars 2018

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Norm for informasjonssikkerhet i helse og omsorgstjenesten

Bruk av databehandler (ekstern driftsenhet)

KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

LÆRINGS- og GJENNOMFØRINGSPLAN

Pasientjournalloven - endringer og muligheter

Plikt- og rettssubjekter. Den som har krav på noe, den som har rett på noe. Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Personvern og informasjonssikkerhet

REGIONALT KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL. Åpent kurs mars 2018

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Datasikkerhet internt på sykehuset

Databehandleravtaler

Innsatsområder nasjonalt nivå i helsetjenesten Nasjonalt meldingsløft Kjernejournal Helsepolitiske mål E-resept Helseportal Helseregistre EPJ Velferds

Nye personvernregler

Noen utvalgte faktaark og veiledere, og medisinsk avstandsoppfølging

Fagkurs for kommuner Personvern og taushetsplikt (75 minutter)

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Hvordan kan personvernet ivaretas i helsesektoren?

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Normkonferansen 15. oktober Nytt i Normen

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Norm for informasjonssikkerhet

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Databehandleravtale etter personopplysningsloven

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Ny pasientjournallov endringer og muligheter

Policy for personvern

Sikkerhetsrevisjon Sjekkliste for å ivareta kravene i Normen

Hvilken betydning har personvernforordningen på helseområdet

Oversiktstabell for faktaark, veiledere og kurs til Normen

Bilag 14 Databehandleravtale

Personopplysninger og opplæring i kriminalomsorgen

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Plan for informasjonssikkerhet Bjugn kommune

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten

SIKKERHETSINSTRUKS - Informasjonssikkerhet

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Informasjonssikkerhet

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Kontroll av oppslagslogger i EPJ ved hjelp av mønstergjenkjenning

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Norm for informasjonssikkerhet i helsesektoren

Personvernforordningen og utfordringer i dagens helsetjeneste

Norm for Informasjonssikkerhet i Helsesektoren. Tor Ottersen

Veileder i personvern og informasjonssikkerhet ved tilgang til helseopplysninger mellom virksomheter

Ny pasientjournallov - endringer og muligheter

Ot.prp. nr. 51 ( )

Databehandleravtale etter personopplysningsloven

Formidling av pasientinformasjon ny lovgivning (i forbindelse med pasientbehandling) NSH

Ny lov nye muligheter for deling av pasientopplysninger

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale mellom Oslo universitetssykehus HF (org nr ) ved MBT-Kvalitetslaboratorium og [Sett inn foretak]

INFORMASJONSSIKKERHET

Informasjonssikkerhet

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Dataanlegget på legekontoret lover, regler og Normen. Torstein Sakshaug Nidaroskongressen 2015

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Transkript:

Behandling av helse- og personopplysninger ved legekontoret - personvern og informasjonssikkerhet Jan Henriksen OH 1

Innhold 1. Litt om lover og forskrifter - personvern og informasjonssikkerhet 2. Krav til sikkerhet Normen 3. Personvern og informasjonssikkerhet ved legekontoret - mal for internkontroll 4. Sikkerhetsquiz Informasjonssikkerhet er 20% teknologi og 80% ikke-teknologi OH 2

Den største risikoen er OH 3

1. Lovgivning Pasientjournalloven gi pasienter og brukere helsehjelp av god kvalitet, samtidig verne mot at opplysninger gis til uvedkommende sikre pasientens og brukerens personvern, pasientsikkerhet og rett til informasjon Personopplysningsloven (pol) Datatilsynet er tilsynsmyndighet for begge lover beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn OH 4

Sensitive personopplysninger (pol) Opplysninger om a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforeninger Hva med 11-siffret fødselsnr? Sensitive personopplysninger skal sikres bedre enn personopplysninger OH 5

Pasientjournalloven 16 Forbud mot urettmessig tilegnelse av helseopplysninger Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger fra behandlingsrettede helseregistre uten at det er begrunnet i helsehjelp til den enkelte, administrasjon av slike tjenester eller har særskilt hjemmel i lov eller forskrift. 30. Straff Den som forsettlig eller grovt uaktsomt overtrer 16, straffes med bøter eller fengsel i inntil tre måneder. NB! 9 og 19 gir muligheter for samarbeide og tilgang OH 6

Aktuelle forskrifter Forskrift om tilgang til helseopplysninger mellom virksomheter (1.1.2015) eksempler: Tilgang mellom helseforetak Tilgang fra fastlege til spesialist (helseforetak) Tilgang fra fastlege til legevakt Tilgang fra plo til spesialist (helseforetak) Forskrift om IKT-standarder i helse- og omsorgstjenesten 3 journal skal føres elektronisk 5 og 6 elektronisk henvisning og epikrise OH 7

Databehandlingsansvarlig Med databehandlingsansvarlig menes den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes Formål Allmennhelsetjeneste, yte fysioterapitjeneste, legevakt, mv. Behandling Lagring, innsamling, sletting, utlevering, mv Hjelpemidler EPJ-system, EMU, fagsystem, mv er ansvarlig for personvern og informasjonssikkerhet ved legekontoret OH 8

Tydelig formål OH 9

Databehandler Med databehandler menes den som behandler helseog personopplysninger på vegne av den databehandlingsansvarlige. En databehandler er en ekstern person eller virksomhet utenfor den databehandlingsansvarliges virksomhet Eksempel: legekontoret flytter server med EPJ og drift av server til ekstern virksomhet eller benytter journalsystem via Internett Mal for databehandleravtale finnes på normen.no OH 10

Tilgang Autorisert personell har tilgang i journalsystemet Tilgang skal baseres på tjenstlig behov Yte helsehjelp Administrere helsehjelp Kvalitetssikring av helsehjelp OH 11

Alle trenger ikke tilgang OH 12

Utlevering Helseopplysninger utleveres elektronisk, skriftlig, muntlig Forutsetter at det ikke er i strid med taushetsplikten Henvisning/epikrise/dialog E-resept Sykemelding til NAV Refusjonskrav til NAV/HELFO OH 13

Informasjonssikkerhet - begreper Helsepersonell behandler helse- og personopplysninger om pasient Helsepersonell har plikt til å føre journal Forpliktelse ift pasienten kontinuitet i behandling og omsorg Konfidensialitet Integritet Tilgjengelighet OH 14

Personvern vs. informasjonssikkerhet Personvern Privatlivets fred Regulere bruk av personopplysninger Informasjonssikkerhet Virkemidler for å sikre personvernet Konfidensialitet Integritet Tilgjengelighet Rett Plikt OH 15

Teori og praksis OH 16

Trusler mot personvernet Journalen er ufullstendig Uautorisert tilgang og innsyn i journal Tyveri av datautstyr med journalopplysninger Tap av lagringsmedia eller bærbar PC med journalopplysninger Ødeleggelse av lagringsmedia eller datautstyr OH 17

Trusler mot personvernet Ny versjon av journalsystemet installeres, men hele eller deler virker ikke Trådløst nettverk er ikke tilstrekkelig sikret Avtale med tjenesteyter dekker ikke personvern og informasjonssikkerhet SMS inneholder helseopplysninger Uriktige opplysninger blir ikke slettet OH 18

Trusler mot personvernet OH 19

Krav til sikring av personopplysninger Alle som behandler personopplysninger skal sikre opplysningene Helseopplysninger skal sikres bedre enn personopplysninger PJL, POL/POF, pasientjournalforskriften m.fl. stiller krav til sikkerhet Databehandlingsansvarlig har ansvar Databehandler har ansvar Enkleste måten å få oversikt er å benytte Normen OH 20

2. Norm for informasjonssikkerhet Verktøy for å etablere tilfredsstillende informasjonssikkerhet Ett regelsett å forholde seg til Stole på samhandlingspartner (henvisning, epikrise, osv) Harmonisere sikkerheten mellom virksomheter i sektoren OH 21

Normen er utarbeidet av sektoren Den norske legeforening Representanter for de regionale helseforetak (RHF og HF) Norsk Sykepleierforbund Norges Apotekerforbund Kommunenes Sentralforbund Datatilsynet Helsetilsynet NAV Direktoratet for ehelse Tannlegeforeningen Den offentlige tannhelsetjenesten Direktoratet for forvaltning og IKT Norges Farmaceutiske Forening/Kiropraktor/m.fl. Folkehelseinstituttet OH 22

Norm for informasjonssikkerhet Normen sammenfatter alle gjeldene krav 30+ lover og forskrifter i helsesektoren om informasjonssikkerhet å forholde seg til Normen uttrykker gjeldende norsk informasjonssikkerhetsrett på helse- og omsorgsområdet Følg Normen = følg loven Juridisk bindende ved avtale med Norsk Helsenett SF (NHN) OH 23

Veiledere, faktaark og opplæring OH 24

Normen struktur og innhold Styrende del Gjennomførende del Kontrollerende del www.normen.no OH 25

Normen struktur og innhold Styrende del viktige områder Plassere ansvaret Etablere mål og strategi for informasjonssikkerhet Fastsette nivå for akseptabel risiko Utarbeide oversikt over behandlinger av helse- og personopplysninger OH 26

Normen struktur og innhold Gjennomførende del viktige områder Tilgangsstyring Teknisk sikkerhet (Internett, antivirus, osv) Drift (sikkerhetskopi, feilhåndtering, osv) Fysisk sikkerhet Datakommunikasjon (kryptering) Instrukser - rutiner Opplæring Avtaler (databehandleravtale) OH 27

Normen struktur og innhold Kontrollerende del Sikkerhetsrevisjon Risikovurdering Avvikshåndtering Ledelsens gjennomgang OH 28

Krav til styringssystem Normen krever at det etableres et styringssystem for informasjonssikkerhet (internkontroll) Samling av alle dokumenter i en bestemt struktur Krav og mål Prosedyrer Maler Opplæringsmateriell NB! Styringssystem for informasjonssikkerhet skal være på plass i alle virksomheter som behandler helse- og personopplysninger OH 29

Noen krav til sikkerhet i Normen Tilgangsstyring Logging Innsyn Teknisk løsning Sikkerhets- og tilbakekopiering SMS og e-post Minnepinne og flyttbare medier Fysisk sikkerhet Plassering av skjerm og skriver Hjemmekontor Service / avhending av utstyr Utskrift og faks OH 30

Tilgang til helseopplysninger Tilgang kun ift. tjenstlig behov ved helsehjelp eller administrasjon av helsehjelp til pasient Tilgangsstyring i journalsystemet Autorisering av den enkelte bruker - krav til oppbevaring av et autorisasjonsregister Fellesbruker er forbudt (unike brukernavn og passord) Logging av: Autorisert bruk Forsøk på uautorisert bruk Årlig kontroll av tildelte autorisasjoner OH 31

Autorisasjonsregister Skal som minimum inneholde: informasjon om hvem som er tildelt autorisasjon til hvilken rolle autorisasjonen er tildelt formålet med autorisasjonen tidspunkt for når autorisasjonen ble gitt og eventuelt tilbakekalt informasjon om hvilken virksomhet den autoriserte er knyttet til Krav til 5 års oppbevaring Fra det tidspunkt autorisasjonen ble tatt ut av bruk OH 32

Logger bruken av systemet Skal minimum inneholde entydig identifikator for den autoriserte brukeren rollen den autoriserte brukeren har ved tilgangen virksomhetstilhørighet organisatorisk tilhørighet til den som er autorisert hvilke type opplysninger det er gitt tilgang til hvem som har fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer grunnlaget for tilgangen tidspunkt og varighet for tilgangen OH 33

Logger skal oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem analyseres (ukentlig) for å identifisere sikkerhetsbrudd gjøres tilgjengelig for pasienten OH 34

, men jeg trodde jeg hadde innsynsrett.. OH 35

Innsyn i logger Pasienten har rett til innsyn Henvendelse skal besvares innen 30 dager Om innsyn er besluttet skal minimum følgende meddeles: Navn, rolle og organisatorisk tilhørighet til den som har hatt tilgang Tidspunkt Hvilke opplysninger det ble gitt tilgang til Registreringsdato for den enkelte opplysning Rett på forklaring og utskift OH 36 36

Teknisk sikkerhetsløsning To uavhengige tekniske tiltak mot eksterne nettverk Skille behandlingen av helseopplysninger og eksterne nettverk (for eksempel Internett) Teknisk løsning med sikkerhetsbarrierer Hindre uautorisert tilgang Antivirus All kommunikasjon skal starte innenfra eget nettverk OH 37

Teknisk sikkerhetsløsning Kryptering av ekstern kommunikasjon Løsningen fra Norsk helsenett er ikke tilstrekkelig sikret Autentisering som for stasjonært utstyr gjelder for mobilt utstyr hjemmekontor / fjernaksess fra leverandør trådløs kommunikasjon linjer legekontoret ikke har fysisk kontroll over OH 38

Sikkerhets- og tilbakekopiering Dokumenterte rutiner Periodisk Ansvar Sikkerhetskopi skal oppbevares Avlåst Brannsikkert Adskilt fra driftsutstyret (server) Jevnlig test at sikkerhetskopiene er korrekte kan tilbakeføres Ekstern oppbevaring av sikkerhetskopi anbefales OH 39

SMS og ordinær e-post Skal ikke brukes til helseopplysinger Skal aldri inneholde 11-sifferet fødselsnummer Mottas helseopplysninger via ordinær SMS eller e-post svarer legekontoret at Henvendelser med helseopplysninger blir ikke besvart. Bruk telefon eller fremmøte SMS krever samtykke fra pasient/bruker Personvern og informasjonssikkerhet i kontakten med pasient/bruker En veileder i bruk av portalløsninger, SMS og e-post OH 40

Minnepinne og flyttbare medier Merkes tydelig Skal krypteres Slettes forsvarlig destrueres ved utrangering Oppbevares avlåst Sendes som rekommandert post OH 41

Fysisk sikring Server og kommunikasjonsutstyr skal være i bemannet eller avlåst område Sikring av PC Kryptering av lagringsenhet på bærbart utstyr Soneprinsippet ifm. resepsjoner, behandlingsrom, mv. Faktaark 17 Fysisk sikring av områder og utstyr OH 42

Plassering av skjerm og skriver Plasser skjerm og skriver skjermet for innsyn og adgang Taushetsplikten aktiv plikt Gjør en gjennomgang av egne lokaler Viktig å ta hensyn til ved flytting Skjermsparer m/passord Taushetsplikten aktiv plikt OH 43

Hjemmekontor Arbeidsgivers utstyr Sikker teknisk løsning (NHN) Autentisering som for stasjonært utstyr Fysisk sikring av utstyr Rutiner for bruk Utskrift er ikke å anbefale Hvis utskrift; sikring, arkivering, makulering Hindre uautorisert tilgang og innsyn OH 44

Service / utrangering av utstyr Fjernes utstyr som inneholder helseog personopplysninger fra legekontoret må det opprettes en databehandleravtale med serviceyter Service på stedet er å anbefale, men ikke et krav Ved utrangering av utstyr/lagringsmedia skal lagringsmedia slettes forsvarlig eller destrueres (for eksempel skriver med minne) OH 45

Utskrifter og faks Rutiner for behandling av utskrifter Sikring Arkivering Makulering Bruk av faks med helse- og personopplysninger Skal anonymiseres Ellers samtykke fra pasienten OH 46

Andre krav i Normen Taushetsplikt aktiv og passiv Nødrutiner skal utarbeides hva gjør legekontoret om alle journaler er borte? Kontroll av tilgangsstyring ved sikkerhetsbrudd All bruk av nødrettstilgang skal grunngis og følges opp som avvik OH 47

Taushetsplikten i hverdagen Passiv plikt Hvem snakker du med Hvem lytter Hvem utleveres opplysninger til Aktiv plikt Skjermsparer med passord manuell / automatisk Plassering av utstyr Låse kontor Låse ned dokumenter og notater Makulere Reelle data som testdata Utrangering av teknisk utstyr (multifunksjonskriver) Følg meg -skriver OH 48

Hvordan ivareta kravene i Normen? Etablere eller revidere styringssystem for informasjonssikkerhet Gjennomføre risikovurdering av all behandling av helseopplysninger Lære opp medarbeidere i informasjonssikkerhet Gjennomføre nødvendige tiltak iht Normen og resultat fra risikovurdering Sørge for løpende oppfølging og bruk av styringssystemet OH 49

3. Etablere styringssystem - mal Enkleste veien til målet er Personvern og informasjonssikkerhet for legekontorer - en veileder + separat mal som skal tilpasses Gratis tilgjengelig på www.normen.no Utviklet under Normen sammen med referansegruppe fra Legeforeningen Egner seg for legekontor med 1 12/15 ansatte Se veileder og mal på www.normen.no OH 50

Til slutt en sikkerhetsquiz Bruk mobil eller nettbrett Gå til www.kahoot.it Tast inn kode Registrer deltagernavn Bli med på Quiz OH 51

Spørsmål til personvern og informasjonssikkerhet: sikkerhetsnormen@ehelse.no OH 52

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding