IKT sikkerhetsleder Informatiker (og pragmatiker) Voksen, men fortsatt i stand til å være uansvarlig

Like dokumenter
Utkast til forskrift om håndtering av medisinsk utstyr

MTU og IKT - muligheter og utfordringer. Geir-Erlend Myhre Johansen IT-koordinator MTA St. Olavs Hospital

Sikkerhetskrav for systemer

HVEM ER JEG OG HVOR «BOR» JEG?

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

QA Regulatory Forum 5. april medical devices - medisinsk utstyr MDR & IVDR, classification ++ government perspective

regelverket for medisinsk utstyr og legemiddelverkets rolle som fagmyndighet.

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Vår ref: Deres ref: Saksbehandler: Dato: 2012/ / / /HVE Sverre Uhlving

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Normens krav og anbefalinger fra kravspek til innføringsprosjekt. 31. oktober 2018

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Nasjonal fagmyndighet for medisinsk utstyr

Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato:

Utfordringer med medisinsk-teknisk utstyr og informasjonssikkerhet. Barbro Salte, Medisinsk teknologi og e-helse, Akershus Universitetssykehus HF

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Veileder til forskrift om håndtering av medisinsk utstyr

Prosedyre for personvern

Introduksjon av nye produkter hva er viktig å være oppmerksom på?

Personvern - sjekkliste for databehandleravtale

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Haraldsplass. Svar på varsel om vedtak - Uautorisert uthenting av helseopplysninger gjennom leverandørenes fjerntilgang.

Omgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Når du skal handle noe fra nettbutikken, må du oppgi følgende opplysninger:

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Elektronisk pasientjournal -

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Varsel om vedtak fra Datatilsynet - Overtredelsesgebyr

Krav til informasjonssikkerhet

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

SAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET

Normens veileder for Informasjonssikkerhet og personvern - medisinsk utstyr. 14. mars 2018

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale for NLF-medlemmer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak

Videokonsultasjon - sjekkliste

Håndteringsforskriften i praksis for gjenbruksinstrumenter. Avdeling for medisinsk utstyr og legemidler

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Hvordan kan personvernet ivaretas i helsesektoren?

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

PERSONVERNPOLICY Slik behandler ABAX personopplysninger

TILSYNSRAPPORTERING FRA HELSE STAVANGER HF PR. MAI 2018

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Ny pasientjournallov endringer og muligheter

Ny lov nye muligheter for deling av pasientopplysninger

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Plikt- og rettssubjekter. Den som har krav på noe, den som har rett på noe. Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort

Databehandleravtaler

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

Ny lovgivning nye muligheter. Normkonferansen 2014 Rica Holmenkollen Park Hotell, Oslo, 14. oktober 2014 Erik M. Hansen, adm. dir.

Bilag 7. Helse Midt-Norge RHF. Strategiske hovedmål HMN

Ny personvernforordning trer i kraft i mai 2018

Pasientens helsetjeneste - utfordringer og prioriteringer for ledere

Endelig kontrollrapport

BRUKERVEILEDNING TIL TRINN 1 - Datakartlegging

Styret Helse Sør-Øst RHF 14. desember 2017

Pasientjournalloven - endringer og muligheter

Revisjonsdato: 18. desember 2014 Rapportdato: 6. mars 2015 (utkast), 25. mars 2015 (endelig, godkjent versjon)

MTU - Krav til informasjonssikkerhet

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Saksframlegg. Saksgang: Styret Sykehuspartner HF 5. februar 2019 SAK NR DRIFTSORIENTERINGER FRA ADMINISTRERENDE DIREKTØR. Forslag til vedtak

Normens veileder for Informasjonssikkerhet og personvern - medisinsk utstyr. Åpent med.tek. kurs 30. oktober 2018

Forskning basert på data fra Norsk pasientregister: Muligheter og utfordringer

Bilag 14 Databehandleravtale

Styresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom

Møtesaksnummer 43/09. Saksnummer 09/41. Dato 25. august Kontaktperson Ånen Ringard. Sak Oppfølging av tidligere saker og vedtak i Nasjonalt råd

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Endelig kontrollrapport

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Informasjonssikkerhet

Bedre kvalitet på medisinsk koding: et samarbeidsprosjekt mellom helseforetak og Helsedirektoratet

Lovvedtak 75. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( )

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Juridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål

Personvern i helsesektoren - sett fra Personvernnemnda

Personvernerklæring for EVUweb - søkere

Nytt fra departementet

KONGELIG RESOLUSJON. Helse- og omsorgsdepartementet Statsråd: Bent Høie Dato: 1. mars 2019

Personvern og velferdsteknologi

TRUST-IKT: Først i Norge med felles pasientjournal Hva har vi gjort? Erling Høyem Leder prosjekt og rådgiving

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/ / /CGN 9. april 2013

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

Transkript:

DAGEN DA MEDISINSK UTSTYR BLE «ALLEMANNSEIE»!

Hvem er vi? Kenneth E Oppedal IKT sikkerhetsleder Informatiker (og pragmatiker) Voksen, men fortsatt i stand til å være uansvarlig Svein Medås Seksjonsleder Medisinsk teknisk avdeling Voss sjukehus

Noen fakta Helse Vest RHF eier av seks helseforetak i regionen og konsernledelse for foretaksgruppen. I tillegg eier Helse Vest IKT-selskapet Helse Vest IKT AS. Det er rundt 50 ansatte i Helse Vest RHF, som er plassert på Forus i Stavanger kommune. Sørger for at ca. 1,1 million innbyggere i regionen får de spesialisthelsetjenestene de har krav på. Helse Bergen HF Haukeland universitetssykehus har ca. 12.000 ansatte som hver dag har som mål å gi best mulig beh andling og pleie til pasientene våre. I 2015 behandlet vi 750 000 pasienter og utdannet 2500 helsearbeidere.

Noen begrep: Databehandlingsansvarlig Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes Databehandler Den som behandler personopplysninger på vegne av den databehandlingsansvarlige Databehandling Enhver bruk av personopplysninger, som f. eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter Databehandleravtale Inngås når en virksomhet skal behandle personopplysninger på vegne av en annen

Det startet som en helt vanlig dag i Bergen

Saken kronologisk Mandag 12. mars 2012 brev mottatt på avdeling Tirsdag 13. mars 2012 e-post distribuert internt Onsdag 14. mars 2012 sak meldt til Helsetilsynet Torsdag 15. mars 2012 sak meldt muntlig til DT Fredag 23. mars 2012 sak offentlig på HBE nettsider Mandag 26. mars 2012 varsel om vedtak fra DT Fredag 30. mars 2012 henvendelse fra Helse Vest til GE 12. april 2012 mottatt redegjørelse fra GE 17. april 2012 redegjørelse fra HBE til DT 18. juli 2012 vedtak om pålegg fra DT 18. oktober 2012 klage på vedtak 3. april 2013 DT oversender klage til Personvernnemnda 4. september 2013 Personvernnemnda ber om ytterligere informasjon 23. desember 2013 Personvernnemnda 11. februar 2014 Iverksettelse av Datatilsynets vedtak 26. februar 2014 Svar fra HBE til DT på iverksettelse Juni 2014 Brev sendes til berørte pasienter Juni 2014 Annonsering i media Juni 2014 Kontakttelefon tilgjengelig for berørte pasienter Mai 2016 Opplysninger slettet hos GE*

Fakta om opplysningene 34 133 Tidsperiode: desember 2006 mars 2012 Hva ble hentet ut: Fødselsnummer Alder Vekt Medisinsk prosedyre Mammografiprogrammet 27 196 Alle norske kvinner i en spesifikk aldersgruppe inviteres til mammografiscreening av Kreftregisteret. Registeret sender opplysninger til sykehuset og disse legges inn i vårt utstyr. Ingen kliniske opplysninger om disse kvinnene

Noen dypdykk Helse Bergen sin vurdering av omfang og innhold utfordret pålegg fra Datatilsynet Begrenset informasjon Tilbakeføring av data ble vurdert som risikoeksponerende Identifisering av berørte utfordrer ytterligere personvernet Informasjon til berørte kan oppfattes ulikt og i noen tilfeller negativt Datatilsynet opprettholder sitt utgangspunkt og fastholder Helse Bergen sin plikt til å informere Individuell vs kollektiv informasjon Flertall av pasienter knyttet til nasjonalt program for mammografiscreening Klage på vedtak er primært knyttet til denne gruppen 115 telefoner Et klart flertall uttrykte bekymring knyttet til at deres fødselsnummer var på avveie i USA

Teknisk utstyr var medisinsk utstyr(mu) nærmere bestemt elektromedisinsk utstyr( EMU)

Norske lover er styrt av EU direktiver. Forskrift om medisinsk utstyr Lov om medisinsk utstyr Forskrift om håndtering av medisinsk utstyr Dei regulerer livsløpet til MU: innkjøp, opplæring, bruk, vedlikehold, kassasjon Tilsynsmyndighet er DSB.

MU og EMU a) medisinsk utstyr: ethvert instrument, apparat, utstyr, programvare, materiale eller annen gjenstand som brukes alene eller i kombinasjon, herunder programvare som av produsenten er tiltenkt å brukes spesielt til diagnostiske og/eller terapeutiske formål og som kreves for riktig bruk, og som er ment å skulle brukes på mennesker med sikte på: 1. diagnostisering, forebygging, overvåkning, behandling eller lindring av sykdom, 2. diagnostisering, kontroll, behandling, lindring eller kompensasjon for skade eller handikap, 3. undersøkelse, utskifting eller endring av anatomien eller av en fysiologisk prosess, eller 4. svangerskapsforebyggelse, og der den ønskede hovedvirkning i eller på menneskekroppen ikke framkalles ved farmakologisk eller immunologisk virkning eller ved å påvirke stoffskiftet, men der slike effekter kan bidra til dets funksjon. b) elektromedisinsk utstyr: ethvert medisinsk utstyr, inkludert systemløsninger, som er avhengig av en elektrisk energikilde for å fungere.

Vedlikehold av MU Eigen godkjenning for å ha service på EMU som krever elektro teknisk utdanning og praksis. Det er Medisinsk Teknisk avdeling som har ansvaret for MU på sjukehuset og ofte det som spesialisthelsetjenesten leverer ut til pasienter for heimebruk.

Mandat GE saka. 1. Kartlegge omfanget av medisinsk utstyr og laboratorieutstyr som er koplet mot eksterne firma. Lage et mest mulig komplett oversikt over disse tilgangane og kven som er utstyrsansvarlig ved MTA. 2. Undersøke vikle eksisterande avtaler om datatilgang som finnes mellom Helse Bergen og aktuelle eksterne firma. 3. Lage forslag til ny databehandlaravtale som skal gjelde for slike datatilganger. 4. Kartlegge lagring av helseopplysningar i medisinsk utstyr og forholdet til aktuelle formelle regler/lover/forskrifter.

Nøkkeltal MU i Helse Bergen Ca. 30 000 registrerte MU. Ca. 4500 forskjellige typer MU. Etter vasking av listene så stod vi igjen med 1000 typer MU fordelt på 170 firma.

Kartleggingsspørsmål. Spørsmål om MTU med tilgang til pasientopplysninger og Helseinformasjonssikkerhetsforskriften Leverandør: Dato: Forklaring av felter som skal fylles ut: Type tilgang On-site: Har deres firma tilgang til pasientopplysninger ved besøk "on-site", f.eks ved service, reparasjon, opplæring, salg, osv Fjerntilgang for feilsøking: Har deres firma fjerntilgang for feilsøking av utstyret, enten direkte eller viderekoplet via annet utstyr? Fjerntilgang for kontinuerlig overvåkning: Har deres firma fjerntilgang for kontinuerlig overvåkning av utstyret, enten direkte eller viderekoplet via via annet utstyr? Behovs-styrt fjerntilgang: Kan fjerntilgang åpnes og lukkes på utstyret av Helse Bergen personell ved behov? Tilgangsnivå Tekniske data: Har deres firma har tilgang til tekniske data lagret på utstyret? Personopplysninger: Har deres firma tilgang til personopplysninger lagret på ustyret? Helseopplysninger: Har deres firma tilgang til helseopplysninger lagret på utstyret, f.eks. bilder, diagnoser, kliniske beskrivelser, DICOM/RIS informasjon, osv? Nedlasting: Lastes det ned person- eller helseopplysninger, direkte eller i tekniske logger? Avtale Er skriftlig avtale inngått med Helse Bergen HF eller Helse Vest IKT som sikrer person- og helseopplysninger? * Hjemmel: helsehjelp, forskning, kvalitet, administrativ støtte, rapportering) Hvis deres firma har utstyr i bruk i Helse Bergen som ikke er inkludert i oversikten, bes det om at dette legges til på listen. Utstyr On-site Fjerntilgang for feilsøking Leverandørtillgang til Medisinsk utstyr Helseinformasjonssikkerhetsforskriften Logging av aktivitet Tilgang Type tilgang (Gjelder både for fjerntilgang og ved personlig oppmøte ved service og reparasjon) Beskriv hvilken funksjonalitet som tilbys for å registrere følgende opplysninger ved bruk av medisinsk teknisk utstyr; - Navn - Rolle - Organisatorisk tilhørighet - Grunnlag for tilgang - Tidspunkt for aktivitet som lesing/skriving/redigering/sletting fjerntilgang Tekniske data Person opplysninger Helse opplysninger Nedlasting HSHF/HVIKT Fjerntilgang for kontinuerlig overvåkning Behovs-styrt av utstyr Tilgang (gjelder både lesetilgang og nedlasting av data) Avtale Beskriv hvilke løsninger som tilbys for tilgangsstyring; - Bruk av roller - Autoriseringsmekanismer - Autoriseringsregister - Autentiseringsmekanismer Kontroll Beskriv hvilke løsning som tilbys for å kunne utføre kontroll med hvem som har hatt tilgang til medisinsk teknisk utstyr Beskriv hvordan fagsystemet kan tilby funksjonalitet for sperring av opplysninger, helt eller delvis, for enkeltindivid eller grupper, med mulighet for å forbigå sperre ved dokumentasjon

Resultat av kartlegging. 109 svar fra Firma. 9 firma hadde fjerntilgang til 99 stk. MU. Det vert lagra personopplysningar i 229 typer MU og av dei lagrer 79 stk. helseopplysningar. Det var ikkje nokon avtaler mellom Helse Bergen og eksterne firma om datatilgang til MU. Vår tjenesteleverandør på IKT er den som gir ut sertifikat basert VPN tilgang og Site to Site tilgang til datanettet. Dei hadde ikkje spesifikk oversikt over kva tilgangar som var mot MU. Me og Helse Stavanger har samarbeida i denne prosessen og har gjennomført 3 stk. møter med firma som har fjerntilgang.

Tiltak. Servicetilgangsavtaler. Databehandleravtaler. Kartleggings spørsmål/kravstilling ved MU anskaffelser.

Oppsiden! (hva godt kunne komme ut av denne saken?) Fokus Oversikt Prioritering Oppmerksomhet fra myndigheter Riksrevisjonen Datatilsynet Helse- og omsorgsdepartementet Direktoratet «en døråpner» En plass i Normen! +++

Lenke til saken hos Datatilsynet

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding