Arkivsak Dato 12.10.2017 Saksbehandler Johan Krüger og Leif Steinar Brådland Saksframlegg Styre Sørlandet sykehus HF Møtedato 19.10.2017 Sak nr 076-2017 Sakstype Orienteringssak Sakstittel Informasjonssikkerhet Forslag til vedtak 1. Styret tar informasjonen om informasjonssikkerhet i helseforetaket til orientering.
1 Bakgrunn for saken På grunn av flere saker angående informasjonssikkerhet med prinsipielle og krevende problemstillinger i helsevesenet, som også har vært sterkt fremme i media det siste året, har styret ønsket en redegjørelse hvordan informasjonssikkerhet håndteres ved SSHF. 2 Saksopplysninger 2.1 Informasjonssikkerhet ved Sørlandet sykehus Sørlandet sykehus har per i dag en stilling som informasjonsikkerhetsleder organisert i avdeling for Teknologi og e-helse. Stillingens oppgaver er i hovedsak innen IKT-sikkerhetsrådgivning til virksomheten og risikovurderinger og -analyser av nye og endrede IKT-systemer. Det har inntil nå ikke vært et krav om å ha personvernombud i egen organisasjon. Sørlandet sykehus har, på linje med en rekke andre helseforetak, inntil nå benyttet seg av Norsk Senter for Forskningsdata (NSD) som personvernombud. Ved innføringen av EU sin personvernforordning fra 25.05.2018 stiller situasjonen seg annerledes. Som en EU-forordning vil dette gå rett inn i EU/EØS-landenes lovgivning, Forordningen er også kjent som GDPR - General Data Protection Regulation. Sørlandet sykehus blir gjennom denne forordningen pålagt å ha et eget personvernombud. Dette fordi vi er definert som en databehandler som registrerer, lagrer, og bruker personsensitive data i stor skala. Personvernombudets oppgaver er spesifisert i forordningens artikkel 39. Hovedområder er: Kontrollere overholdelsen av personvernregelverket Gi råd om vurdering av personvernkonsekvenser Samarbeide med Datatilsynet og fungere som kontaktpunkt ovenfor de registrerte Selv om det gis mulighet for å ha felles personvernombud med andre virksomheter, vil Sørlandet sykehus sin størrelse og kompleksitet i databehandlingen tilsi at vi har ett eget. Flere helseforetak i Helse Sør-Øst har allerede oppnevnt personvernombud. Datatilsynet anbefaler at vi har et personvernombud med dybdekunnskap om personvernlovgivning og praksis på området (dvs. med juridisk bakgrunn og kompetanse). Forordningen presiserer at personvernombudet skal ha en uavhengig rolle. Dette innebærer at stillingen er organisert slik at ombudet ikke kan motta instrukser om hvordan oppgavene skal utføres eller hvordan utfallet av en sak skal være. 2.2 Om elektronisk journal ved foretaket Sørlandet sykehus benytter DIPS som system for elektronisk journal og pasientadministrativt system. Sykehusene i Vest-Agder har benyttet systemet fra tidlig på 90-tallet og sykehuset i Arendal fra år 2000. I 2006 ble systemene og journal konsolidert til en felles journal for hele foretaket. De som har et behandlingsforhold til pasienten hadde fra da tilgang til pasientens journal på tvers av de tidligere sykehusene i foretaket. I Helse Sør-Øst har hvert foretak sitt Styret for Sørlandet sykehus HF Side 2/7
eget system med egen journal. Det er pr. i dag ikke mulig å få elektronisk tilgang til journaler på tvers mellom foretak. I DIPS ligger hele pasientens journal. I tillegg benyttes systemet som pasientadministrativt system som bl.a. håndterer ventelister, timebøker, innkallinger, offentlig rapportering, diagnoser, takster m.m. DIPS har et omfattende system for tilgangskontroll og logging knyttet til både journal og pasientadministrative data. Tilgangskontroll I henhold til Pasientjournalloven 19 har foretaket ansvar for at journalen er tilgjengelig når det er nødvendig: «Innenfor rammen av taushetsplikten skal den databehandlingsansvarlige sørge for at relevante og nødvendige helseopplysninger er tilgjengelige for helsepersonell og annet samarbeidende personell når dette er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til den enkelte.» I tillegg har det enkelte helsepersonell et individuelt ansvar definert i Helsepersonellovens 21 og her spesielt i 21 a: «21. Hovedregel om taushetsplikt Helsepersonell skal hindre at andre får adgang eller kjennskap til opplysninger om folks legems- eller sykdomsforhold eller andre personlige forhold som de får vite om i egenskap av å være helsepersonell. 21 a. Forbud mot urettmessig tilegnelse av taushetsbelagte opplysninger Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte opplysninger som nevnt i 21 uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift.» Tilgang til journal håndteres ved en kombinasjon mellom tilganger som gis basert på definerte regler (jf. Pasientjournalloven 19) og det enkelte helsepersonells individuelle vurderinger (jf. Helsepersonelloven 21 a) balansert mot at pasientens personvern ivaretas. Systemets automatiserte regler vil sørge for at når behovet for helseopplysninger er relevant, gis tilgang til relevante og nødvendige helseopplysninger. Det enkelte helsepersonell skal i tillegg gjøre individuelle vurderinger av behovet for å lese og søke etter opplysninger om den enkelte pasient for å kunne yte helsehjelpen. DIPS har et omfattende og finmasket system for å kunne regulere tilganger til journal og pasientadministrative data for den enkelte ansatte. For å håndtere og administrere dette på en hensiktsmessig måte er ansatte gruppert ut fra hvilken enhet de arbeider ved og hvilken yrkesgruppe de tilhører. Det betyr f.eks. at alle sykepleiere ansatt på en gitt sengepost i utgangspunktet har like grunntilganger. Disse grunntilgangene er i utgangspunktet tilstrekkelig til å kunne utøve forsvarlig helsehjelp. Enkelte ansatte har i tillegg behov for utvidede tilganger ut fra sin funksjon. Slike tilganger gis individuelt. Styret for Sørlandet sykehus HF Side 3/7
Den enkelte ansatte blir definert med tre ulike profiler. Kombinasjonen av disse åpner tilganger til journaler og pasientadministrative data: - Brukertype Denne tilgangen baserer seg på den ansattes yrkesgruppe. Den gir tilgang til ulike funksjoner, oversikter og lister i DIPS. - Journaltilgang Journalene er delt inn i ca 200 kapitler (journalgrupper). Basert på yrkesgruppe og faglig tilknytning gis det tilgang til ulike journalgrupper. - Organisasjonsprofil Basert på den ansattes organisatoriske tilknytning gis det tilgang til utvalgte relevante organisatoriske enheter i DIPS. Dette benyttes bl.a. for å filtrere hvilke enheter man får se i ulike oversikter og lister. Tilgangen aktiveres når en pasient er relevant for den aktuelle organisatoriske enheten. Dette kan eksemplifiseres med en sykepleier på sengepost. Mulighet til å slå opp i og lese journaldokumenter gjelder kun relevante pasienter. Straks en pasient legges inn på sengeposten vil denne være relevant og sykepleieren har potensielt tilgang til journalen. Denne tilgangen er aktiv når pasienten ligger på sengeposten og et gitt antall dager etterpå for å kunne følge opp eventuelt etterarbeid og gi avklaringer til samarbeidende helsepersonell. Tilganger i DIPS skilles i tillegg mellom automatisk gitte tilganger og egne besluttede tilganger: - Automatiske tilganger (implisitte tilganger) Dette er tilganger som åpnes automatisk basert på kombinasjon av den ansattes tilknytning til organisatorisk enhet og pasientens relevans for denne enheten. I eksemplet over åpnes tilganger automatisk for sykepleieren når pasienten er innlagt på sengeposten. - Besluttede tilganger (eksplisitte tilganger) Dette er tilganger den enkelte selv må beslutte og som ikke kan identifiseres basert på automatikk. De ulike brukertypene vil ha ulike muligheter for å gi seg selv en eksplisitt tilgang. Et eksempel er en sykepleier på sengepost som kan gi seg selv tilgang til en pasient som er forventet overflyttet fra en annen sengepost. Da kan sykepleieren bedre forberede pasientens ankomst. Når en ansatt beslutter tilgang må det begrunnes særskilt for hver pasient og vil normalt gjelde i 24 timer. For de fleste ansatte vil det vesentligste behovet for tilgang til journal bli ivaretatt via automatiske tilganger. Logging Alle ansatte logger inn i DIPS med sin egen unike identitet. All aktivitet vil deretter bli logget knyttet til den enkelte ansatte. Oppslag i journaldokumenter blir detaljert logget for hvert enkelt dokument. I tillegg blir oppslag i ulike lister og oversikter logget. Oversikt over oppslag i det enkelte journaldokumenter er tilgjengelig og synlig for andre ansatte. Det er også egne rapporter over Styret for Sørlandet sykehus HF Side 4/7
dokumentoppslag foretatt av den enkelte ansatte som utleveres pasienter ved forespørsel. 2.3 Regional EPJ standard I stortingsmelding 9 (2012 2013) defineres et overordnet nasjonalt mål om «en innbygger en journal». I korthet innebærer dette å etablere løsninger slik at helsepersonell kan få tilgang til nødvendig informasjon om relevante pasienter uavhengig av hvor pasienten tidligere har blitt behandlet. I Helse Sør-Øst (HSØ) er det etablert et eget program for Regional Klinisk Løsning (RKL). I dette programmet pågår ulike prosjekt med mål om å etablere felles regionale kliniske løsninger, og bl.a. støtte opp om det nasjonale målet om «en innbygger en journal». Som en forberedelse til å etablere en felles journal i HSØ er det under programmet etablert et eget prosjekt som standardiserer oppsett og bruk av elektronisk pasientjournal (EPJ). Alle foretakene i regionen benytter DIPS som system for EPJ, men har av historiske grunner valgt noe ulikt oppsett og bruk av systemet. Prosjektet DIPS EPJ standardisering skal samordne oppsett og konfigurasjon av systemet i regionen. Påfølgende prosjekt skal etablere system for en felles journal innad i regionen. Det er pr. i dag ikke endelig besluttet konkret løsning for dette. Regional EPJ standard er etablert ved Oslo Universitetssykehus, Sunaas, Vestre Viken, Telemark og Vestfold. Det pågår prosjekt ved Sykehuset Innlandet og Ahus som sluttføres i løpet av året. Ved Sørlandet sykehus og Sykehuset i Østfold startet prosjektet opp i august, og regional EPJ standard innføres etter planen i mai 2018. Utvikling av den regionale standarden har vært et samarbeid mellom foretakene. Det ble gjort et større arbeid i 2012 2014 der alle foretak var involvert. Det ble da etablert en standard som ble tatt i bruk ved Sykehuset Telemark og OuS da de innførte DIPS som journalsystem. Standarden blir stadig endret og utvidet. Dette skjer i fora der alle foretakene deltar og samarbeider. Foretakene er ulikt organisert og har ulik historikk og behov. Den regionale standarden ivaretar dette, samtidig som foretakene må tilpasse egne rutiner og arbeidsprosesser der det lar seg gjøre. 2.4 Datatilsynets stedlige kontroll ved Sykehuset Telemark Datatilsynet utførte stedlig kontroll ved Sykehuset Telemark (STHF) den 23.3.2017. Tema for kontrollen var sykehusets styring av medarbeidernes tilgang til helseopplysninger i elektronisk pasientjournal, logging av oppslag i elektronisk pasientjournal, kontroll av logger og avvikshåndtering. STHF har brukt DIPS fra 2013 og tok i bruk regional EPJ standard fra høsten 2016. Tilsynet er i hovedsak basert på Pasientjournalloven. Innholdet i Helsepersonelloven ble ikke vurdert siden Helsetilsynet er tilsynsmyndighet for denne. Endelig kontrollrapport foreligger ikke pr. d.d. Basert på foreløpig kontrollrapport datert 29.6.2017 fokuserte tilsynet på tre områder: - Tilgang til helseopplysninger i elektronisk pasientjournal - Logging og loggkontroll - Avvikshåndtering Styret for Sørlandet sykehus HF Side 5/7
Sykehuset har i den foreløpige kontrollrapporten fått varsel om følgene pålegg: 1. Sykehuset Telemark HF pålegges å gjennomføre vurdering av innholdet i de ulike rollene og tilpasse tilgangene etter faktisk behov, jf. pasientjournalloven 19 og 22, jf. Personopplysningsforskriften 2-4. 2. Sykehuset Telemark HF pålegges å utarbeide rutiner og verktøy for å gjennomføre systematisk oppfølging av hendelseslogger i pasientjournalsystemet, jf. pasientjournalloven 22, jf. Personopplysningsforskriften 2-4. 2.5 Etablering av regional standard for tilganger ved Sørlandet sykehus Ett av områdene som blir standardisert er tilgangskontroll. Dette innebærer bl.a. at tilganger ved alle foretak tar utgangspunkt i samme prinsipper. Profiler for brukertyper og journaltilgang samordnes. I tillegg blir tilganger i DIPS gitt automatisk ved ansettelse og fjernes automatisk når en ansatt slutter basert på opplysninger fra personalsystemet (PAGA). Hvilken journaltilgang som er relevant og nødvendig for de ulike rollene å ha tilgang til for å yte, administrere eller kvalitetssikre helsehjelp til den enkelte vil som hovedregel være likt fra sykehus til sykehus forutsatt at rollen har noenlunde like arbeidsoppgaver. Dersom dette varierer mye, og man ser at tilgangen enten bør være videre eller smalere er det opp til foretaket å søke om avvik fra standarden med begrunnelse. Ved manuell tilgangsstyring er det mulig for helseforetaket selv til å foreta justeringer. Det er et mål at de ulike rollene er så like som mulig på de forskjellige helseforetakene. Dette innebærer blant annet at en lege på Sørlandet sykehus og en lege på Oslo universitetssykehus som samarbeider om en pasient, skal ha tilgang til samme informasjon om pasienten. Det må derfor være konsensus om hvilke journaltilganger de ulike rollene skal ha. Vurderinger og dokumentasjon ved innføring Ved innføring av regional standard for tilganger ved Sørlandet sykehus tas det utgangspunkt i de regionale profilene for brukertyper og journaltilgang. Det gjøres vurdering av disse opp mot behovet for ansatte ved sykehuset, og det søkes eventuelt om avvik fra standarden der det vurderes som nødvendig. Slike vurderinger forankres med lokal styringsgruppe, systemeier DIPS, fagdirektør og informasjonsikkerhetsleder. Profiler som gir tilgang til organisatoriske enheter er spesifikke for Sørlandet sykehus og det gjøres egne vurderinger knyttet til disse. Slike vurderinger gjøres i samarbeid med ledere for de aktuelle enhetene og forankres med lokal styringsgruppe, systemeier DIPS, fagdirektør og informasjonsikkerhetsleder. Etablering av regional standard for tilganger ved Sørlandet sykehus blir dokumentert som følger i foretakets kvalitetssystem: - Beskrivelse av overordnede prinsipper for tilgang - Beskrivelse og vurdering av de ulike regionale tilgangsprofilene - Beskrivelse og vurdering av de lokale profilene for organisasjonstilgang - Beskrivelse og vurdering av tilganger som avviker fra standard - Overordnet ROS analyse av regional standard for tilgangsstyring Styret for Sørlandet sykehus HF Side 6/7
I tillegg dokumenteres tilganger som gis individuelt i egne systemer. Oppfølging av logg Det er allerede etablert prosedyre som beskriver oppfølging av innsynslogger. Disse rutinene videreføres. Det utføres to typer innsynskontroll i EPJ: målrettet innsynskontroll og systematisk logganalyse. Med målrettet innsynskontroll menes kontroll basert på konkrete henvendelser fra pasient, pårørende, Helsetilsynet, ansatte eller lignende der det er mistanke om at uautorisert innsyn i journal har funnet sted. Med systematisk logganalyse menes kontroller som utføres ved nærmere definerte tidsintervall og med bruk av metoder som både er vilkårlige og delvis målrettede. Det arbeides i tillegg regionalt med å etablere system for mønstergjenkjenning/statistisk loggkontroll. Dette vil gi betydelig større grad av treffsikkerhet enn manuell kontroll. Dette skulle vært på plass tidlig i 2017, men er noe forsinket. Helse Sør-Øst har etablering av løsning under planlegging. Håndtering av avvik Det er etablerte rutiner som beskriver hvordan eventuelle avvik knyttet til tilgangskontroll håndteres ved Sørlandet sykehus. Disse rutinene videreføres. 3 Administrerende direktørs vurderinger Administrerende direktør mener at foretaket har etablert gode systemer for å ivareta informasjonssikkerhet. Det er likevel forbedringsmuligheter som det arbeides aktivt med, både internt og i samarbeid med andre helseforetak og med HSØRHF. Administrerende direktør anbefaler at vi snarest starter prosessen med å bekle stillingen som Personvernombud for å oppfylle lovkrav som kommer. Innføring av regional standard for tilganger ved foretaket blir risikovurdert og det gjøres nødvendige tiltak for å sikre at tilgangene ivaretar pasientens personvern og helsepersonellets behov. Styret for Sørlandet sykehus HF Side 7/7