Personvern og informasjonssikkerhet ved samhandling

Like dokumenter
Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

Personvern og tilgang i journal Internt & Eksternt. Helge Veum, senioringeniør HelsIT, Trondheim, 25. september 2008

Hvordan kan personvernet ivaretas i helsesektoren?

HVEM ER JEG OG HVOR «BOR» JEG?

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Bruk av pasientjournal og personvern. Helge Veum, senioringeniør DRG-forum, Gardermoen 8. mars 2011

Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10.

Tilgangskontroll i fugleperspektiv Tilgangskontroll i IT-systemer de fire A-er Administrasjon Autentisering Autorisasjon Audit (etterhåndskontroll) Av

Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato:

Personvern som hinder eller mulighet. Seniorrådgiver Monica Fornes , Nokios Trondheim

Informasjonssikkerhet, personvern og tilgangsstyring

En Vestlending en sykehusjournal. Normkonferansen 2015 Rica Ørnen Hotell, Bergen, 14. oktober 2015 Adm. dir. Erik M. Hansen, Helse Vest IKT

Norm for Informasjonssikkerhet i Helsesektoren. Tor Ottersen

Behov for oppdatering av EPJ standard som følge av regelverksendringer mv

Ot.prp. nr. 51 ( )

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger mellom virksomheter

Formidling av pasientinformasjon ny lovgivning (i forbindelse med pasientbehandling) NSH

Praktiske løsninger for utveksling av. 21. oktober 2005

Rettslig regulering av helseregistre. Dana Jaedicke juridisk rådgiver E-post:

Personvern og tilgang på tvers. Hva mener KITH?

Synspunkter på Gode helseregistre bedre helse

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning.

Endelig kontrollrapport

Hvilken betydning har personvernforordningen på helseområdet

På tide med sikker samhandling? Helge Veum, avdelingsdirektør Sikkerhet og Sårbarhet 2013, 8. mai 2013

Om utarbeidelse av forslag til lovendringer som kan sikre helsepersonell tilgang til nødvendig informasjon. Rådgiver Nina Fladsrud

Utviklingen av framtidas elektroniske forvaltning hvor går grensen

Kontroll av oppslagslogger i EPJ ved hjelp av mønstergjenkjenning

Fagkurs for kommuner Personvern og taushetsplikt (75 minutter)

Personvern - Problem eller en grunnleggende demokratisk rett?"

Krav til kvalitetsregistre. Helge Veum, senioringeniør 7. september 2010 Kvalitetsregisterkonferansen, Trondheim

Internkontroll og informasjonssikkerhet lover og standarder

Behov for en nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren - hvorfor?

Utfordringer med medisinsk-teknisk utstyr og informasjonssikkerhet. Barbro Salte, Medisinsk teknologi og e-helse, Akershus Universitetssykehus HF

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Sov trygt med dine journalopplysninger i DocuLive EPJ

Betydningen av personvern i helsesektoren. Cecilie L. B. Rønnevik, seniorrådgiver Tromsø 16. juni 2009

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo

Elektronisk tilgang til pasientopplysninger i Norge, EU-land og på tvers av landegrenser

Det skal ikke være lett! Elektronisk sårjournal: Liten brikke i stort spill

Innsatsområder nasjonalt nivå i helsetjenesten Nasjonalt meldingsløft Kjernejournal Helsepolitiske mål E-resept Helseportal Helseregistre EPJ Velferds

Samhandlingsreformen IKT i helse- og omsorgssektoren

" Deling og utveksling med pasienter Deling i store foretak Utlevering / deling mellom foretak Legemiddeldeling Kjernejournal

Én innbygger én journal

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres.

Utvikling og innføring av e-resept

Hvis helseregisterloven 13 ikke fantes hva så?: Tilgang til journalopplysninger. trengs

Høringsnotat: Enklere tilgang til helseopplysninger for kvalitetssikring av helsehjelp og egen læring

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Sikkerhetskrav for systemer

Saksframlegg. Sørlandet sykehus HF. Informasjonssikkerhet. 1. Styret tar informasjonen om informasjonssikkerhet i helseforetaket til orientering.

Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Vår fil:b13aa-013 Vårt arkiv: 402 Saksbeh: Arnfinn Aarnes

SAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET

tilsynmedbarnevern, sosial-oghelsetjenestene VÅR REF: I OUR REF: 2013/820 3 PBØ

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/ / /CGN 9. april 2013

Digital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland

TRUST-IKT: Først i Norge med felles pasientjournal Hva har vi gjort? Erling Høyem Leder prosjekt og rådgiving

Risikogrupper og personvernhensyn hvor viktig er personvern når det gjelder sikkerhet, liv og helse?

Ny lov nye muligheter for deling av pasientopplysninger

Taushetspliktens bakgrunn og begrunnelse hvilke interesser skal taushetsplikten beskytte? Ved førsteamanuensis Bente Ohnstad

Side 1 av 5. Storgata Oslo. Helse- og omsorgsdepartementet Postboks 8011 Dep Oslo

Taushetsplikt. Taushetsrett, opplysningsplikt og meldeplikt. Seniorrådgiver Pål Børresen, Statens helsetilsyn. Nidaroskongressen 21.

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

Strategi for godt personvern i helsesektoren. Juni 2011

Hva skjer i helse Sør-Øst?

Bedre helse og sikkerhet med EPJ

DRAMMEN KOMMUNE. Postmottak HOD

Høringsuttalelse - forslag til forskrift om informasjonssikkerhet, tigangsstyring og tilgang til helseopplysninger i behandlingsrettede helseregistere

Rätt information i vård och omsorg hur fungerar det i norden. Sverre Engelschiøn, fagdirektør i Helse- og omsorgsdepartementet, Norge

Helse- og omsorgsdepartementet. Postboks 8011 Dep OSLO

Felles grunnmur for digitale tjenester. Sikkerhetsinfrastruktur Normkonferansen 2017

Vår referanse: Deres referanse: Dato: 08/ / Saksbehandler: Anne Marie Dalen Øverhaug,

BEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger

Veiledende merknader til helseregisterloven 13 og helseinformasjonssikkerhetsforskriften

IKT og samhandlingsreformen hva gjøres nasjonalt? eforum 23. mars 2011 Trude Andresen Direktør KS Innovasjon og utvikling

Deres ref. Deres dato Vår ref. Vår dato /ASD /10ToNy

Byrådsak 505/08. Dato: 9. desember Byrådet

-= Datatilsynet. 1 Innledning

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Det fremgår av høringsbrevet at: "Formålet med lovforslagene er å fjerne

Pasientjournalloven og helseregisterloven

Svar på høring: Forslag til forskrift om informasjonssikkerhet, tilgangsstyring og tilgang til helseopplysninger i behandlingsrettede helseregistre

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Sviktende tilgangsstyring i elektroniske pasientjournaler?

Hva vet vi om utfordringer og behov rundt personvernhåndtering? En oppsummering av resultater fra en intervjuundersøkelse

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Behandling av helseinformasjon - på kryss og tvers Norsk Arkivråd, Trondheim,

Oversender høring - Digital sårbarhet - sikkert samfunn - NOU 2015:13 Vi viser til Justis- og beredskapsdepartementets brev av 9. desember 2015.

Videokonsultasjon - sjekkliste

Juridiske utfordringer ved innhenting av PROM-data

Helseforskningsrett med fokus på personvern

Datasikkerhet internt på sykehuset

Hvordan bruker pasientene personvernombudet?

Personvern i Dødsårsaksregisteret Lysebu, 7. november 2011

innhente taushetsbelagte helseopplysninger. Setningen burde derfor omformuleres.

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Rettslig regulering av helseregistre

Samhandlingsreformen IKT i helse- og omsorgssektoren

Transkript:

Personvern og informasjonssikkerhet ved samhandling Helge Veum, senioringeniør Dataforeningens frokostmøte om samhandlingsreformen Oslo 29. november 2011 Agenda 1. Innledning 2. Tilgangsstyring 3. Logging 4. Endringene - samhandlingsreformen 5. Datatilsynets strategi for godt personvern i helsesektoren 6. Hjelp 28.11.2011 Side 2

Innledning Personvern mer enn skjerming Det er også godt personvern at opplysningen brukes i samsvar med formålet og den registrertes ønske og at de er tilgjengelige for slik bruk Samtidig som vi ivaretar individets kontroll med opplysninger om seg selv og sikrer at taushetsplikten består Godt personvern skaper tillit 28.11.2011 Side 3 Innledning Mye går bra Fokus i sektoren Øket bevissthet, Loggprosjekter mm Normen og oppfølgingen av normen Helseinformasjonssikkerhetsforskriften Meldingsløftet Utfordrende nye løsninger men det lar seg gjøre Og noe står i beste fall stille 28.11.2011 Side 4

Innledning Målet Vi skal lykkes Med å legge til rette for god praktisk ytelse av helsehjelp, og Ivareta taushetsplikten på en god måte Vi trenger regelverk og systemer som støtter dette Det krever innsats fra flere 28.11.2011 Side 5 Innledning Datatilsynets mål for personvern i helsesektoren nye løsninger og nytt regelverk i sektoren skal ivareta personvernet på en bedre måte, spesielt med hensyn til registerform og individets selvbestemmelse tilgangsstyring og logging i sektoren skal styrkes, og sektoren skal påvirkes til å bidra mer positivt til dette individets mulighet til å ha oversikt og kontroll med opplysninger om seg selv skal styrkes, og det skal legges bedre til rette for at individet kan benytte sine rettigheter 28.11.2011 Side 6

Innledning Datatilsynets syn på samhandling Datatilsynet vil ikke hindre leger i å utveksle nødvendige opplysninger når det trengs i pasientbehandlingen Datatilsynet er ikke imot en samtykkebasert kjernejournal Datatilsynet synes ikke dagens løsninger for kommunikasjon innen sektoren er tilfredsstillende, og er for at man lager løsninger som er tilpasset det konkrete behovet i de ulike behandlingssituasjoner kjernejournal, meldingsutveksling, tilgang på tvers.. 28.11.2011 Side 7 2. Tilgangsstyring Konfidensialitetssikring i praksis Sikkerhetsbestemmelsene helseregisterlovens 16 jf POF 2-11 Helseregisterlovens 13 om tilgang til helseopplysninger Krav om nødvendighet Krav om samsvar med taushetsplikten Det blir nå gitt forskrifter Elendig tilgangsstyring er i konflikt med både 13 og 16 28.11.2011 Side 8

Tilgangsstyring Hva er viktig? At journalen behandles med respekt TAUSHETSPLIKTEN At journalen er tilgjengelig ved behov Tilgjengelighet At journalen ikke er tilgjengelig utover behov konfidensialitet At journalen er til å stole på Kvalitet & Integritet 28.11.2011 Side 9 Tilgangsstyring Krav om taushetsplikt og nødvendighet Unødvendig! [Datatilsynet og Helsetilsynet] I samsvar med taushetsplikten? [Helsetilsynet] Nødvendig og innenfor taushetsplikten 28.11.2011 Side 10

Tilgangsstyring Status For mange har tilgang til for mye En funksjonell tilgangsstyring må på plass Kombinasjon av vid tilgang og liten evne til å avdekke uautoriserte oppslag Det kreves systemendringer Tilgang må i større grad følge prosessene Prosesstyrt, flytorientert, beslutningsstyrt 28.11.2011 Side 11 3. Logging Vi er på vei fra tilstanden: Fraværende, Ubrukelige, eller Ubrukte Til noe som er langt bedre I dag er loggen stort sett Slått på, og Egnet for av bekrefte eller avkrefte mistanke 28.11.2011 Side 12

Logging Veien videre Mot et verktøy for å avdekke uautorisert bruk Loggene må brukes i sikkerhetsarbeidet Logganalyse er nøkkelen Det er viktig at vi lykkes med prosjektene Regelbasert, profilbasert eller en kombinasjon - Det er målet som teller Viktig å også ivareta de ansatte Klare rammer Informasjon Begrense inngrepet mest mulig 28.11.2011 Side 13 4. Endringene Hva nå - Samhandlingsreformen Ny forskrift Tilgang på tvers blir tillatt Kjernejournal Hva innebærer det i praksis? 28.11.2011 Side 14

Endringene Hva nå - Internt Ingen lettelser Klarere krav En skjerpelse? Bl.a. krav om Strukturering Bruk av kvalifiserte sertifikater 28.11.2011 Side 15 Endringene Hva nå Samhandling Den planlagte rutinemessige kommunikasjonen => Fortsatt meldinger Få det på plass! Etter Datatilsynets syn må lokal sikkerhet spille en sentral rolle for sikker bruk av kjernejournal og tilgang på tvers For tilgang på tvers forankret i forskriften 6 og 14 Der hvor pasienten er kan vi Styre tilgangen Følge opp bruken av tilgangen 28.11.2011 Side 16

Endringene Hva nå Samhandling Dere må få på plass lokal tilgangsstyring og logging Bruk av fremtidens verktøy forutsetter dette Knytning mot lokale fagsystemer er også hensiktsmessig for bruken av systemene (antar vi) Bygg personvern inn i løsningene fra starten 28.11.2011 Side 17 Endringene Hva nå i praksis bør kjernejournalen være en fane i journalsystemet? (for klinikeren) Ser om det finnes en kjernejournal Samtykke før en går inn Mer brukervennlig enn å forholde seg til et eget system På kjøpet får vi lokal styring og kontroll En portalbasert løsning kan evt. være et steg på veien 28.11.2011 Side 18

Endringene Hva nå i praksis bør Tilgang til andres system bør foregå gjennom eget journalsystem Lokal støtte for innhenting av samtykke Mer brukervennlig enn å forholde seg til sitt eget system På kjøpet får vi lokal styring og kontroll Bruk av egen virksomhets tilgangsstyring er en hovedregel etter forskriftens 14 28.11.2011 Side 19 28.11.2011 Side 20

6. Sektoren trenger hjelp Det er ikke bare enkelt å være helseforetak, kommune, legekontor eller leverandør. Dere trenger hjelp til å få klarhet i Hva en strukturert journal innebærer (Nei den er nok ikke strukturert i dag) Hvilken tilgang er det faktisk akseptabelt å gi? Fortutsatt at en ikke oppnår et 1:1 forhold behandler pasient Godkjenningsløpet for journalsystemer Normen 28.11.2011 Side 21 Sektoren trenger hjelp til å ta seg sammen Få på plass tilgangsstyring Få på plass logging Få på plass meldingsutveksling Bruk mulighetene som regelverket gir til å få på plass god samhandling internt og eksternt Forstå at god samhandling og personvern ikke er motsatte størrelser 28.11.2011 Side 22

Takk for oppmerksomheten! 28.11.2011 Side 23

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding