Behandling av helse- og personopplysninger ved legekontoret - personvern og informasjonssikkerhet Jan Henriksen OH 1
Innhold 1. Litt om lover og forskrifter - personvern og informasjonssikkerhet 2. Krav til sikkerhet Normen 3. Personvern og informasjonssikkerhet ved legekontoret - mal for internkontroll 4. Sikkerhetsquiz Informasjonssikkerhet er 20% teknologi og 80% ikke-teknologi OH 2
Den største risikoen er OH 3
1. Lovgivning Pasientjournalloven gi pasienter og brukere helsehjelp av god kvalitet, samtidig verne mot at opplysninger gis til uvedkommende sikre pasientens og brukerens personvern, pasientsikkerhet og rett til informasjon Personopplysningsloven (pol) Datatilsynet er tilsynsmyndighet for begge lover beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn OH 4
Sensitive personopplysninger (pol) Opplysninger om a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforeninger Hva med 11-siffret fødselsnr? Sensitive personopplysninger skal sikres bedre enn personopplysninger OH 5
Pasientjournalloven 16 Forbud mot urettmessig tilegnelse av helseopplysninger Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger fra behandlingsrettede helseregistre uten at det er begrunnet i helsehjelp til den enkelte, administrasjon av slike tjenester eller har særskilt hjemmel i lov eller forskrift. 30. Straff Den som forsettlig eller grovt uaktsomt overtrer 16, straffes med bøter eller fengsel i inntil tre måneder. NB! 9 og 19 gir muligheter for samarbeide og tilgang OH 6
Aktuelle forskrifter Forskrift om tilgang til helseopplysninger mellom virksomheter (1.1.2015) eksempler: Tilgang mellom helseforetak Tilgang fra fastlege til spesialist (helseforetak) Tilgang fra fastlege til legevakt Tilgang fra plo til spesialist (helseforetak) Forskrift om IKT-standarder i helse- og omsorgstjenesten 3 journal skal føres elektronisk 5 og 6 elektronisk henvisning og epikrise OH 7
Databehandlingsansvarlig Med databehandlingsansvarlig menes den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes Formål Allmennhelsetjeneste, yte fysioterapitjeneste, legevakt, mv. Behandling Lagring, innsamling, sletting, utlevering, mv Hjelpemidler EPJ-system, EMU, fagsystem, mv er ansvarlig for personvern og informasjonssikkerhet ved legekontoret OH 8
Tydelig formål OH 9
Databehandler Med databehandler menes den som behandler helseog personopplysninger på vegne av den databehandlingsansvarlige. En databehandler er en ekstern person eller virksomhet utenfor den databehandlingsansvarliges virksomhet Eksempel: legekontoret flytter server med EPJ og drift av server til ekstern virksomhet eller benytter journalsystem via Internett Mal for databehandleravtale finnes på normen.no OH 10
Tilgang Autorisert personell har tilgang i journalsystemet Tilgang skal baseres på tjenstlig behov Yte helsehjelp Administrere helsehjelp Kvalitetssikring av helsehjelp OH 11
Alle trenger ikke tilgang OH 12
Utlevering Helseopplysninger utleveres elektronisk, skriftlig, muntlig Forutsetter at det ikke er i strid med taushetsplikten Henvisning/epikrise/dialog E-resept Sykemelding til NAV Refusjonskrav til NAV/HELFO OH 13
Informasjonssikkerhet - begreper Helsepersonell behandler helse- og personopplysninger om pasient Helsepersonell har plikt til å føre journal Forpliktelse ift pasienten kontinuitet i behandling og omsorg Konfidensialitet Integritet Tilgjengelighet OH 14
Personvern vs. informasjonssikkerhet Personvern Privatlivets fred Regulere bruk av personopplysninger Informasjonssikkerhet Virkemidler for å sikre personvernet Konfidensialitet Integritet Tilgjengelighet Rett Plikt OH 15
Teori og praksis OH 16
Trusler mot personvernet Journalen er ufullstendig Uautorisert tilgang og innsyn i journal Tyveri av datautstyr med journalopplysninger Tap av lagringsmedia eller bærbar PC med journalopplysninger Ødeleggelse av lagringsmedia eller datautstyr OH 17
Trusler mot personvernet Ny versjon av journalsystemet installeres, men hele eller deler virker ikke Trådløst nettverk er ikke tilstrekkelig sikret Avtale med tjenesteyter dekker ikke personvern og informasjonssikkerhet SMS inneholder helseopplysninger Uriktige opplysninger blir ikke slettet OH 18
Trusler mot personvernet OH 19
Krav til sikring av personopplysninger Alle som behandler personopplysninger skal sikre opplysningene Helseopplysninger skal sikres bedre enn personopplysninger PJL, POL/POF, pasientjournalforskriften m.fl. stiller krav til sikkerhet Databehandlingsansvarlig har ansvar Databehandler har ansvar Enkleste måten å få oversikt er å benytte Normen OH 20
2. Norm for informasjonssikkerhet Verktøy for å etablere tilfredsstillende informasjonssikkerhet Ett regelsett å forholde seg til Stole på samhandlingspartner (henvisning, epikrise, osv) Harmonisere sikkerheten mellom virksomheter i sektoren OH 21
Normen er utarbeidet av sektoren Den norske legeforening Representanter for de regionale helseforetak (RHF og HF) Norsk Sykepleierforbund Norges Apotekerforbund Kommunenes Sentralforbund Datatilsynet Helsetilsynet NAV Direktoratet for ehelse Tannlegeforeningen Den offentlige tannhelsetjenesten Direktoratet for forvaltning og IKT Norges Farmaceutiske Forening/Kiropraktor/m.fl. Folkehelseinstituttet OH 22
Norm for informasjonssikkerhet Normen sammenfatter alle gjeldene krav 30+ lover og forskrifter i helsesektoren om informasjonssikkerhet å forholde seg til Normen uttrykker gjeldende norsk informasjonssikkerhetsrett på helse- og omsorgsområdet Følg Normen = følg loven Juridisk bindende ved avtale med Norsk Helsenett SF (NHN) OH 23
Veiledere, faktaark og opplæring OH 24
Normen struktur og innhold Styrende del Gjennomførende del Kontrollerende del www.normen.no OH 25
Normen struktur og innhold Styrende del viktige områder Plassere ansvaret Etablere mål og strategi for informasjonssikkerhet Fastsette nivå for akseptabel risiko Utarbeide oversikt over behandlinger av helse- og personopplysninger OH 26
Normen struktur og innhold Gjennomførende del viktige områder Tilgangsstyring Teknisk sikkerhet (Internett, antivirus, osv) Drift (sikkerhetskopi, feilhåndtering, osv) Fysisk sikkerhet Datakommunikasjon (kryptering) Instrukser - rutiner Opplæring Avtaler (databehandleravtale) OH 27
Normen struktur og innhold Kontrollerende del Sikkerhetsrevisjon Risikovurdering Avvikshåndtering Ledelsens gjennomgang OH 28
Krav til styringssystem Normen krever at det etableres et styringssystem for informasjonssikkerhet (internkontroll) Samling av alle dokumenter i en bestemt struktur Krav og mål Prosedyrer Maler Opplæringsmateriell NB! Styringssystem for informasjonssikkerhet skal være på plass i alle virksomheter som behandler helse- og personopplysninger OH 29
Noen krav til sikkerhet i Normen Tilgangsstyring Logging Innsyn Teknisk løsning Sikkerhets- og tilbakekopiering SMS og e-post Minnepinne og flyttbare medier Fysisk sikkerhet Plassering av skjerm og skriver Hjemmekontor Service / avhending av utstyr Utskrift og faks OH 30
Tilgang til helseopplysninger Tilgang kun ift. tjenstlig behov ved helsehjelp eller administrasjon av helsehjelp til pasient Tilgangsstyring i journalsystemet Autorisering av den enkelte bruker - krav til oppbevaring av et autorisasjonsregister Fellesbruker er forbudt (unike brukernavn og passord) Logging av: Autorisert bruk Forsøk på uautorisert bruk Årlig kontroll av tildelte autorisasjoner OH 31
Autorisasjonsregister Skal som minimum inneholde: informasjon om hvem som er tildelt autorisasjon til hvilken rolle autorisasjonen er tildelt formålet med autorisasjonen tidspunkt for når autorisasjonen ble gitt og eventuelt tilbakekalt informasjon om hvilken virksomhet den autoriserte er knyttet til Krav til 5 års oppbevaring Fra det tidspunkt autorisasjonen ble tatt ut av bruk OH 32
Logger bruken av systemet Skal minimum inneholde entydig identifikator for den autoriserte brukeren rollen den autoriserte brukeren har ved tilgangen virksomhetstilhørighet organisatorisk tilhørighet til den som er autorisert hvilke type opplysninger det er gitt tilgang til hvem som har fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer grunnlaget for tilgangen tidspunkt og varighet for tilgangen OH 33
Logger skal oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem analyseres (ukentlig) for å identifisere sikkerhetsbrudd gjøres tilgjengelig for pasienten OH 34
, men jeg trodde jeg hadde innsynsrett.. OH 35
Innsyn i logger Pasienten har rett til innsyn Henvendelse skal besvares innen 30 dager Om innsyn er besluttet skal minimum følgende meddeles: Navn, rolle og organisatorisk tilhørighet til den som har hatt tilgang Tidspunkt Hvilke opplysninger det ble gitt tilgang til Registreringsdato for den enkelte opplysning Rett på forklaring og utskift OH 36 36
Teknisk sikkerhetsløsning To uavhengige tekniske tiltak mot eksterne nettverk Skille behandlingen av helseopplysninger og eksterne nettverk (for eksempel Internett) Teknisk løsning med sikkerhetsbarrierer Hindre uautorisert tilgang Antivirus All kommunikasjon skal starte innenfra eget nettverk OH 37
Teknisk sikkerhetsløsning Kryptering av ekstern kommunikasjon Løsningen fra Norsk helsenett er ikke tilstrekkelig sikret Autentisering som for stasjonært utstyr gjelder for mobilt utstyr hjemmekontor / fjernaksess fra leverandør trådløs kommunikasjon linjer legekontoret ikke har fysisk kontroll over OH 38
Sikkerhets- og tilbakekopiering Dokumenterte rutiner Periodisk Ansvar Sikkerhetskopi skal oppbevares Avlåst Brannsikkert Adskilt fra driftsutstyret (server) Jevnlig test at sikkerhetskopiene er korrekte kan tilbakeføres Ekstern oppbevaring av sikkerhetskopi anbefales OH 39
SMS og ordinær e-post Skal ikke brukes til helseopplysinger Skal aldri inneholde 11-sifferet fødselsnummer Mottas helseopplysninger via ordinær SMS eller e-post svarer legekontoret at Henvendelser med helseopplysninger blir ikke besvart. Bruk telefon eller fremmøte SMS krever samtykke fra pasient/bruker Personvern og informasjonssikkerhet i kontakten med pasient/bruker En veileder i bruk av portalløsninger, SMS og e-post OH 40
Minnepinne og flyttbare medier Merkes tydelig Skal krypteres Slettes forsvarlig destrueres ved utrangering Oppbevares avlåst Sendes som rekommandert post OH 41
Fysisk sikring Server og kommunikasjonsutstyr skal være i bemannet eller avlåst område Sikring av PC Kryptering av lagringsenhet på bærbart utstyr Soneprinsippet ifm. resepsjoner, behandlingsrom, mv. Faktaark 17 Fysisk sikring av områder og utstyr OH 42
Plassering av skjerm og skriver Plasser skjerm og skriver skjermet for innsyn og adgang Taushetsplikten aktiv plikt Gjør en gjennomgang av egne lokaler Viktig å ta hensyn til ved flytting Skjermsparer m/passord Taushetsplikten aktiv plikt OH 43
Hjemmekontor Arbeidsgivers utstyr Sikker teknisk løsning (NHN) Autentisering som for stasjonært utstyr Fysisk sikring av utstyr Rutiner for bruk Utskrift er ikke å anbefale Hvis utskrift; sikring, arkivering, makulering Hindre uautorisert tilgang og innsyn OH 44
Service / utrangering av utstyr Fjernes utstyr som inneholder helseog personopplysninger fra legekontoret må det opprettes en databehandleravtale med serviceyter Service på stedet er å anbefale, men ikke et krav Ved utrangering av utstyr/lagringsmedia skal lagringsmedia slettes forsvarlig eller destrueres (for eksempel skriver med minne) OH 45
Utskrifter og faks Rutiner for behandling av utskrifter Sikring Arkivering Makulering Bruk av faks med helse- og personopplysninger Skal anonymiseres Ellers samtykke fra pasienten OH 46
Andre krav i Normen Taushetsplikt aktiv og passiv Nødrutiner skal utarbeides hva gjør legekontoret om alle journaler er borte? Kontroll av tilgangsstyring ved sikkerhetsbrudd All bruk av nødrettstilgang skal grunngis og følges opp som avvik OH 47
Taushetsplikten i hverdagen Passiv plikt Hvem snakker du med Hvem lytter Hvem utleveres opplysninger til Aktiv plikt Skjermsparer med passord manuell / automatisk Plassering av utstyr Låse kontor Låse ned dokumenter og notater Makulere Reelle data som testdata Utrangering av teknisk utstyr (multifunksjonskriver) Følg meg -skriver OH 48
Hvordan ivareta kravene i Normen? Etablere eller revidere styringssystem for informasjonssikkerhet Gjennomføre risikovurdering av all behandling av helseopplysninger Lære opp medarbeidere i informasjonssikkerhet Gjennomføre nødvendige tiltak iht Normen og resultat fra risikovurdering Sørge for løpende oppfølging og bruk av styringssystemet OH 49
3. Etablere styringssystem - mal Enkleste veien til målet er Personvern og informasjonssikkerhet for legekontorer - en veileder + separat mal som skal tilpasses Gratis tilgjengelig på www.normen.no Utviklet under Normen sammen med referansegruppe fra Legeforeningen Egner seg for legekontor med 1 12/15 ansatte Se veileder og mal på www.normen.no OH 50
Til slutt en sikkerhetsquiz Bruk mobil eller nettbrett Gå til www.kahoot.it Tast inn kode Registrer deltagernavn Bli med på Quiz OH 51
Spørsmål til personvern og informasjonssikkerhet: sikkerhetsnormen@ehelse.no OH 52