Introduksjon til temaserien

TEMAHEFTE NR 1 Introduksjon til temaserien TEMASERIE SIKKER INFORMASJONSBEHANDLING I HELSEVESENET

Forord Målet med temaserien "Sikker informasjonsbehandling i helsevesenet" er å sette opp et rammeverk som kan benyttes for å etablere og vedlikeholde sikker informasjonsbehandling i alle deler av helsevesenet i Norge. Vårt utgangspunkt er at sikker informasjonsbehandling er en nødvendighet for å drive en forsvarlig helsetjeneste, men også at sikker informasjonsbehandling er en forutsetning og katalysator for at IT skal bidra til mer effektive og kvalitativt bedre helsetjenester og -virksomheter. For å oppnå dette, må arbeidet med å realisere sikker informasjonsbehandling i den enkelte virksomhet gis en hensiktsmessig organisatorisk forankring og fokusering. KITH bygger opp og tar mål av seg til å inneha høy faglig kompetanse på dette området, både på nasjonalt og internasjonalt nivå. KITH vil i samråd med helsemyndigheter, helseinstitusjoner og Datatilsynet gjennomføre konkrete prosjekter innen fagområdet informasjonssikkerhet, og gjennom ulike tiltak informere helsevesenet om utviklingen innen feltet. Temaserien hvor dette heftet er nr 1 i en serie er et viktig ledd i denne informasjons- og kunnskapsoverføringen. Dette temaheftet er i hovedsak ment som en introduksjon og sammendrag av de viktigste problemstillingene knyttet til sikker informasjonsbehandling i helsevesenet. Heftet er tidligere gitt ut i 1994, men i denne utgaven er det foretatt en betydelig revisjon. Målgruppen er ledere og beslutningstakere på alle forvaltningsnivåer, både på virksomhets- og eiersiden. Kenneth R. Iversen er redaktør for temaserien. Dette heftet er skrevet av sjefkonsulent Kenneth R. Iversen og konsulent Bjarte Aksnes, med bidrag fra seniorkonsulent Tor Olav Grøtan, alle KITH. Direktør Bjørn Engum, KITH, har medvirket med kvalitetskontroll av temaheftet. Trondheim 10.6.97 Kenneth R. Iversen

Innhold SIKKER INFORMASJONSBEHANDLING 1 Hvorfor sikker informasjonsbehandling? 2 Strategiske utfordringer 3 HVORDAN ETABLERE SIKKER INFORMASJONS BEHANDLING? 5 Et ledelsesansvar 7 Et ansvar for alle 7 Internkontroll og kvalitetssikring 8 HANDLINGSPLAN VED BRUK AV TEMASERIEN 9 Gevinster knyttet til informasjonssikkerhet 9 Faktorer for en vellykket satsing 10 Handlingsplan for sikker informasjonsbehandling 11 Mål, omfang og avgrensing 14 Referanser 15 VEDLEGG A: TEMAHEFTER I SERIEN 17 Anbefalt litteratur 18

INTRODUKSJON TIL TEMASERIEN Sikker informasjonsbehandling Kapittel 1 I dette innledningsheftet til temaserien vil vi skissere rammene for hva temaserien vil omfatte. Temaserien har fått navnet "Sikker informasjonsbehandling i helsevesenet", og vi vil derfor starte med å forklare hva vi mener med sikker informasjonsbehandling. Sikker informasjonsbehandling Hva er informasjonssikkerhet? Sikkerhetsmål for medisinsk informasjon Med sikker informasjonsbehandling menes en kontrollert, trygg og forsvarlig håndtering og bruk av informasjon i.h.t vedtatte, aksepterte og autoritative normer og krav. Gevinstene knyttet til sikker informasjonsbehandling er på den ene siden knyttet til reduksjon av risiko for avdekking, tap eller skade på informasjon, og dermed på personer eller virksomheter, som følge av dramatiske hendelser eller overlagte sikkerhetsbrudd. På den andre side har vi gevinstene som kan oppnås gjennom å stille krav og forventninger til informasjonsbehandlingens rolle i forhold til å styrke og forbedre den daglige oppgaveløsningen og de sentrale arbeidsprosessene. Informasjonssikkerhet omfatter de tekniske og organisatoriske modeller, verktøy, standarder, krav og anbefalinger sektoren har tilgjengelig for å sikre at utvikling, innføring og bruk av IT-systemer på en best mulig realiserer de vedtatte målene for sikker informasjonsbehandling. Informasjonssikkerhet er et begrep som kan defineres på ulike måter. Det mest vanlige er å knytte definisjonen til de sikkerhetsmål som generelt kan settes opp for sensitiv og kritisk medisinsk informasjon: Sikre informasjonens kvalitet og integritet. Med kvalitet forstår vi at informasjonen er korrekt, relevant, tidsriktig og komplett. Integritet innebærer også at informasjon ikke er endret eller slettet på en måte som ikke er autorisert, og som reduserer kvaliteten. For medisinsk informasjon kan konsekvensene av manglende kvalitet være at pasienter blir feilbehandlet. Sikre informasjonens tilgjengelighet. Med tilgjengelighet mener vi at autoriserte personer skal få tilgang til den informasjon det er behov for, når det er nødvendig. Manglende tilgjengelighet kan få fatale konsekvenser for pasientene, samtidig som det ofte er forbundet med store ekstrakostnader for virksomheten. 1

SIKKER INFORMASJONS-BEHANDLING Sikre informasjonens konfidensialitet. Konfidensialitet innebærer at informasjon ikke avdekkes (gjøres tilgjengelig) for andre enn de som har et rettmessig behov for å lese informasjonen. Konfidensialitet forbindes ofte entydig med personvern, selv om dette er å definere personvern for snevert. Konfidensialitet er også av stor betydning for å opprettholde tillitsforholdet mellom befolkningen og helsevesenet. I tillegg er det et mål å oppnå organisatoriske forbedringer, samt økt tillit fra pasientene gjennom sikker informasjonsbehandling. Vi vil poengtere at disse sikkerhetsmålene ikke bare er knyttet til helserelatert personidentifiserbar informasjon, men gjelder for all informasjon som forvaltes i virksomheten, riktignok i ulik grad etter informasjonens karakter (sensitivitetsgrad, risikofaktorer, sårbarhet etc). Ikke bare et teknologisk spørsmål, men også et organisatorisk spørsmål Informasjonssikkerhet er som vi allerede har påpekt, ikke kun et teknologisk anliggende, og det er således ikke nok å fokusere på sikkerhet i ITsystemene alene. I denne temaserien vil vi legge vekt på hele organisasjonens innretting mot å behandle informasjon på en måte som sikrer informasjonens konfidensialitet, kvalitet og tilgjengelighet. I dette perspektivet er informasjonsforvaltning en helt fundamental del av helseinstitusjoners kjernevirksomhet; diagnostisering, behandling og pleie av pasienter, forebygging av sykdommer, utdanning av helsepersonell etc. Hvorfor sikker informasjonsbehandling? Helsevesenet behandler store mengder informasjon, hvorav en stor del er svært sensitive person- og pasientopplysninger. Undersøkelser på europeisk basis antyder at over 30 % av helsevesenets driftskostnader er direkte knyttet til informasjonshåndtering [CEC93]. Under konstante krav om kostnadseffektivisering, produktivitetsøkning og bedret kvalitet og service, har helsevesenet i stadig større grad tatt Det er en kortsiktig tankegang i bruk informasjonsteknologi (IT) 1. Det å gjemme seg unna en satsing er også planlagt en videre satsing på på sikker informasjonsbehandling! informasjonsteknologi i helsevesenet gjennom handlingsplanen "Mer helse for hver bit" for perioden 1997-2000 [SHD96], som helseminister 1 Informasjonsteknologi (IT) er teknologi for å samle inn, bearbeide, lagre og formidle informasjon som tekst, data, lyd, bilde og video, i digital form. Deles ofte inn i programvare (eng. software), maskinvare (eng. hardware) og nettvare (eng. netware) [SHD96]. 2

SIKKER INFORMASJONS-BEHANDLING Gudmund Hernes la fram i desember 1996. Blant de hovedmålene som er gitt i planen finner vi mål nr 5: Ivareta fullgod informasjonssikkerhet ivareta både forsvarlig og effektiv pasientbehandling og et sterkt personvern. Dette signaliserer at helsevesenet tar sikte på å utnytte informasjonsteknologi til å gi oss en bedre helsetjeneste, samtidig som personvernet ivaretas og styrkes i forhold til dagens situasjon med i all hovedsak papirbaserte informasjonssystemer. Ikke nødvendigvis motsetning mellom personvern og tilgjengelighet Det blir ofte satt opp en motsetning mellom personvern (les konfidensialitet) og tilgjengelighet til pasientopplysninger. Betrakter vi dagens papirbaserte fellesjournaler på større sykehus, kan dette til en viss grad være riktig 2. Vi vil hevde at denne motsetningen ikke lenger burde være en relevant problemstilling: Informasjonsteknologien er i dag i stand til å tilby løsninger som kan sikre god kvalitet og tilgjengelighet, samtidig som personvernet ikke bare blir ivaretatt, men også styrkes i forhold til de fleste av dagens manuelle systemer (f.eks fellesjournaler på sykehus). Strategiske utfordringer Tilgjengelighet til og kvalitet på informasjonen er kritiske faktorer Når informasjonsteknologi i stadig større grad blir tatt i bruk i helsevesenet, vil mange ansatte som følge av dette, bli helt avhengige av rask tilgang til nøyaktig informasjon fra disse systemene for å kunne utføre sitt arbeide. Tilgjengelighet til informasjon og informasjonens kvalitet blir derfor stadig mer kritiske faktorer, som framover vil være av stor betydning for hvordan helsevesenet skal klare å løse sine oppgaver. For ledere i helsevesenet utgjør informasjon fra ulike administrative- og pasientadministrative systemer, journalsystemer og økonomisystemer hovedgrunnlaget som virksomheten kan planlegges og styres etter. Informasjon og informasjonsteknologi er i stadig større grad strategiske ressurser for virksomheter i helsevesenet. Tillitsforholdet mellom pasienter og helsevesenet er av stor betydning Informasjonen som behandles f.eks pasientjournaler vil ofte ha direkte betydning for pasientbehandlingen og pasientsikkerheten. Her berører vi en viktig, men ofte undervurdert faktor i sammenheng med innføring og bruk av informasjonsteknologi: Tillitsforholdet mellom helsevesenet på den ene siden og pasienter og allmennheten på den andre blir satt på prøve. Det er nødvendig for helsevesenet at pasienter har god tiltro til den behandling og pleie de gjennomgår. Dette fordrer god informasjonskvalitet og -tilgjengelighet. Samtidig må de ha god tiltro til at den informasjonen som benyttes, forvaltes på en betryggende og konfidensiell måte. Manglende tiltro fra pasienter til at konfidensialiteten er sikret, kan på lengre sikt føre til at pasienter holder tilbake viktige sensiti- 2På den ene siden kan det være viktig for leger å ha rask tilgang til relevante opplysninger om en pasient. På den andre siden er all informasjon om pasienten uten videre tilgjengelig for alt personell som får tilgang til fellesjournalen, uten at det nødvendigvis er behov for det. 3

SIKKER INFORMASJONS-BEHANDLING ve opplysninger, med de alvorlige følger dette kan få både for pasientsikkerhet og informasjonskvalitet. Det er fare for at Datatilsynet eller helsemyndighetene kan komme til å forsinke videre utnyttelse av ny teknologi hvis ikke informasjonssikkerheten ivaretas på en tilfredsstillende måte. Dagens utvikling har tendenser til teknologidrevet tøyning av til dels uklare prinsipper og regler for beskyttelse av informasjon. Dette kan ikke vedvare, selv om det er all grunn til å tro at helsevesenet fortsatt vil være en hovedarena for utvikling og grensesetting innen innhenting, behandling og spredning av sensitiv informasjon, i forhold til politiske og fag-etiske normer og mål. Desto viktigere er det for ledelsen å innarbeide et syn i organisasjonen på at sikker informasjonsbehandling ikke er en pålagt byrde, men en positiv grunnholdning knyttet til en hensiktsmessig, målrettet og effektiv informasjonsbehandling. Økende vilje til å prioritere tiltak for sikker informasjonsbehandling Helsemyndighetene og ledere ved ulike virksomheter i helsevesenet har, som følge av denne utviklingen, i økende grad erkjent at IT og ITrelaterte problemstillinger må planlegges og styres. De har også innsett betydningen og nødvendigheten av å definere strategier, policyer, målsetninger og retningslinjer for informasjonsbehandling, herunder bruk av informasjonsteknologi. Ikke minst er det viktig at det har vært en økende vilje til å bruke tid og penger til tiltak for sikker informasjonsbehandling, både gjennom sentrale og lokale initiativ. KITH har startet utarbeidingen av denne temaserien som et ledd i programmet "Helsevesenets generelle kravspesifikasjoner" (HGK). HGK har bl.a som målsetning å sikre praktisk anvendelse av resultatene fra standardiseringsprogrammet, og det er derfor et mål at denne temaserien skal stimulere til og støtte opp under tiltak på lokalt plan. 4

INTRODUKSJON TIL TEMASERIEN Hvordan etablere sikker informasjons behandling? Kapittel 2 Pasientinformasjon som innhentes, lagres og behandles i helsevesenet er til dels svært sensitiv og ofte av vital betydning. Taushetsplikten og hensynet til pasientene står, og har alltid stått, sterkt blant helsepersonell. Samtidig er det en bred forståelse for at medisinsk og annen informasjon må sikres bedre både i forhold til kvalitet, tilgjengelighet og konfidensialitet. I dette kapittelet vil vi beskrive en metodisk tilnærming for å etablere og opprettholde sikker informasjonsbehandling. For å etablere og opprettholde sikker informasjonsbehandling er det ikke nok å gjøre "enkle" grep som å installere programvare og teknisk utstyr som er utviklet spesielt for å ivareta sikkerhet. Det må framfor alt skje en endring i organisasjonskulturen og de ansattes holdninger, og for å få dette til tror vi at det er nødvendig å gjennomføre en organisasjonsutviklingsprosess. En slik prosess kan være krevende å gjennomføre, men dersom en ikke legger et slikt ambisjonsnivå til grunn, vil en vanskelig kunne lykkes i målet om sikker informasjonsbehandling. Vi vil derfor legge et OU 3 -perspektiv til grunn for den videre beskrivelse av hvordan helseinstitusjoner kan oppnå sikker informasjonsbehandling Figur 1 Sikker informasjonsbehand ling som OU-prosess NÅTILSTAND Sikker Infobehandling Forvaltning og forbedring (Trinnvis) Organisatorisk endring ØNSKET TILSTAND Sikker Infobehandling Figur 1 uttrykker at arbeidet med informasjonssikkerhet bør ha to (relativt) uavhengige fokus. Det ene er forvaltning av en nåsituasjon (nåtilstand). Det andre er en organisatorisk endringsprosess i retning av en ønsket tilstand. For å fange opp begge disse to aspektene bør arbeidet innrettes som en organisajonsutviklingsprosess (OU-prosess). Figuren uttrykker også at både nåtilstanden og den ønskede tilstanden må romme en beskrivelse av og bevissthet om målene for sikker informasjonsbe- 3 Organisasjonsutvikling 5

HVORDAN ETABLERE SIKKER INFORMASJONS BEHANDLING? handling, samt hvordan målene er tenkt realisert i form av informasjonssikkerhet. Figur 2 Faseinndeling INNSTRAMMING SAMARBEID og UTVIKLING Visjon: Den lærende organisasjonen Fase 1: Innstramming (kortsiktig) Fase 2: Samarbeid og utvikling (langsiktig) Vi vil anbefale at arbeidet med å sikre informasjonsbehandlingen, legges opp som et løp med to faser (se Figur 2). Den første fasen har vi kalt innstramming, og den går ut på finne ut hva som er status for informasjonssikkerheten i organisasjonen og gjennomføre tiltak for å forbedre sikkerheten på kort sikt. I denne fasen bør det utarbeides dokumentasjon som sikkerhetspolicy, retningslinjer og handlingsplan for sikker informasjonsbehandling. Dette bør skje sammen med en innstramming av rutiner, prosedyrer og ansvarsforhold. Dette kan skje ved å benytte prinsipper fra intern- og egenkontroll. På denne måten vil en sikre at alle interesser ivaretas, og at det skapes en juridisk ryggdekning i forhold til gjeldende regelverk. I fase 2, som vi har kalt samarbeid og utvikling, legges det opp til en langsiktig og kontinuerlig forbedringsprosess. For å få dette til må det legges opp til et bredt samarbeid gjennom å etablere arenaer og prosesser for sikker informasjonsbehandling. Det tas utgangspunkt i de spillereglene som er utviklet i fase 1, men disse bør hele tiden være utgangspunkt for diskusjon og revisjon. I denne fasen vil metodene fra OU spille en stor rolle. Det vi ønsker å strekke oss mot er en såkalt lærende organisasjon, der brukerne og organisasjonen hele tiden er i stand til å endre seg i takt med utviklingen, uten at det må iverksettes strenge kontrolltiltak. 6

HVORDAN ETABLERE SIKKER INFORMASJONS BEHANDLING? Et ledelsesansvar Ledelsen har overordnet ansvar for sikker informasjonsbehandling Ikke bare IT-sjef som er ansvarlig for informasjonssikkerheten Det overordnede ansvaret for sikker informasjonsbehandling ligger hos virksomhetens øverste ledelse. Riktignok knytter det seg en del juridiske krav til roller og ansvar for håndtering av medisinsk informasjon. Disse er ofte knyttet til legers selvstendige ansvar for de pasientopplysninger de samler og oppbevarer i pasientjournalene 4. Dette endrer ikke på det faktum at toppledelsen har det overordnede ansvaret for sikker informasjonsbehandling. Informasjon er i stadig økende grad en strategisk ressurs for virksomheter i helsevesenet. Medisinsk pasientinformasjon, pasientadministrativ informasjon, personalinformasjon og økonomiinformasjon utgjør grunnlaget som virksomheten kan planlegges og styres etter. Informasjonssikkerhet er således ikke kun et ansvar for IT-sjefer 5. IT-sjef har et delansvar for at IT-sikkerheten 6 er tilstrekkelig sett i forhold til de krav som er definert på strategisk ledelsesnivå, og som skal gjelde for virksomheten som helhet. Et viktig moment både for øverste ledelse og IT-ledelse er at informasjonssikkerhet må ses som en integrert del av virksomhetens satsing på informasjonsteknologi, og at sikkerhet er klart i fokus i virksomhetens strategi for informasjonsforvaltning generelt og IT-strategi spesielt. Et ansvar for alle Brukerne er nøkkelen til sikker informasjonsbehandling Vi har allerede påpekt at IT er en stadig viktigere faktor i informasjonsbehandlingen i helsevesenet. Det er derimot menneskene i organisasjonen som i all hovedsak står for registreringen og bruken av informasjonen, som trekker konklusjonene og gjør vurderingene. IT skal væreen støtte for brukerne i deres daglige behandling av informasjon. Samtidig som IT-systemene skal støtte menneskene i deres daglige virke, er det sentralt at også menneskene støtter IT-systemene, f.eks ved å følge de retningslinjene som er satt for bruk av systemene. Skal vi få dette til må brukerne for det første ha tiltro til at systemet reellt bidrar til å forenkle deres hverdag og/eller bidrar klart positivt i forhold til andre sentrale målsetninger som f.eks bedre og mer effektiv pasientbehandling. For det andre må brukerne ha en klar forståelse for at det er de som er nøkkelen til å nå de fastsatte mål med å ta IT-systemet i bruk ikke IT-systemet selv. 4I følge Helsetilsynet/Datatilsynet er medisinsk faglig ansvarlig lege overordnet ansvarlig for sikkerheten knyttet til informasjonen i pasientjournaler, også EDB-baserte pasientjournalsystemer, innen sin virksomhet. 5Vi presiserer dette fordi erfaring tilsier at EDB/IT-sjefer for ofte har fått et for stort og selvstendig ansvar på dette området. 6IT-sikkerheten slik vi fortolker begrepet, omfatter de systemtekniske sikkerhetstiltakene i tilknytning til de enkelte IT-systemene. 7

HVORDAN ETABLERE SIKKER INFORMASJONS BEHANDLING? Organisasjonskultur som bygger opp under sikkerhetspolicyen Vi vil poengtere at det ikke er mulig å oppnå et tilfredsstillende nivå for sikker informasjonsbehandling om ikke hver enkelt bruker av ITsystemene behandler disse i henhold til den policy for informasjonssikkerhet som er definert for virksomheten generelt og for IT-systemet spesielt. Alle har et selvstendig ansvar for informasjonssikkerheten. Det må derfor etableres en kultur som på en positiv måte bygger opp under sikkerhetspolicyen, noe vi tror best kan gjøre gjennom en OU-prosess. Dette krever en kontinuerlig satsing på opplæring, motivering og bevisstgjøring av de ansatte, samtidig som IT-systemene må tilby sikkerhet på en brukervennlig måte. Internkontroll og kvalitetssikring Vi betrakter sikker informasjonsbehandling som en naturlig og nødvendig del av det totale kvalitetsbegrepet som benyttes i helsevesenet. Internkontroll, egenkontroll og kvalitetssikring er områder hvor det i dag satses betydelige ressurser, men som sjelden forholder seg spesifikt til informasjonsbehandling eller informasjonssikkerhet. Samordning av internkontroll og kvalitetssikring med informasjonssikkerhet Virksomheter i helsevesenet bør organisere arbeidet med å etablere sikker informasjonsbehandling innen sin virksomhet i nær tilknytning til arbeidet med internkontroll, egenkontroll og kvalitetssikring. Det er så mange fellesnevnere i arbeidet med informasjonssikkerhet, internkontroll og kvalitetssikring, at det er grunn til å tro det er både nødvendig, hensiktsmessig og kostnadseffektivt å samordne disse tiltaksområdene innen virksomheten. Vi tror at internkontroll er den beste måten å sikre at gjeldende policy og retningslinjer følges opp. Ved å bruke prinsippene fra internkontroll og kvalitetssikring kan brukerne være med på både å utforme og følge opp retningslinjer og policy, noe som kan bidra til mer motiverte brukere. For å få dette til er det nødvendig å satse på å bygge opp kompetansen i bruk av internkontroll og kvalitetssikring. 8

INTRODUKSJON TIL TEMASERIEN Handlingsplan ved bruk av temaserien Kapittel 3 I dette kapittelet vil vi starte med å peke på de gevinster man kan oppnå ved å etablere en sikker informasjonsbehandling i virksomheten. Vi vil deretter skissere en handlingsplan for hvordan man kan gå frem for å etablere en sikker informasjonsbehandling, ved å støtte seg til temaserien. Denne handlingsplanen vil sette de ulike temaheftene inn i en sammenheng, og peke på i hvilken fase hvert av temaheftene bør brukes. Gevinster knyttet til informasjonssikkerhet IT som virkemiddel for å få mer ut av helsekronene Helsetjenestene står i dag overfor store og økende utfordringer samtidig som de økonomiske rammebetingelsene ikke øker med samme takt. "Mer helse for hver krone" er et politisk slagord som ofte innebærer en hard virkelighet for de som får i oppgave å sette politikken ut i livet. Gjennom handlingsplanen "Mer helse for hver bit" signaliserer Sosialog Helsedepartementet at IT skal være et viktig virkemiddel for å få mer ut av de kronene som investeres i helsesektoren. Mot en slik bakgrunn, hvorfor skal ledelsen ved virksomheter i helsevesenet satse ressurser på informasjonssikkerhet? Vi har allerede forsøkt å trekke fram en del sentrale aspekter som vi mener tydeliggjør nødvendigheten av og gevinster ved å investere tid og penger i tiltak for sikker informasjonsbehandling. I tabellen nedenfor rekapitulerer vi kort de gevinster ledelsen ved virksomheter i helsevesenet kan forvente å få ut av en slik investering, både m.h.t det vi kan kalle "utgift til inntekts ervervelse" og "utgift til utgifts besparelse". 9

HANDLINGSPLAN VED BRUK AV TEMASERIEN Bedre forståelse for informasjonens betydning generelt og informasjonsteknologiens betydning spesielt. Mer motiverte brukere av informasjonssystemene. Bedret informasjonsgrunnlag for både planlegging, ledelse og styring, kvalitetssikring, klinisk virksomhet og forskning. Økt tiltro til informasjonsforvaltningen fra pasienter og allmennheten generelt. Bedre, mer kostnadseffektiv og mer kontinuerlig utnyttelse av IT-systemene. Konkurransefortrinn med hensyn til inntekter fra innsatsstyrt finansiering. Forhindre økonomiske utgifter 7 som følge av virksomhetsavbrudd eller tap av informasjon/utstyr. Forhindre tapte inntekter 8 som følge av virksomhetsavbrudd eller tap av informasjon/utstyr. Forhindre at informasjon om pasienter og ansatte gjøres tilgjengelig for uautoriserte personer (sikre personvernet). Forhindre andre negative konsekvenser som pasientskader, negativ mediaomtale, erstatningskrav (fra pasienter), etc. Faktorer for en vellykket satsing Erfaringer fra Norge og Europa ellers viser at følgende faktorer er svært viktige for vellykket etablering og vedlikehold av informasjonssikkerhet innen virksomheter i helsevesenet [DTI93, Sta93]: 1. Det må være etablert en god forståelse i organisasjonen generelt og ledelsen spesielt for hva som er grunnlaget for og formålet med de ulike delene av informasjonsbehandlingen i virksomheten. Det må også være en klar bevissthet om hvilke trusler og sårbarheter som er knyttet til informasjonsbehandlingen. 2. Sikkerhetsstrategier, sikkerhetspolicyer og organiseringen av Skal man få full uttelling, må man ha det klart for seg hva som kreves. 7F.eks knyttet til den betydelige ekstrainnsatsen som er nødvendig for å drive forsvarlig uten tilgang til de IT-systemer en har blitt så avhengig av. 8F.eks tap av primærlegekunder for laboratoriene i et sykehus eller tapte muligheter for fakturering/refusjon. 10

sikkerhetsarbeidet må være orientert mot og understøtte kjernevirksomheten 9 og føres an av personer i tilknytning til denne. 3. Det må under hele prosessen være klar og synlig støtte og deltakelse fra ledelsen. 4. Kunnskap og bevissthet om informasjonssikkerhet må effektivt og målrettet bibringes i første rekke til alle ledere i virksomheten og deretter til andre ansatte. 5. Utfyllende opplæring og veiledning om gjeldende sikkerhetspolicy må gis regelmessig til alle ansatte. Veiledning må også gis utenforstående som utfører arbeid på vegne av virksomheten. 6. Regelmessig evaluering, testing og revisjon av alle strategier og tiltak. Handlingsplan for sikker informasjonsbehandling Vi vil her skissere en handlingsplan for etablering og vedlikehold av sikker informasjonsbehandling for virksomheter i helsevesenet. Handlingsplanen driver fram et krav om en forståelse fra ledelsens side om hva som er omfanget av og formålet med selve informasjonsbehandlingen i virksomheten. En skisse av handlingsplanen med angivelse av hvilken fase hvert av temaheftene bør brukes i er gitt i Figur 3. Forprosjekt: Gjennomgå TH1 og TH4; dagens status TH2: Overordnet sikkerhetspolicy Prosessen med å forbedre informasjonssikkerheten i virksomheten bør starte med et forprosjekt. Målet med forprosjektet er å vurdere dagens situasjon når det gjelder sikkerhet i informasjonsbehandlingen, samt å skape en felles forståelse for situasjonen. I denne fasen er det spesielt viktig å sikre en forankring hos ledelsen, slik at en er sikker på at nødvendige ressurser for å gjennomføre prosessen gjøres tilgjengelig. Forprosjektet kan gjennomføres ved å sette ned en gruppe, sammensatt av personer med både medisinsk og teknisk (IT) kompetanse, samt personer fra strategisk ledelse. Disse bør som et minimum gjennomgå temahefte 1 og temahefte 4 som setter opp rammene for temaserien, og deretter foreta en vurdering av hvordan status for sikkerheten er i egen virksomhet. Med dette som grunnlag bør det settes opp en handlingsplan for det videre arbeidet med å sikre informasjonsbehandlingen. Neste steg bør være å etablere en overordnet sikkerhetspolicy for virksomheten. Temahefte 2 Overordnet sikkerhetspolicy 10 gir retningslinjer for dette. Arbeidet må koordineres med virksomhetens overordnede 9Som i all hovedsak er pasientbehandlingen og det personell som er involvert i denne. 10 Med policy mener vi et dokument som omfatter både mål, prinsipper, regler, instrukser og retningslinjer. 11

HANDLINGSPLAN VED BRUK AV TEMASERIEN strategi og annen relevant virksomhetsplanlegging. Dersom det finnes en IT-strategi for virksomheten, må det også tas utgangspunkt i denne. Dette kan også være en anledning til å avdekke behovet for en revisjon av gjeldende IT-strategi. Det er viktig at det skapes en bred aksept av og forståelse for policydokumentet; dette innebærer opplæring, bevisstgjøring og motivering, samt brukermedvirkning i utarbeidingen. Figur 3 Handlingsplan for sikker informasjonsbehandling Forprosjekt Gjennomgå TH1 og TH4 Handlingsplan Overordnet sikkerhetspolicy og basal sikkerhetsorg. (TH2) Systemvise sikkerhetspolicyer (TH3) OU og endringsarbeid TH4 og TH5 Kvalitetssikring og internkontroll i sikkerhetsarbeidet (TH6) For å sette en sikkerhetspolicy ut i livet, er det nødvendig å organisere virksomheten på en måte som gjør hele organisasjonen best mulig i stand til å tilegne og tilpasse seg policyen. Roller må defineres, delansvar og oppgaver må delegeres. Dette er ofte et kritisk og vanskelig punkt og kan være en kilde til konflikt mellom ulike helsepersonellkategorier, tekniske personell og ulike ledernivåer, både medisinsk og administrativt. TH3: Systemvise sikkehetspolicyer Når den overordnede policyen for sikker informasjonsbehandling er på plass, gjelder det å få satt denne ut i livet i virksomheten. Her anbefaler vi at det etableres systemvise sikkerhetspolicyer for de viktigste informasjonssystemene, slik som pasientadministrative system (PAS-system), journalsystem, meldingssystem osv. Dette innebærer m.a en konkretisering av administrative rutiner for de spesifikke IT-systemene, ned til et relativt detaljert nivå; hvilke rutiner skal benyttes for f.eks registrering og 12

uthenting av informasjon, hvem skal ha tilgang til hvilken informasjon, etc. Temahefte 3 Utarbeiding av systemvise sikkerhetspolicyer kan tjene som en mal for hver av disse policyene. I etterkant må det sørges for at de systemvise policyene tas i bruk, ved å skissere konkrete administrative, personellmessige, systemtekniske og fysiske tiltak som er nødvendige for at alle policyer blir etterkommet. Det er her helt essensielt at policyen spres til alle brukere, samt at det gis tilstrekkelig opplæring og motivasjon. Etter at denne prosessen er gjennomført bør man ha oppnådd et nødvendig grunnlag for sikker informasjonsbehandlingen, men dersom ikke policyene jevnlig følges opp og revideres, vil de fort komme i utakt med endringer i informasjonsbehandling og informasjonsteknologi. Temahefte 4 Rammeverk for organisasjonsutvikling og Temahefte 5 Mot nye mål! Perspektiver og endringsmetodikk gir støtte til det videre arbeidet. TH4:Rammeverk for organisasjonsutvikling TH5 Mot nye mål! Perspektiver og endringsmetodikk Kvalitetssikring og internkontroll i sikkerhetsarbeidet (TH6) Ulike ambisjonsnivåer Det bør etableres en egen sikkerhetsorganisasjon som er i stand til å håndtere det langsiktige endrings- og strategiarbeidet som er nødvendig for å ivareta sikker informasjonsbehandling. Temahefte 4 gir hjelp til å trenge dypere inn i nåtilstanden, og å etablere et rammeverk for endringsutvikling. Ikke minst er det viktig at det skapes en forståelse og delaktighet i organisasjonen for sikkerhetstiltakene, og dette tror vi best kan gjøres gjennom en organisatorisk endringsprosess (OU-prosess). Temahefte 5 kan brukes for å identifisere, utdype og konkretisere virksomhetens visjon for en ønsket sikkerhetstilstand. Det legges opp til at visjonen skal være kvalitets- og verdiorientert, i motsetning til regelorientert. Temaheftet gir også en beskrivelse av endringsmetodikk som kan brukes for å få organisasjonen til å endre seg i ønsket retning. Vi tror også at det er nødvendig å utvide organisasjonens internkontroll og kvalitetssikringssystem til også å omfatte informasjonsbehandlingen, og på denne måten bruke prinsipper fra disse fagområdene til å sikre informasjonsbehandlingen. Dette vil vi ta opp i et kommende Temahefte nr. 6. Vi har valgt å innrette temaserien slik at den kan støtte ulike ambisjonsnivåer i arbeidet med informasjonssikkerhet. Valg av ambisjonsnivå vil komme til syne gjennom måten endringsarbeidet drives på. De to ytterpunktene er: En tradisjonell ekspertprosess basert på f.eks Temahefte 2 og 3, der resultatene meddeles resten av organisasjonen gjennom retningslinjer og krav. En prosess med bred deltakelse og involvering fra brukersiden, slik det er skissert i Temahefte 4 og 5, der det legges stor vekt på å høyne bevissthetsnivået til hele organisasjonen m.h.t sikker informasjonsbehandling. 13

HANDLINGSPLAN VED BRUK AV TEMASERIEN Mål, omfang og avgrensing KITHs utgangspunkt for temaserien er innføring og bruk av informasjonsteknologi, og de muligheter og utfordringer dette byr på når det gjelder å innhente, lagre, behandle og kommunisere sensitive helserelaterte personopplysninger. Sikker informasjonsbehandling er i denne sammenhengen ikke bare en forutsetning for, men også en støtte for en målrettet, effektiv og tillitvekkende anvendelse av IT i organisasjoner i helsevesenet. Effektmål KITHs arbeid med en temaserie om sikker informasjonsbehandling har følgende effektmål: Å sette opp et rammeverk for etablering og vedlikehold av sikker informasjonsbehandling i alle deler av helsevesenet. Resultatmål: temaserien KITHs rolle Resultatmålet er å utarbeide en serie med temahefter som omhandler ulike sentrale aspekter ved problemområdet; fra overordnede problemstillinger som strategi- og policyutvikling og organisering av arbeidet med informasjonssikkerhet, til mer IT-spesifikke problemstillinger som utarbeiding av systemvise sikkerhetspolicyer. Temaseriens viktigste funksjon er å yte "hjelp til selvhjelp". KITH vil i et begrenset omfang være interessert i å innta rollen som prosesskonsulent, bl.a for å videreutvikle temaserien. For KITH kan en slik deltakelse være med på å videreutvikle vår kompetansen på området, samtidig som vi hjelper virksomhetene til å definere sitt eget ambisjonsnivå og hvordan dette kan nås. Temaserien søker å fokusere på den stadig økende rolle informasjonsteknologi spiller for informasjonshåndtering i helsevesenet. Vi setter særlig fokus på de konsekvenser dette har for personer og organisasjoner i helsevesenet som omgir seg med og råder over informasjonssystemene. Temaserien vil gjenspeile at vi ser på sikker informasjonsbehandling i helsevesenet primært som en sosioteknisk problemstilling, d.v.s som primært er knyttet til samspillet mellom mennesker og organisasjoner i helsevesenet og den informasjonsteknologi disse anvender i sin virksomhet. I tillegg er også problemstillingene rundt sikker informasjonsbehandling nært knyttet til politiske, etiske (inklusive faglig-etiske) og juridiske spørsmål og holdninger. Dette vil naturlig nok også reflekteres i temaheftene. 14

Referanser [CEC93] Commission of the European Communities, DG XIII B. Collaboration in the field of Electronic Signature and Trusted Third Party Services. INFOSEC Workplan '94. Juli 1993. [CGM91] Christensen, G., S. Grønland og L. Methlie. Informasjonsteknologi Strategi, organisasjon, styring. Bedriftsøkonomens forlag. 1991. [DTI93] [Sta93] [SHD96] Department of Trade and Industry, UK. A Code of Practice for Information Security Management. Mars 1993. Statskonsult. IT-sikkerhet i sivil forvaltning. Med vekt på tilgjengelighet og kvalitet. Temahefte, Statskonsult. Desember 1993. Sosial og Helsedepartementet. Mer helse for hver bit. Handlingsplan 1997-2000. Oktober 1996. 15

INTRODUKSJON TIL TEMASERIEN Temahefter i serien Vedlegg A Temaserien sikker informasjonsbehandling i helsevesenet består pr. juni 1997 av følgende temahefter: TH1: Introduksjon til temaserien for ledere og beslutningstakere TH2: Overordnet policy for informasjonssikkerhet i helsesektoren TH3: Utarbeiding av systemvise sikkerhetspolicyer TH4: Rammeverk for organisasjonsutvikling TH5: Mot nye mål! Perspektiver og endringsmetodikk Det er også under utarbeidelse et temahefte (TH6) om bruk av internkontroll og kvalitetssikring i arbeidet med informasjonssikkerhet. Vi vil poengtere at selv om dette er en serie av temahefter, kan hvert av heftene leses uavhengig av de andre. Temaheftene kan bestilles enkeltvis eller ved abonnement, hos KITH, Medisinsk Teknisk Senter, 7005 TRONDHEIM, Tlf 73 59 86 00. Prisen vil være ca kr 100 pr hefte, som hovedsakelig går til å dekke trykkekostnader. Temaserien vil også være tilgjengelig på internett, se http://www.kith.no/ Nå er det på tide å komme i gang! 17

Anbefalt litteratur Barber, B., A. R. Bakker og S. Bengtson (red). Proceedings of the IMIA WG4 Working Conference on Caring for Health Information: Safety, Security and Secrecy. International Journal for Bio-Medical Computing 35 (Suppl. 1). Februar, 1994. Commission of the European Communities (red). Proceedings of the AIM Working Conference on Data Protection and Confidentiality in Health Informatics. IOS Press. Mai, 1991. Department of Trade and Industry, UK. Information Security Management. Introduksjon til "A Code of Practice for Information Security Management." Mars 1993. DNLF Datapolitiske grunnholdninger. 1991. Iversen, K. R. OECD Noen aspekter ved konfidensialitet, kvalitet og tilgjengelighet i medisinske informasjonssystemer. KITHrapport R 5/92. Retningslinjer for informasjonssystemers sikkerhet. 1992. (Norsk utgave ved Statskonsult, 1994.) Solheim, B. og A. Lie. Informasjonsteknologi i helsesektoren. Universitetsforlaget. 1994. 18