Regulering av tilgang til informasjon på tvers av helseforetak Herbjørn Andresen herbjorn.andresen@arkivverket.no Min bakgrunn for dette emnet Tverrfaglig ph.d-avhandling, fra 2010: Tilgang til og videreformidling av helseopplysninger. Regulering og kontroll på tvers av IT-systemer og organisatoriske grenser Avhandlingens hovedvekt: Autorisasjon Utgangspunkt i helseregisterlovens autorisasjonsregel: Bare den databehandlingsansvarlige, databehandlere og den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet, kan gis tilgang til helseopplysninger. Tilgang kan bare gis i den grad dette er nødvendig for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt. 2
Tilgangskontroll i fugleperspektiv Tilgangskontroll i IT-systemer de fire A-er Administrasjon Autentisering Autorisasjon Audit (etterhåndskontroll) Avhandlingens hovedanliggende Hvor egnet som alternativ strategi? Autorisasjonsproblemet det teoretiske dypdykket Hvor god match er mulig mellom det som gir rett til tilgang, og uttrykket for (implementeringen av) informasjonstilgang? Hvor langt unna utgangspunktet både organisatorisk og på tvers av IT-plattformer kan man vite at samme autorisasjon er uttrykk for samme berettigelse? 3 Lovendringer, 16. juni 2009 Underveis i arbeidet (2009): Stortinget vedtok noen viktige endringer, som åpnet for tilgang på tvers Resultat av langvarig faglig og politisk arbeid for å fjerne juridiske hindringer for informasjonsdeling Lovendringene er i kraft fra samme dato, MEN: I praksis avhengige av forskrifter før de har reell effekt Den ene, helseinformasjonssikkerhetsforskriften, er nå vedtatt (24. juni 2011), men har ikke trådt i kraft ennå To andre forskrifter, om formalisert arbeidsfellesskap, og om virksomhetsovergripende behandlingsrettede helseregistre, er ikke sendt på høring ennå 4
Oppmyking av virksomhetsbegrensningen A B A B A B Overføring/utlevering (var også tillatt før) A B Formalisert arbeidsfellesskap Sugerørsprinsippet A B? Pas. Fellessystem Pasientstyrt samhandling 5 Lovendringene var politisk betente Reelt dilemma, som alle ser: Moderne, effektiv helsehjelp har betydning for organiseringen av behandlingsforløpene Samtidig er regler, metoder og muligheter for kontroll med informasjonsflyten nært knyttet til virksomhetenes rekkevidde Stortinget aksepterte foreslåtte lovendringer i grove trekk, men la selv til noen ekstra begrensninger Oppslag på tvers av virksomhetsgrenser kan bare gjelde én pasient om gangen Krav til eksplisitt samtykke Den registrerte (pasienten) har rett til innsyn i logg ( ) om hvem som har hatt tilgang til opplysningene 6
Helseinformasjonssikkerhetsforskriften Litt trang fødsel: Utkast til forskrift på høring mai-september 2010 Nokså kraftig medfart i høringsrunden (streng + vanskelig) Forskriften slik den ble vedtatt i juni i år Omtrent like streng Mindre omfang, omtrent halvert fra utkastet Mindre stram struktur enn i utkastet som var på høring Kapittelinndelingen er borte Noen av reglene er mindre tydelige Kanskje enklere å forstå for de som ikke er vant til denne typen regelverk? 7 Ikke i stedet for annet regelverk Generelle krav til styringssystem for informasjonssikkerhet gjelder fremdeles Helseregisterloven 16, personopplysningsloven 13, personopplysningsforskriften kapittel 2 Risikobasert, balansere hensynene til konfidensialitet, integritet og tilgjengelighet, krav til planlagte og systematiske tiltak Helseinformasjonssikkerhetsforskriften dupliserer ikke disse generelle kravene Konkretiseringer som også gjelder innen egen virksomhet Tilleggskrav som må tilfredsstilles for at tilgang på tvers av virksomheter skal være tillatt 8
Autentisering temmelig barske krav Forbud mot fellesbrukere/delte brukeridenter Har ikke vært et absolutt krav i pof, og heller ikke i ISO 27002 Dette forbudet er i tråd med Normen Krav til at brukere (også interne brukere!) autentiserer seg med personlig kvalifisert sertifikat eller en annen tilsvarende sikker autentiseringsløsning Må kunne vise at alternativet gir tilsvarende sikkerhet Kravet til personlig, kvalifisert sertifikat vil også i praksis innebære et forbud mot fellesbrukere 9 Autorisasjon enda strengere? Krav til historisk register over autorisasjoner Autorisasjon skal gjelde en person i en rolle Hva som menes med rolle er ikke definert i forskriften Er det bare profesjonen? (lege, sykepleier, radiograf etc.) Eller er det profesjon + avdeling (/post /behandlingsprosess...)? Autorisasjoner skal også være beslutningsbaserte Skal følge av en konkret beslutning om å yte helsehjelp Kravet om konkret beslutning kan fravikes, dersom det på annen måte kan sikres at det ikke gis tilgang til flere opplysninger enn det som er nødvendig og relevant ut fra formålet med tilgangen dette unntaket var ikke tilstede i utkastet 10
Krav til avtaler mellom virksomhetene I tillegg til de generelle betingelsene, for intern tilgang, må tilgang på tvers også forankres i avtaler For så vidt i tråd med annet regelverk Pof2-15 Normen Er dette reelle bilaterale avtaler, med et innhold som to og to virksomheter arbeider seg frem til? Neppe, det ville bli nærmest håpløst å administrere Mer sannsynlig at det vil dreie seg om sterkt standardiserte avtalemodeller, med take it or leave it betingelser Forskriften sier ikke i seg selv noe om hvordan dette skal foregå 11 Hva innebærer dette? en liten skisse Sykehus S1 Pasient P (var her for 7 mnd siden) Sykehus S2 Pasient P (er her nå) Lege L (behandler P ved S2) Konkret forløp: P gir samtykke, L leser om P hos S1 Forutsetninger: Avtale mellom S1 og S2 (omfatter sikkerhetsløsningen, og avgrensning av hvilke strukturerte opplysninger som omfattes) S2 har gitt L autorisasjon for eksterne tilganger L har tilgang til P i S2 (eller alternativt: er autentisert og autorisert i S1) Noe uklarhet om autentiseringskravet: Må S1 også etterprøve at L er tilstrekkelig autentisert, dersom han er gyldig pålogget hos S2?? 12
Krav til dokumentasjon og logging etc. Krav om dokumentasjon av tilgangen Eksisterer også i generell form fra før Visse minimumskrav til dokumentasjonen hvem, når, og hvorfor tilgang er gitt etc. Skal inngå som del av registeret, minstekravene til dokumentasjon skal altså inn i databasene Innfører også en konkret plikt til å kontrollere hvem som faktisk har hatt elektronisk tilgang til opplysninger Informere Datatilsynet og Statens helsetilsyn dersom noen kan(!) ha tilegnet seg helseopplysninger urettmessig Pasienten skal også informeres 13 Gjør denne forskriften Normen overflødig? NEI Helseinformasjonssikkerhetsforskriften anviser en del konkrete tiltak som må følges, men den gir ikke uten videre et harmonisert sikkerhetsnivå Et av Normens viktigste bidrag: Den setter felles kriterier for aksept av risiko for alle virksomheter. Helseinformasjonssikkerhetsforskriften og personopplysningsforskriften har bare krav til å kjenne annen parts sikkerhetsmål Normen har flere lag med ulik detaljeringsgrad, (norm, veiledere, faktaark ) noe som er hensiktsmessig for virksomheter av så ulik størrelse og kompleksitet Forskriftsformen er ikke særlig egnet for en slik lagdeling 14