Når EPJ implementeres og tas i bruk for alt helsepersonell ved et sykehus hvordan ivaretas informasjonssikkerheten? Else Sandvand Agder University College, Kristiansand S, Norway Svein A. Berntsen Spesialsykehuset for Rehabilitering, SSR, Kristiansand S, Norway
Agenda informasjonssikkerhet utspill fra media tidligere prosjekter masteroppgave metode resultater papirfattig sykehus implementering ivaretakelse av informasjonssikkerhet, datadisiplinerklæring etc. 30.08. Berntsen og Sandvand SHI 2
Bakgrunn Økt bruk av ikt i helse- og sosialsektoren Tidligere prosjekter med fokus på den enkelte databruker, handtering av personvern, informasjonssikkerhet Informasjonssikker helse for hver bite. Samsvarer krav til personvern og informasjonssikkerhet med hvordan brukere på en sykehusavdeling håndterer ikt? Masterprosjekt sundhedsinformatik, 2003 30.08. Berntsen og Sandvand SHI 3
Informasjonssikkerhet Personopplysningsloven + forskrift til loven [Ikrafttredelse 2001-01-01] Helseregisterloven [Ikrafttredelse 2002-01-01] Helsepersonelloven [Ikrafttredelse 2001-01-01] Pasientrettighetsloven [Ikrafttredelse 2001-01-01] Forskrift om pasientjournal [Ikrafttredelse 2001-01-01] Lov om arkiv [Lov av 04,12-1999 nr. 126] 30.08. Berntsen og Sandvand SHI 4
Helsevesen gir blaffen i personvern? Datatilsynet 2002: helsevesenets slappe holdning til datasikkerhet", http://www.dagensmedisin.no/ny " det er ingen hemmelighet at heter/visartikkel.asp?artid=3485 pasientopplysninger mange steder har vært, og er lett tilgjengelige også for grupper som aldri skulle hatt tilgang, journaler på avveie, eller i hendene på nysgjerrig personell 30.08. Berntsen og Sandvand SHI 5
Stadig dagsaktuelt. Avslørte tyvlesing i Anna Lindhs journal okt. 2003. http://www.vardfacket.nu/article.aspx?articleid=11382 http://www.dagensmedisin.no/nyheter/visartikkel.asp?artid=429 6 Ansatte snoker i pasientjournaler mai-2004. http://www.aftenposten.no/nyheter/iriks/article787554.ece 30.08. Berntsen og Sandvand SHI 6
Stadig dagsaktuelt Legevakt får ikke pasientopplysninger http://www.aftenposten.no/forbruker/helse/article590315.ece Forsikringen vil vite alt om degjuni-05 http://www.aftenposten.no/nyheter/iriks/article1067694.ece Må ofre frihet for trygghet http://www.computerworld.no/index.cfm/prioritert/artikkel/id/52 850 30.08. Berntsen og Sandvand SHI 7
Konsekvenser ved svikt i informasjonssikkerhet fare for tap av liv og helse, feilbehandling av pasienter tap av tillitt til befolkningen uautorisert tilgang til sensitive opplysninger 30.08. Berntsen og Sandvand SHI 8
Med tilfredstillende informasjonssikkerhet forstås: at informasjon : ikke er tilgjengelig uten autorisasjon (konfidensialitet), ikke uautorisert kan endres eller slettes (integritet), er tilgjengelig for medarbeidere slik at pålagte oppgaver kan gjennomføres (tilgjengelighet), er korrekt og komplett (kvalitet). 30.08. Berntsen og Sandvand SHI 9
metode kvalitativ tilnærming med fokusgruppe: god til å produsere data om sosiale gruppers fortolkninger, interaksjoner og normer den sosiale interaksjon er kilden til data produserer konsentrerte data om et bestemt fenomen en "behagelig" måte for deltakerne (Halkier, 2003) 30.08. Berntsen og Sandvand SHI 10
Informasjonssikkerhet Informasjonens kvalitet og integritet Konfidensialitet Tilgjengelighet 30.08. Berntsen og Sandvand SHI 11
Temaområde: Lovverk: Avdelingene: Integritet (informasjon er i overensstemmelse med den virkelighet den skal representere. Bare autorisert kan endre informasjon) Personlige helseopplysninger er: -korrekte -konsistente -fyllestgjørende -oppdaterte -gyldig Informasjon er ikke endret eller slettet på en uautorisert måte Skjer at man dokumenterer på feil pasient Ulik holdning for å rette opp feildokumentering Kopiering/klipp og lim informasjon om en pasient fra et journal-notat til et annet og av andre faggrupper Ingen låner passord av hverandre Hyppig skifte av passord Gode utloggingsrutiner Tilgjengelighet (tilgang til nødvendig informasjon når det er nødvendig) Det skal sikres tilgang til personopplysninger hvor tilgjengelighet er nødvendig. Dette omhandler: -tilgang -stabilitet -driftssikkerhet Antall datamaskiner tilgjengelig kan begrense tilgang Utgangspunktet er snevre/smale tilganger. Fleksibilitet for å kunne gjøre arbeidet i forhold til kveld/helgevakter. Tilganger til flere enn de man skal behandle. Høy moral blant terapeutene. Konfidensialitet (informasjon ikke er tilgjengelig for uautoriserte personer eller ikke-godkjente systemer) Tillit Beskytte sensitive personopplysninger. Informasjonen ikke tilgjengelig for andre. Rettmessig behov Personvern logget av. 30.08. Berntsen og Slurver Sandvand ikke SHI med personvern Skriftlig kontrakt mellom arbeidsgiver og den ansatte. Det rapporteres sensitive opplysninger på avvei: vaskeriet, skjermer som ikke er 12
Informasjonens tilgjengelighet Funksjonalitet Personvern 30.08. Berntsen og Sandvand SHI 13
Utfordringer brukerperspektivet: videre tilgang enn nødvendig frihet under ansvar ledelsesperspektivet: ikke-planlagte omrokkeringer sykdom/vikarer 30.08. Berntsen og Sandvand SHI 14
Status SSR Papirfattig sykehus prosjekt alle faggrupper anvender elektronisk journal, EPJ Undervisning/opplæring Datadisiplinerklæring 30.08. Berntsen og Sandvand SHI 15
Datadisiplinerklæring Er en del av arbeidsavtalen som nyansatte må underskrive Omhandler blant annet: påloggingsrutiner handtering av passord feilrapportering etc. 30.08. Berntsen og Sandvand SHI 16
Datadisiplinerklæring Jeg,, er ansatt ved Spesialsykehuset for Rehabilitering, SSR, og påtar meg med dette å overholde foretakets retningslinjer for handtering av sensitive personopplysninger og for bruk av sykehusets ikt-utstyr. Jeg er klar over at jeg er pålagt taushetsplikt. Jeg har således gjort meg kjent med nedenforstående punkter og vil rette meg etter følgende: 1.Bruker- ID (brukernavn) er knyttet til de programmer som er nødvendig for meg i mitt daglige arbeid. Jeg er selv ansvarlig for all registrering som gjøres med min bruker-id, og skal derfor beskytte mine data slik at de er utilgjengelige for uvedkommende. 2.Passord legitimerer meg som rettmessig bruker av min personlige bruker-id. Passordet er personlig, og jeg skal holde det hemmelig for andre. Når jeg får beskjed om å bytte det, skal jeg velge et passord som ikke lett kan knekkes av andre. Jeg oppbevarer passordet på lik linje som min minibankkode. 3.Jeg logger meg ut av sensitive systemer når jeg forlater datamaskinen. Når jeg går for dagen logger jeg meg helt ut og skrur av datamaskinen. Jeg er ansvarlig for at uvedkommende ikke skal få tilgang eller innsyn til systemer og sensitiv informasjon gjennom min datamaskin. 4.Lagringsmedier (for eksempel disketter, cd-plater og papirdokumenter) som inneholder sensitive personopplysninger, skal jeg håndterer på en slik måte at slik informasjon ikke kommer på avveie. For øvrig vises det til den enkeltes forpliktelser etter taushetserklæringen ved SSR. 5.Internett eller e-post skal ikke brukes til å formidle sensitiv informasjon. Det påpekes at søk og nedlasting fra internett ikke må være i strid med norsk lov. Jeg skal ikke installere programvare nedlastet fra internett. 6.Fravær. SSR har ikke adgang til mine nettverksområder eller e-mail uten avtale. Ved langvarig og uforutsigbart fravær der det ikke har vært mulig å gi min godkjennelse på forhånd, gis SSR adgang til mine nettverkssteder, inklusive e-mail. E-mail som SSR forstår eller burde forstå er av privat karakter forblir beskyttet etter reglene om personvern. 7.Rapporter feil når du oppdager brudd på sikkerhet (ved at du for eksempel ser informasjon du ikke skal se). Kontakt it-avdelingen. 8.Innkjøp/installering av utstyr og programvare skal ivaretas av ikt-avdelingen Spesialsykehuset for Rehabilitering, SSR Dato: Signatur: 30.08. Berntsen og Sandvand SHI 17
Konklusjon ansatte ved SSR er opptatt av å etterfølge krav til informasjonssikkerhet/personvern. Hva skyldes dette?: tidligere prosjekt-intervensjoner? fokus på denne området, blant annet manifestert i kvalitetsdokumentasjon? opplæring? ledelse? 30.08. Berntsen og Sandvand SHI 18
Takk for oppmerksomheten! Takk for kjempeflott kurs! Vi møtes til neste år 30.08. Berntsen og Sandvand SHI 19