Personvern og informasjonssikkerhet ved samhandling Helge Veum, senioringeniør Dataforeningens frokostmøte om samhandlingsreformen Oslo 29. november 2011 Agenda 1. Innledning 2. Tilgangsstyring 3. Logging 4. Endringene - samhandlingsreformen 5. Datatilsynets strategi for godt personvern i helsesektoren 6. Hjelp 28.11.2011 Side 2
Innledning Personvern mer enn skjerming Det er også godt personvern at opplysningen brukes i samsvar med formålet og den registrertes ønske og at de er tilgjengelige for slik bruk Samtidig som vi ivaretar individets kontroll med opplysninger om seg selv og sikrer at taushetsplikten består Godt personvern skaper tillit 28.11.2011 Side 3 Innledning Mye går bra Fokus i sektoren Øket bevissthet, Loggprosjekter mm Normen og oppfølgingen av normen Helseinformasjonssikkerhetsforskriften Meldingsløftet Utfordrende nye løsninger men det lar seg gjøre Og noe står i beste fall stille 28.11.2011 Side 4
Innledning Målet Vi skal lykkes Med å legge til rette for god praktisk ytelse av helsehjelp, og Ivareta taushetsplikten på en god måte Vi trenger regelverk og systemer som støtter dette Det krever innsats fra flere 28.11.2011 Side 5 Innledning Datatilsynets mål for personvern i helsesektoren nye løsninger og nytt regelverk i sektoren skal ivareta personvernet på en bedre måte, spesielt med hensyn til registerform og individets selvbestemmelse tilgangsstyring og logging i sektoren skal styrkes, og sektoren skal påvirkes til å bidra mer positivt til dette individets mulighet til å ha oversikt og kontroll med opplysninger om seg selv skal styrkes, og det skal legges bedre til rette for at individet kan benytte sine rettigheter 28.11.2011 Side 6
Innledning Datatilsynets syn på samhandling Datatilsynet vil ikke hindre leger i å utveksle nødvendige opplysninger når det trengs i pasientbehandlingen Datatilsynet er ikke imot en samtykkebasert kjernejournal Datatilsynet synes ikke dagens løsninger for kommunikasjon innen sektoren er tilfredsstillende, og er for at man lager løsninger som er tilpasset det konkrete behovet i de ulike behandlingssituasjoner kjernejournal, meldingsutveksling, tilgang på tvers.. 28.11.2011 Side 7 2. Tilgangsstyring Konfidensialitetssikring i praksis Sikkerhetsbestemmelsene helseregisterlovens 16 jf POF 2-11 Helseregisterlovens 13 om tilgang til helseopplysninger Krav om nødvendighet Krav om samsvar med taushetsplikten Det blir nå gitt forskrifter Elendig tilgangsstyring er i konflikt med både 13 og 16 28.11.2011 Side 8
Tilgangsstyring Hva er viktig? At journalen behandles med respekt TAUSHETSPLIKTEN At journalen er tilgjengelig ved behov Tilgjengelighet At journalen ikke er tilgjengelig utover behov konfidensialitet At journalen er til å stole på Kvalitet & Integritet 28.11.2011 Side 9 Tilgangsstyring Krav om taushetsplikt og nødvendighet Unødvendig! [Datatilsynet og Helsetilsynet] I samsvar med taushetsplikten? [Helsetilsynet] Nødvendig og innenfor taushetsplikten 28.11.2011 Side 10
Tilgangsstyring Status For mange har tilgang til for mye En funksjonell tilgangsstyring må på plass Kombinasjon av vid tilgang og liten evne til å avdekke uautoriserte oppslag Det kreves systemendringer Tilgang må i større grad følge prosessene Prosesstyrt, flytorientert, beslutningsstyrt 28.11.2011 Side 11 3. Logging Vi er på vei fra tilstanden: Fraværende, Ubrukelige, eller Ubrukte Til noe som er langt bedre I dag er loggen stort sett Slått på, og Egnet for av bekrefte eller avkrefte mistanke 28.11.2011 Side 12
Logging Veien videre Mot et verktøy for å avdekke uautorisert bruk Loggene må brukes i sikkerhetsarbeidet Logganalyse er nøkkelen Det er viktig at vi lykkes med prosjektene Regelbasert, profilbasert eller en kombinasjon - Det er målet som teller Viktig å også ivareta de ansatte Klare rammer Informasjon Begrense inngrepet mest mulig 28.11.2011 Side 13 4. Endringene Hva nå - Samhandlingsreformen Ny forskrift Tilgang på tvers blir tillatt Kjernejournal Hva innebærer det i praksis? 28.11.2011 Side 14
Endringene Hva nå - Internt Ingen lettelser Klarere krav En skjerpelse? Bl.a. krav om Strukturering Bruk av kvalifiserte sertifikater 28.11.2011 Side 15 Endringene Hva nå Samhandling Den planlagte rutinemessige kommunikasjonen => Fortsatt meldinger Få det på plass! Etter Datatilsynets syn må lokal sikkerhet spille en sentral rolle for sikker bruk av kjernejournal og tilgang på tvers For tilgang på tvers forankret i forskriften 6 og 14 Der hvor pasienten er kan vi Styre tilgangen Følge opp bruken av tilgangen 28.11.2011 Side 16
Endringene Hva nå Samhandling Dere må få på plass lokal tilgangsstyring og logging Bruk av fremtidens verktøy forutsetter dette Knytning mot lokale fagsystemer er også hensiktsmessig for bruken av systemene (antar vi) Bygg personvern inn i løsningene fra starten 28.11.2011 Side 17 Endringene Hva nå i praksis bør kjernejournalen være en fane i journalsystemet? (for klinikeren) Ser om det finnes en kjernejournal Samtykke før en går inn Mer brukervennlig enn å forholde seg til et eget system På kjøpet får vi lokal styring og kontroll En portalbasert løsning kan evt. være et steg på veien 28.11.2011 Side 18
Endringene Hva nå i praksis bør Tilgang til andres system bør foregå gjennom eget journalsystem Lokal støtte for innhenting av samtykke Mer brukervennlig enn å forholde seg til sitt eget system På kjøpet får vi lokal styring og kontroll Bruk av egen virksomhets tilgangsstyring er en hovedregel etter forskriftens 14 28.11.2011 Side 19 28.11.2011 Side 20
6. Sektoren trenger hjelp Det er ikke bare enkelt å være helseforetak, kommune, legekontor eller leverandør. Dere trenger hjelp til å få klarhet i Hva en strukturert journal innebærer (Nei den er nok ikke strukturert i dag) Hvilken tilgang er det faktisk akseptabelt å gi? Fortutsatt at en ikke oppnår et 1:1 forhold behandler pasient Godkjenningsløpet for journalsystemer Normen 28.11.2011 Side 21 Sektoren trenger hjelp til å ta seg sammen Få på plass tilgangsstyring Få på plass logging Få på plass meldingsutveksling Bruk mulighetene som regelverket gir til å få på plass god samhandling internt og eksternt Forstå at god samhandling og personvern ikke er motsatte størrelser 28.11.2011 Side 22
Takk for oppmerksomheten! 28.11.2011 Side 23