Når EPJ implementeres og tas i bruk for alt helsepersonell ved et sykehus hvordan ivaretas informasjonssikkerheten?

Like dokumenter
Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

IKT-reglement for Norges musikkhøgskole

Sikkerhetskrav for systemer

HVEM ER JEG OG HVOR «BOR» JEG?

Datasikkerhet internt på sykehuset

Sikkerhetskrav for systemer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Sikkerhetskrav for systemer

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Bedre helse og sikkerhet med EPJ

Nettvett i STFK. Retningslinjer og etiske regler. for bruk av datanett i STFK RETNINGSLINJE FOR INFORMASJONSSIKKERHET. Versjon 1.0.

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato:

Personvern og informasjonssikkerhet

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Studenters tilgang til elektronisk pasientjournal

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Videokonsultasjon - sjekkliste

IKT-reglement for NMBU

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

RETNINGSLINJER FOR ANSATTES BRUK AV IKT-TJENESTER I NORMISJON

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert

Databehandleravtale etter personopplysningsloven

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Kriminalomsorgen. Taushetserklæring

Krav til informasjonssikkerhet

Informasjonssikkerhet

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

Hvilken rolle spiller sikkerhetspolicy for UUS? Heidi Thorstensen IKT-sikkerhetssjef/Personvernombud

Eksempel på datadisiplininstruks

AVTALE OM TILGANG TIL INFORMASJONSSYSTEM FOR MEDARBEIDER SOM IKKE ER ANSATT I ELLER LØNNET AV VIRKSOMHETEN mellom

SIKKERHETSINSTRUKS - Informasjonssikkerhet

Studenters tilgang til elektronisk pasientjournal

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Informasjonssikkerhet

Databehandleravtale digitale arkiv og uttrekk for deponering

Side 2 av 5 helsefaglig virksomhet, administrasjon, egen forskning, studier eller organisasjonsfaglig arbeid i forening ved foretaket. En bruker må ik

Plikt- og rettssubjekter. Den som har krav på noe, den som har rett på noe. Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort

Sverre Engelschiøn. Oslo 19. Mai 2008

Etiske regler for Norske KvanteMedisinere (NKM)

Personvernerklæring Stendi

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

En Vestlending en sykehusjournal. Normkonferansen 2015 Rica Ørnen Hotell, Bergen, 14. oktober 2015 Adm. dir. Erik M. Hansen, Helse Vest IKT

DRAMMEN KOMMUNE. Postmottak HOD

Dokument: Interne regler Ansvarlig: Fredrik Hytten Utarbeidet av: Styret Versjon: mars 2018

Veileder for behandling av personopplysninger og informasjonssikkerhet i idretten

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Helseforskningsrett med fokus på personvern

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Pasientsikkerhet og personvern fra pasientens ståsted

Hvordan kan personvernet ivaretas i helsesektoren?

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

PRAKTISK ARBEID MED RUTINER. Normkonferansen Scandic Ørnen, 15. oktober 2015

Er det mulig å kombinere personvern og god pasientservice? Jan Erik Myrvold, advokat og direktør i Kreditorforeningen Øst SA

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Disposisjon Dokumentasjon av sykepleie Dokumentasjonsplikt Sikker informasjonsbehandling Holdninger Elektronisk dokumentasjon Å ta i bruk ny teknologi

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Normkonferansen 2017 Pasientens stemme

2.4 Bruk av datautstyr, databehandling

Sikkerhetsinstruks bruker

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Proplan Attføring. Personalsystemet for attføringsbedrifter

Styresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon

Avtale om bruk av Modia Arbeidsrettet Oppfølging for deltakere i Kvalifiseringsprogrammet

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Utfordringer med medisinsk-teknisk utstyr og informasjonssikkerhet. Barbro Salte, Medisinsk teknologi og e-helse, Akershus Universitetssykehus HF

BEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning.

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Fagkurs for kommuner Personvern og taushetsplikt (75 minutter)

Informasjonssikkerhet og etikk hvordan henger dette sammen DRI

Nasjonal metode og rammeverk for statistisk analyse av logger fra oppslag i behandlingsrettede helseregistre

Høringsnotat: Enklere tilgang til helseopplysninger for kvalitetssikring av helsehjelp og egen læring

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Hvilken betydning har personvernforordningen på helseområdet

Ot.prp. nr. 51 ( )

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Lovlig journalbruk Oppslag i og bruk av Pasientjournalen

Personvern og CAT. Thomas Marti - Salgsjef, Proplan AS Per Haraldsen - Løsningsarkitekt, Proplan AS

STYRESAK. DATO: SAKSBEHANDLER: Brad Folsom SAKEN GJELDER: Informasjonssikkerhet i Helse Stavanger HF ARKIVSAK: 18/2 STYRESAK: 52/18

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

EPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE. Informasjonssikkerhet Jan Gunnar Broch PMU 2018

Opplæring i informasjonssikkerhet Fem egenutviklete elæringsmoduler

Databehandleravtale etter personopplysningsloven

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

Ledelse og personvern. Forenklet sammendrag av de styrende dokumenter for personvern og informasjonssikkerhet ved Oslo universitetssykehus

Transkript:

Når EPJ implementeres og tas i bruk for alt helsepersonell ved et sykehus hvordan ivaretas informasjonssikkerheten? Else Sandvand Agder University College, Kristiansand S, Norway Svein A. Berntsen Spesialsykehuset for Rehabilitering, SSR, Kristiansand S, Norway

Agenda informasjonssikkerhet utspill fra media tidligere prosjekter masteroppgave metode resultater papirfattig sykehus implementering ivaretakelse av informasjonssikkerhet, datadisiplinerklæring etc. 30.08. Berntsen og Sandvand SHI 2

Bakgrunn Økt bruk av ikt i helse- og sosialsektoren Tidligere prosjekter med fokus på den enkelte databruker, handtering av personvern, informasjonssikkerhet Informasjonssikker helse for hver bite. Samsvarer krav til personvern og informasjonssikkerhet med hvordan brukere på en sykehusavdeling håndterer ikt? Masterprosjekt sundhedsinformatik, 2003 30.08. Berntsen og Sandvand SHI 3

Informasjonssikkerhet Personopplysningsloven + forskrift til loven [Ikrafttredelse 2001-01-01] Helseregisterloven [Ikrafttredelse 2002-01-01] Helsepersonelloven [Ikrafttredelse 2001-01-01] Pasientrettighetsloven [Ikrafttredelse 2001-01-01] Forskrift om pasientjournal [Ikrafttredelse 2001-01-01] Lov om arkiv [Lov av 04,12-1999 nr. 126] 30.08. Berntsen og Sandvand SHI 4

Helsevesen gir blaffen i personvern? Datatilsynet 2002: helsevesenets slappe holdning til datasikkerhet", http://www.dagensmedisin.no/ny " det er ingen hemmelighet at heter/visartikkel.asp?artid=3485 pasientopplysninger mange steder har vært, og er lett tilgjengelige også for grupper som aldri skulle hatt tilgang, journaler på avveie, eller i hendene på nysgjerrig personell 30.08. Berntsen og Sandvand SHI 5

Stadig dagsaktuelt. Avslørte tyvlesing i Anna Lindhs journal okt. 2003. http://www.vardfacket.nu/article.aspx?articleid=11382 http://www.dagensmedisin.no/nyheter/visartikkel.asp?artid=429 6 Ansatte snoker i pasientjournaler mai-2004. http://www.aftenposten.no/nyheter/iriks/article787554.ece 30.08. Berntsen og Sandvand SHI 6

Stadig dagsaktuelt Legevakt får ikke pasientopplysninger http://www.aftenposten.no/forbruker/helse/article590315.ece Forsikringen vil vite alt om degjuni-05 http://www.aftenposten.no/nyheter/iriks/article1067694.ece Må ofre frihet for trygghet http://www.computerworld.no/index.cfm/prioritert/artikkel/id/52 850 30.08. Berntsen og Sandvand SHI 7

Konsekvenser ved svikt i informasjonssikkerhet fare for tap av liv og helse, feilbehandling av pasienter tap av tillitt til befolkningen uautorisert tilgang til sensitive opplysninger 30.08. Berntsen og Sandvand SHI 8

Med tilfredstillende informasjonssikkerhet forstås: at informasjon : ikke er tilgjengelig uten autorisasjon (konfidensialitet), ikke uautorisert kan endres eller slettes (integritet), er tilgjengelig for medarbeidere slik at pålagte oppgaver kan gjennomføres (tilgjengelighet), er korrekt og komplett (kvalitet). 30.08. Berntsen og Sandvand SHI 9

metode kvalitativ tilnærming med fokusgruppe: god til å produsere data om sosiale gruppers fortolkninger, interaksjoner og normer den sosiale interaksjon er kilden til data produserer konsentrerte data om et bestemt fenomen en "behagelig" måte for deltakerne (Halkier, 2003) 30.08. Berntsen og Sandvand SHI 10

Informasjonssikkerhet Informasjonens kvalitet og integritet Konfidensialitet Tilgjengelighet 30.08. Berntsen og Sandvand SHI 11

Temaområde: Lovverk: Avdelingene: Integritet (informasjon er i overensstemmelse med den virkelighet den skal representere. Bare autorisert kan endre informasjon) Personlige helseopplysninger er: -korrekte -konsistente -fyllestgjørende -oppdaterte -gyldig Informasjon er ikke endret eller slettet på en uautorisert måte Skjer at man dokumenterer på feil pasient Ulik holdning for å rette opp feildokumentering Kopiering/klipp og lim informasjon om en pasient fra et journal-notat til et annet og av andre faggrupper Ingen låner passord av hverandre Hyppig skifte av passord Gode utloggingsrutiner Tilgjengelighet (tilgang til nødvendig informasjon når det er nødvendig) Det skal sikres tilgang til personopplysninger hvor tilgjengelighet er nødvendig. Dette omhandler: -tilgang -stabilitet -driftssikkerhet Antall datamaskiner tilgjengelig kan begrense tilgang Utgangspunktet er snevre/smale tilganger. Fleksibilitet for å kunne gjøre arbeidet i forhold til kveld/helgevakter. Tilganger til flere enn de man skal behandle. Høy moral blant terapeutene. Konfidensialitet (informasjon ikke er tilgjengelig for uautoriserte personer eller ikke-godkjente systemer) Tillit Beskytte sensitive personopplysninger. Informasjonen ikke tilgjengelig for andre. Rettmessig behov Personvern logget av. 30.08. Berntsen og Slurver Sandvand ikke SHI med personvern Skriftlig kontrakt mellom arbeidsgiver og den ansatte. Det rapporteres sensitive opplysninger på avvei: vaskeriet, skjermer som ikke er 12

Informasjonens tilgjengelighet Funksjonalitet Personvern 30.08. Berntsen og Sandvand SHI 13

Utfordringer brukerperspektivet: videre tilgang enn nødvendig frihet under ansvar ledelsesperspektivet: ikke-planlagte omrokkeringer sykdom/vikarer 30.08. Berntsen og Sandvand SHI 14

Status SSR Papirfattig sykehus prosjekt alle faggrupper anvender elektronisk journal, EPJ Undervisning/opplæring Datadisiplinerklæring 30.08. Berntsen og Sandvand SHI 15

Datadisiplinerklæring Er en del av arbeidsavtalen som nyansatte må underskrive Omhandler blant annet: påloggingsrutiner handtering av passord feilrapportering etc. 30.08. Berntsen og Sandvand SHI 16

Datadisiplinerklæring Jeg,, er ansatt ved Spesialsykehuset for Rehabilitering, SSR, og påtar meg med dette å overholde foretakets retningslinjer for handtering av sensitive personopplysninger og for bruk av sykehusets ikt-utstyr. Jeg er klar over at jeg er pålagt taushetsplikt. Jeg har således gjort meg kjent med nedenforstående punkter og vil rette meg etter følgende: 1.Bruker- ID (brukernavn) er knyttet til de programmer som er nødvendig for meg i mitt daglige arbeid. Jeg er selv ansvarlig for all registrering som gjøres med min bruker-id, og skal derfor beskytte mine data slik at de er utilgjengelige for uvedkommende. 2.Passord legitimerer meg som rettmessig bruker av min personlige bruker-id. Passordet er personlig, og jeg skal holde det hemmelig for andre. Når jeg får beskjed om å bytte det, skal jeg velge et passord som ikke lett kan knekkes av andre. Jeg oppbevarer passordet på lik linje som min minibankkode. 3.Jeg logger meg ut av sensitive systemer når jeg forlater datamaskinen. Når jeg går for dagen logger jeg meg helt ut og skrur av datamaskinen. Jeg er ansvarlig for at uvedkommende ikke skal få tilgang eller innsyn til systemer og sensitiv informasjon gjennom min datamaskin. 4.Lagringsmedier (for eksempel disketter, cd-plater og papirdokumenter) som inneholder sensitive personopplysninger, skal jeg håndterer på en slik måte at slik informasjon ikke kommer på avveie. For øvrig vises det til den enkeltes forpliktelser etter taushetserklæringen ved SSR. 5.Internett eller e-post skal ikke brukes til å formidle sensitiv informasjon. Det påpekes at søk og nedlasting fra internett ikke må være i strid med norsk lov. Jeg skal ikke installere programvare nedlastet fra internett. 6.Fravær. SSR har ikke adgang til mine nettverksområder eller e-mail uten avtale. Ved langvarig og uforutsigbart fravær der det ikke har vært mulig å gi min godkjennelse på forhånd, gis SSR adgang til mine nettverkssteder, inklusive e-mail. E-mail som SSR forstår eller burde forstå er av privat karakter forblir beskyttet etter reglene om personvern. 7.Rapporter feil når du oppdager brudd på sikkerhet (ved at du for eksempel ser informasjon du ikke skal se). Kontakt it-avdelingen. 8.Innkjøp/installering av utstyr og programvare skal ivaretas av ikt-avdelingen Spesialsykehuset for Rehabilitering, SSR Dato: Signatur: 30.08. Berntsen og Sandvand SHI 17

Konklusjon ansatte ved SSR er opptatt av å etterfølge krav til informasjonssikkerhet/personvern. Hva skyldes dette?: tidligere prosjekt-intervensjoner? fokus på denne området, blant annet manifestert i kvalitetsdokumentasjon? opplæring? ledelse? 30.08. Berntsen og Sandvand SHI 18

Takk for oppmerksomheten! Takk for kjempeflott kurs! Vi møtes til neste år 30.08. Berntsen og Sandvand SHI 19

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding