Sov trygt med dine journalopplysninger i DocuLive EPJ

Like dokumenter
Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

HVEM ER JEG OG HVOR «BOR» JEG?

Personvern og informasjonssikkerhet ved samhandling

ISO27001 som del av forvaltningen

Ot.prp. nr. 51 ( )

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Formidling av pasientinformasjon ny lovgivning (i forbindelse med pasientbehandling) NSH

Status Riksrevisjonens undersøkelser om helseforetakenes ivaretakelse av elektroniske pasientjournaler (EPJ) vedlegg til styresak

Behov for oppdatering av EPJ standard som følge av regelverksendringer mv

Praktiske løsninger for utveksling av. 21. oktober 2005

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Ny lov nye muligheter for deling av pasientopplysninger

Høringsnotat: Enklere tilgang til helseopplysninger for kvalitetssikring av helsehjelp og egen læring

Sikkerhetskrav for systemer

Endelig kontrollrapport

Informasjonsdilemmaet ved vanskelig beslutninger

Kontrollkomité. Årlig egenevaluering. Audit Committee Institute. kpmg.no SELSKAP, TJENESTE 1

Informasjonssikkerhet

Kontroll av oppslagslogger i EPJ ved hjelp av mønstergjenkjenning

Lederundersøkelsen 2017

Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10.

Utfordringer med medisinsk-teknisk utstyr og informasjonssikkerhet. Barbro Salte, Medisinsk teknologi og e-helse, Akershus Universitetssykehus HF

Styresak /3 Samarbeid om felles journal i Helse Nord - informasjon

Personvern og tilgang i journal Internt & Eksternt. Helge Veum, senioringeniør HelsIT, Trondheim, 25. september 2008

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Bedre helse og sikkerhet med EPJ

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud


Beslutta tilgang - Implisitte & Eksplisitte tiltak for journaloppslag


Tilgangskontroll i fugleperspektiv Tilgangskontroll i IT-systemer de fire A-er Administrasjon Autentisering Autorisasjon Audit (etterhåndskontroll) Av

Plan for forvaltningsrevisjon

Rettslig regulering av helseregistre. Dana Jaedicke juridisk rådgiver E-post:

Svar på høring: Forslag til forskrift om informasjonssikkerhet, tilgangsstyring og tilgang til helseopplysninger i behandlingsrettede helseregistre

Personvern og tilgang på tvers. Hva mener KITH?

Informasjonssikkerhet, personvern og tilgangsstyring

Avtale om samhandling mellom Dønna kommune og Helgelandssykehuset HF. Tjenesteavtale 9. Samarbeid om IKT-løsninger lokalt

Tjenesteavtale 9 Samarbeid om IKT-løsninger lokalt

SAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET

Hvordan kan personvernet ivaretas i helsesektoren?

Analyse av redegjørelser for eierstyring og selskapsledelse på OSE / OBX

Deres ref. Deres dato Vår ref. Vår dato /ASD /10ToNy

IT i helse- og omsorgssektoren Stortingsmelding om ehelse

Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato:

Sikkerhetskrav for systemer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/ / /CGN 9. april 2013

Lovlig journalbruk Oppslag i og bruk av Pasientjournalen

Høring av forslag til forskrift om informasjonssikkerhet, tilgangsstyring og tilgang til helseopplysninger i behandlingsrettede helseregistre

Ny lovgivning nye muligheter. Normkonferansen 2014 Rica Holmenkollen Park Hotell, Oslo, 14. oktober 2014 Erik M. Hansen, adm. dir.

Sikkerhetskrav for systemer

Se, de snakker sammen!

S WI p2./(s. II 41")-86/ )0 ffi9m. Avtale om samhandling mellom Herøy kommune og Helgelandssykehuset HF

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning.

Bjørn Nilsen, IT-leder Helse Nord RHF

Helse- og omsorgsdepartementet St.meld. nr Samhandlingsreformen

Én innbygger én journal

Om utarbeidelse av forslag til lovendringer som kan sikre helsepersonell tilgang til nødvendig informasjon. Rådgiver Nina Fladsrud

HelsIT 2013 Trondheim Kjellaug Enoksen, sykehjemsoverlege, Askøy kommune spes. indremedisin, infeksjonssykdommer og samfunnsmedisin.

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

STYRESAK. DATO: SAKSBEHANDLER: Brad Folsom SAKEN GJELDER: Informasjonssikkerhet i Helse Stavanger HF ARKIVSAK: 18/2 STYRESAK: 52/18

Lovfortolkning - Helsepersonelloven 29c - Opplysninger til bruk i læringsarbeid og kvalitetssikring

Innsatsområder nasjonalt nivå i helsetjenesten Nasjonalt meldingsløft Kjernejournal Helsepolitiske mål E-resept Helseportal Helseregistre EPJ Velferds

Pasienter vil ha mer digitalt nå! Eli Arild, pasient Tove Sørensen, prosjektleder Helse Nord e-helse 2019, Oslo, mai 2019

Bruk av pasientjournal og personvern. Helge Veum, senioringeniør DRG-forum, Gardermoen 8. mars 2011

BEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Endelig kontrollrapport

innhente taushetsbelagte helseopplysninger. Setningen burde derfor omformuleres.

Sverre Engelschiøn. Oslo 19. Mai 2008

Helsenorge. Enkel brukerveiledning

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO.

Revisjonsutvalgets årsplan

Tilgang på tversdrøm eller virkelighet? Ellen K. Christiansen, juridisk rådgiver, Nasjonalt senter for telemedisin

Hvis helseregisterloven 13 ikke fantes hva så?: Tilgang til journalopplysninger. trengs

Helse- og omsorgsdepartementet. Postboks 8011 Dep OSLO

DRAMMEN KOMMUNE. Postmottak HOD

Hva skjer i helse Sør-Øst?

TRUST-IKT: Først i Norge med felles pasientjournal Hva har vi gjort? Erling Høyem Leder prosjekt og rådgiving

Sertifisering og erfaringer med implementering. Anette Killingrød Kristiansen

Tjenesteavtale nr 9. mellom. Bardu kommune. Universitetssykehuset Nord-Norge HF. Samarbeid om IKT-Iøsninger lokalt

Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger mellom virksomheter

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Saksframlegg. Sørlandet sykehus HF. Informasjonssikkerhet. 1. Styret tar informasjonen om informasjonssikkerhet i helseforetaket til orientering.

Høring EPJ Standard del 2: Tilgangsstyring, redigering, retting og sletting

" Deling og utveksling med pasienter Deling i store foretak Utlevering / deling mellom foretak Legemiddeldeling Kjernejournal

Personvern i Dødsårsaksregisteret Lysebu, 7. november 2011

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Helsenorge. Enkel brukerveiledning

Veiledende merknader til helseregisterloven 13 og helseinformasjonssikkerhetsforskriften

Logo xx kommune. Delavtale j) mellom Xx kommune og Sykehuset i Vestfold HF (SiV HF)

Prosjektplan. Kvalitet i barnehager Forvaltningsrevisjon Karmøy kommune. Mai KARMØY KOMMUNE, FORVALTNINGSREVISJON

Frogn kommune. Oppsummering revisjon. Høsten Kontrollutvalgsmøte 8. desember 2015 AUDIT

Det fremgår av høringsbrevet at: "Formålet med lovforslagene er å fjerne

Tjenesteavtale nr. 9. mellom. Alta kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt

Personvern - Problem eller en grunnleggende demokratisk rett?"

Tilgang til helseinformasjon: Praksis, lov, behov og system

Plikt- og rettssubjekter. Den som har krav på noe, den som har rett på noe. Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort

Registrering og innsamling av helsedata sett opp mot IT - sikkerhet Kvalitetsregisterkonferanse Tromsø

Hvilke krav s+ller sykehuslegen +l si1 IKT- verktøy? Paul Fuglesang, overlege, Ortopedisk avd. Nord- Trøndelag HF

Transkript:

1 Sov trygt med dine journalopplysninger i EPJ Helsepersonell som deltar i behandlingen skal ha all relevant informasjon til rett tid men stengt for alle andre! Tilsynelatende motstridende krav lar seg forene

2 Utfordringen Tilgang til all relevant journalinformasjon (og til å dokumentere behandling) uten forsinkelse for behandlende helsepersonell og ingen tilgang for andre. Løsningen må ikke gi opphav til unødvendig merarbeid Enkelt å formulere og forstå - og krevende å implementere! Siemens holdning er at det må være leverandørenes oppgave å innfri gjeldende lover og forskrifter innenfor dette området

3 Aktuelle lover og forskrifter Personopplysningsloven Personopplysningsforskriften Forskrift om pasientjournal Helseregisterloven Sikkerhetsbestemmelsene i personopplysningsforskriften Norm for informasjonssikkerhet i helsesektoren Rundskriv IS-7/2006 vedr. tilgang til og utlevering av opplysninger i EPJ (SHDir)

4 Fundamenter i s tilgangsløsning Sikker brukerautentisering All journalinformasjon tilgangsstyres enhetlig og konsekvent det finnes ingen alternativer (bakdører), verken i klienten eller via tilkoplede systemer Meget fleksibel og kraftig tilgangskontroll basert på: - Journalobjektets adgangsprofil - Brukerens adgangsprofil - Pasientens kontakt med enheter på sykehuset - Pasientens kontakt med enkeltbrukere Mulighet for å overstyre adgangsprofilen til utvalgte journalobjekter for å understøtte individuell tilgangskontroll av hele eller deler av journaler Til sammen grunnlag for en svært nyansert tilgang

5 Systemstøtte for å åpne tilgang for mottaker

6 Kvalitetssikring av løsningen for tilgangsstyring Forum / møteserie der sikkerhetsansvarlige fra foretakene har deltatt, og som endte opp med et konkret løsningsforslag på gjenstående punkter Kvalitetssikring av løsningen for tilgangsstyring: ISAE 3000 sertifisering!

7 Effektiv bruk av meta-data Arbeidsflytinformasjon kan også understøtte regulering av tilgang Journalsystemet inneholder et vell av opplysninger om selve journalinformasjonen, eksempelvis: Hvem har forfattet et journalnotat Hvem som evt. skal godkjenne det Om opplysningene skal oversendes til en spesialistavdeling i forbindelse med nærmere undersøkelse osv. osv. Ved å benytte slike opplysninger kan systemet i mange sammenhenger "forutse" hvem som trenger / skal ha journalinformasjonen, og derved implisitt utestenge alle andre.

8 Logging av all aktivitet Kraftig verktøy for etterkontroll, og potensielt god preventiv virkning Absolutt alle oppslag (både lesing og skriving) i journalen logges Flere tusen enkeltoppslag og nedtegnelser i minuttet => enormt stor logg! Kraftige verktøy for kontroll av loggene utvikles, herunder mønstergjenkjenning / avviksdetektering kan tilby en kompakt og komplett oversikt over hvem som har vært inne i pasientens journal før, under og etter et opphold.

9

10

Konsekvent og komplett tilgangskontroll både på dokumenter og i dialoger 11

12 ISAE 3000 revisjon / sertifikat International Auditing and Assurance Standards Board (http://www.ifac.org/iaasb/) Første (og hittil eneste) norske EPJ-leverandør med godkjent attestasjon for sitt EPJ-system Trygghet for at systemet lar seg konfigurere helt i henhold til de strenge bestemmelsene i Norge

KPMGs konklusjon ISAE 3000 sertifikat Det er KPMGs oppfatning at EPJ kan settes opp til å følge norsk regelverk i henhold til lov om personopplysninger med tilhørende forskrift, lov om helseregistre mv., forskrift om pasientjournal, Sosial- og Helsedirektoratets rundskriv IS-7/2006, eller norm for informasjonssikkerhet i helsesektoren En faktisk konfigurasjon/implementering hos et gitt helseforetak kan også oppnå attestasjon 2007 KPMG AS, a Norwegian member firm of KPMG network of independent member firms affiliated with KPMG International, a Swiss cooperative. All rights reserved.

14 Oppsummering Meget høye krav og det skal de være! Grundig gjennomgang / kartlegging sammen med klinikere og IT/EPJ sikkerhetsansvarlige i foretakene Løsningen vurdert av anerkjent revisjonsbyrå, og konklusjonen ble en formell ISAE 3000 revisjonserklæring / sertifikat Løsningen er tilgjengelig for våre kunder Q2 2008

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding