Tilgangskontroll i fugleperspektiv Tilgangskontroll i IT-systemer de fire A-er Administrasjon Autentisering Autorisasjon Audit (etterhåndskontroll) Av

Like dokumenter
HVEM ER JEG OG HVOR «BOR» JEG?

Ot.prp. nr. 51 ( )

Formidling av pasientinformasjon ny lovgivning (i forbindelse med pasientbehandling) NSH

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Endelig kontrollrapport

Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato:

Personvern og informasjonssikkerhet ved samhandling

Innsatsområder nasjonalt nivå i helsetjenesten Nasjonalt meldingsløft Kjernejournal Helsepolitiske mål E-resept Helseportal Helseregistre EPJ Velferds

Veiledende merknader til helseregisterloven 13 og helseinformasjonssikkerhetsforskriften

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Endelig kontrollrapport

Ny lov nye muligheter for deling av pasientopplysninger

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Endelig kontrollrapport

Pasientjournalloven - endringer og muligheter

Videokonsultasjon - sjekkliste

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer

FORSLAG TIL FORSKRIFT OM VERKSEMDOVERGRIPANDE, BEHANDLINGSRETTA HELSEREGISTRE I FORMALISERTE ARBEIDSFELLESSKAP - HØYRING

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

Sikkerhetskrav for systemer

BEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger

Det skal ikke være lett! Elektronisk sårjournal: Liten brikke i stort spill

Høringsnotat: Enklere tilgang til helseopplysninger for kvalitetssikring av helsehjelp og egen læring

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger mellom virksomheter

Personvern og tilgang i journal Internt & Eksternt. Helge Veum, senioringeniør HelsIT, Trondheim, 25. september 2008

Informasjonssikkerhet

Deres ref. Deres dato Vår ref. Vår dato /ASD /10ToNy

HØRINGSUTTALELSE - FORSKRIFT OM INFORMASJONSSIKKERHET, TILGANGSSTYRING OG TILGANG TIL HELSEOPPLYSNINGER

Ny pasientjournallov endringer og muligheter

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Databehandleravtaler

Veiledende merknader til helseregisterloven 13 og forskrift 24. juni nr. 628 om informasjonssikkerhet ved elektronisk tilgang til helseopplysninger i

Behov for oppdatering av EPJ standard som følge av regelverksendringer mv

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

Bruk av databehandler (ekstern driftsenhet)

Rätt information i vård och omsorg hur fungerar det i norden. Sverre Engelschiøn, fagdirektør i Helse- og omsorgsdepartementet, Norge

Kontroll av Follo legevakt Vedtak om pålegg og endelig kontrollrapport

DRAMMEN KOMMUNE. Postmottak HOD

Bruk av databehandler (ekstern driftsenhet)

Pasientjournalloven og helseregisterloven

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Lovvedtak 75. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( )

Hvis helseregisterloven 13 ikke fantes hva så?: Tilgang til journalopplysninger. trengs

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/ / /CGN 9. april 2013

IS-7/2006. Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Krav til sikkerhetsarkitektur for tilgang på tvers av virksomheter (og systemer)

HØRING Forslag til forskrift om tilgang til helseopplysninger mellom virksomheter

Tilgang til helseinformasjon: Praksis, lov, behov og system

Praktiske løsninger for utveksling av. 21. oktober 2005

Fagkurs for kommuner Personvern og taushetsplikt (75 minutter)

Saksframlegg. Sørlandet sykehus HF. Informasjonssikkerhet. 1. Styret tar informasjonen om informasjonssikkerhet i helseforetaket til orientering.

Medisinske kvalitetsregistre - hva betyr nytt lovverk Normkonferansen

Krav til informasjonssikkerhet

Krav til kvalitetsregistre. Helge Veum, senioringeniør 7. september 2010 Kvalitetsregisterkonferansen, Trondheim

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Det juridiske rammeverket for helseregistre

Utfordringer med medisinsk-teknisk utstyr og informasjonssikkerhet. Barbro Salte, Medisinsk teknologi og e-helse, Akershus Universitetssykehus HF

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Felles grunnmur for digitale tjenester. Sikkerhetsinfrastruktur Normkonferansen 2017

Det fremgår av høringsbrevet at: "Formålet med lovforslagene er å fjerne

innhente taushetsbelagte helseopplysninger. Setningen burde derfor omformuleres.

Kontroll av oppslagslogger i EPJ ved hjelp av mønstergjenkjenning

Svar på høring: Forslag til forskrift om informasjonssikkerhet, tilgangsstyring og tilgang til helseopplysninger i behandlingsrettede helseregistre

Plikt- og rettssubjekter. Den som har krav på noe, den som har rett på noe. Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort

Helse- og omsorgsdepartementet HØRINGSNOTAT

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Norm for informasjonssikkerhet Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Personvern - Problem eller en grunnleggende demokratisk rett?"

Norm for Informasjonssikkerhet i Helsesektoren. Tor Ottersen

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Behandling av helseinformasjon - på kryss og tvers Norsk Arkivråd, Trondheim,

Saksbehandler: Toril Løberg Arkiv: H01 &13 Arkivsaksnr.: 13/ Dato: HØRING - FORSLAG TIL FORSKRIFT OM NASJONAL KJERNEJOURNAL

PACS IT-sikkerhet i foretakene - ansvar og roller. Trondheim. Helse Nord-Trøndelag HF. Helge Gundersen. IKT-rådgiver / IT-sikkerhetsansvarlig

Vår referanse (bes oppgitt ved svar) /SVE 11/ /BSO

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Høringsuttalelse - Forslag til forskrift om informasjonssikkerhet, tilgangsstyring og tilgang til helseopplysninger i behandlingsrettede helseregistre

Digital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland

MTU - Krav til informasjonssikkerhet

Helse- og omsorgsdepartementet. Postboks 8011 Dep OSLO

Elektronisk tilgang til pasientopplysninger i Norge, EU-land og på tvers av landegrenser

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

Juridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål

Hvordan kan personvernet ivaretas i helsesektoren?

Taushetsplikt. Taushetsrett, opplysningsplikt og meldeplikt. Seniorrådgiver Pål Børresen, Statens helsetilsyn. Nidaroskongressen 21.

Taushetsplikten! *! Anne Kjersti Befring!

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Kunngjort 28. august 2017 kl PDF-versjon 30. august 2017

Ny pasientjournallov - endringer og muligheter

Vår referanse: Deres referanse: Dato: 08/ / Saksbehandler: Anne Marie Dalen Øverhaug,

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Behandling av helse- og personopplysninger ved legekontoret

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning.

Transkript:

Regulering av tilgang til informasjon på tvers av helseforetak Herbjørn Andresen herbjorn.andresen@arkivverket.no Min bakgrunn for dette emnet Tverrfaglig ph.d-avhandling, fra 2010: Tilgang til og videreformidling av helseopplysninger. Regulering og kontroll på tvers av IT-systemer og organisatoriske grenser Avhandlingens hovedvekt: Autorisasjon Utgangspunkt i helseregisterlovens autorisasjonsregel: Bare den databehandlingsansvarlige, databehandlere og den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet, kan gis tilgang til helseopplysninger. Tilgang kan bare gis i den grad dette er nødvendig for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt. 2

Tilgangskontroll i fugleperspektiv Tilgangskontroll i IT-systemer de fire A-er Administrasjon Autentisering Autorisasjon Audit (etterhåndskontroll) Avhandlingens hovedanliggende Hvor egnet som alternativ strategi? Autorisasjonsproblemet det teoretiske dypdykket Hvor god match er mulig mellom det som gir rett til tilgang, og uttrykket for (implementeringen av) informasjonstilgang? Hvor langt unna utgangspunktet både organisatorisk og på tvers av IT-plattformer kan man vite at samme autorisasjon er uttrykk for samme berettigelse? 3 Lovendringer, 16. juni 2009 Underveis i arbeidet (2009): Stortinget vedtok noen viktige endringer, som åpnet for tilgang på tvers Resultat av langvarig faglig og politisk arbeid for å fjerne juridiske hindringer for informasjonsdeling Lovendringene er i kraft fra samme dato, MEN: I praksis avhengige av forskrifter før de har reell effekt Den ene, helseinformasjonssikkerhetsforskriften, er nå vedtatt (24. juni 2011), men har ikke trådt i kraft ennå To andre forskrifter, om formalisert arbeidsfellesskap, og om virksomhetsovergripende behandlingsrettede helseregistre, er ikke sendt på høring ennå 4

Oppmyking av virksomhetsbegrensningen A B A B A B Overføring/utlevering (var også tillatt før) A B Formalisert arbeidsfellesskap Sugerørsprinsippet A B? Pas. Fellessystem Pasientstyrt samhandling 5 Lovendringene var politisk betente Reelt dilemma, som alle ser: Moderne, effektiv helsehjelp har betydning for organiseringen av behandlingsforløpene Samtidig er regler, metoder og muligheter for kontroll med informasjonsflyten nært knyttet til virksomhetenes rekkevidde Stortinget aksepterte foreslåtte lovendringer i grove trekk, men la selv til noen ekstra begrensninger Oppslag på tvers av virksomhetsgrenser kan bare gjelde én pasient om gangen Krav til eksplisitt samtykke Den registrerte (pasienten) har rett til innsyn i logg ( ) om hvem som har hatt tilgang til opplysningene 6

Helseinformasjonssikkerhetsforskriften Litt trang fødsel: Utkast til forskrift på høring mai-september 2010 Nokså kraftig medfart i høringsrunden (streng + vanskelig) Forskriften slik den ble vedtatt i juni i år Omtrent like streng Mindre omfang, omtrent halvert fra utkastet Mindre stram struktur enn i utkastet som var på høring Kapittelinndelingen er borte Noen av reglene er mindre tydelige Kanskje enklere å forstå for de som ikke er vant til denne typen regelverk? 7 Ikke i stedet for annet regelverk Generelle krav til styringssystem for informasjonssikkerhet gjelder fremdeles Helseregisterloven 16, personopplysningsloven 13, personopplysningsforskriften kapittel 2 Risikobasert, balansere hensynene til konfidensialitet, integritet og tilgjengelighet, krav til planlagte og systematiske tiltak Helseinformasjonssikkerhetsforskriften dupliserer ikke disse generelle kravene Konkretiseringer som også gjelder innen egen virksomhet Tilleggskrav som må tilfredsstilles for at tilgang på tvers av virksomheter skal være tillatt 8

Autentisering temmelig barske krav Forbud mot fellesbrukere/delte brukeridenter Har ikke vært et absolutt krav i pof, og heller ikke i ISO 27002 Dette forbudet er i tråd med Normen Krav til at brukere (også interne brukere!) autentiserer seg med personlig kvalifisert sertifikat eller en annen tilsvarende sikker autentiseringsløsning Må kunne vise at alternativet gir tilsvarende sikkerhet Kravet til personlig, kvalifisert sertifikat vil også i praksis innebære et forbud mot fellesbrukere 9 Autorisasjon enda strengere? Krav til historisk register over autorisasjoner Autorisasjon skal gjelde en person i en rolle Hva som menes med rolle er ikke definert i forskriften Er det bare profesjonen? (lege, sykepleier, radiograf etc.) Eller er det profesjon + avdeling (/post /behandlingsprosess...)? Autorisasjoner skal også være beslutningsbaserte Skal følge av en konkret beslutning om å yte helsehjelp Kravet om konkret beslutning kan fravikes, dersom det på annen måte kan sikres at det ikke gis tilgang til flere opplysninger enn det som er nødvendig og relevant ut fra formålet med tilgangen dette unntaket var ikke tilstede i utkastet 10

Krav til avtaler mellom virksomhetene I tillegg til de generelle betingelsene, for intern tilgang, må tilgang på tvers også forankres i avtaler For så vidt i tråd med annet regelverk Pof2-15 Normen Er dette reelle bilaterale avtaler, med et innhold som to og to virksomheter arbeider seg frem til? Neppe, det ville bli nærmest håpløst å administrere Mer sannsynlig at det vil dreie seg om sterkt standardiserte avtalemodeller, med take it or leave it betingelser Forskriften sier ikke i seg selv noe om hvordan dette skal foregå 11 Hva innebærer dette? en liten skisse Sykehus S1 Pasient P (var her for 7 mnd siden) Sykehus S2 Pasient P (er her nå) Lege L (behandler P ved S2) Konkret forløp: P gir samtykke, L leser om P hos S1 Forutsetninger: Avtale mellom S1 og S2 (omfatter sikkerhetsløsningen, og avgrensning av hvilke strukturerte opplysninger som omfattes) S2 har gitt L autorisasjon for eksterne tilganger L har tilgang til P i S2 (eller alternativt: er autentisert og autorisert i S1) Noe uklarhet om autentiseringskravet: Må S1 også etterprøve at L er tilstrekkelig autentisert, dersom han er gyldig pålogget hos S2?? 12

Krav til dokumentasjon og logging etc. Krav om dokumentasjon av tilgangen Eksisterer også i generell form fra før Visse minimumskrav til dokumentasjonen hvem, når, og hvorfor tilgang er gitt etc. Skal inngå som del av registeret, minstekravene til dokumentasjon skal altså inn i databasene Innfører også en konkret plikt til å kontrollere hvem som faktisk har hatt elektronisk tilgang til opplysninger Informere Datatilsynet og Statens helsetilsyn dersom noen kan(!) ha tilegnet seg helseopplysninger urettmessig Pasienten skal også informeres 13 Gjør denne forskriften Normen overflødig? NEI Helseinformasjonssikkerhetsforskriften anviser en del konkrete tiltak som må følges, men den gir ikke uten videre et harmonisert sikkerhetsnivå Et av Normens viktigste bidrag: Den setter felles kriterier for aksept av risiko for alle virksomheter. Helseinformasjonssikkerhetsforskriften og personopplysningsforskriften har bare krav til å kjenne annen parts sikkerhetsmål Normen har flere lag med ulik detaljeringsgrad, (norm, veiledere, faktaark ) noe som er hensiktsmessig for virksomheter av så ulik størrelse og kompleksitet Forskriftsformen er ikke særlig egnet for en slik lagdeling 14

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding