Risikovurdering ved lovpålagte tilsyn i helseforetak Ali Barzinje 2010
Agenda Introduksjon Problemstilling Forskningsspørsmålene Metode Datainnsamling og analyse Arbeid i lignende tilsynsorgan Konklusjon Spørsmål
Agenda Introduksjon Problemstilling Forskningsspørsmålene Metode Datainnsamling og analyse Arbeid i lignende tilsynsorgan Konklusjon Spørsmål
Tilsynsmyndighetene består av Statens helsetilsyn (Helsetilsynet) Overordnet tilsynsmyndighet Fylkesmennene (18) Sosialtjenesten og barneverntjeneste Helsetilsynet i fylkene (18) Helsetjenesten og helsepersonell
Helseforvaltning i Norge 2010
Statens helsetilsyn
Statens helsetilsyn har overordnet faglig tilsyn med: Helsetjenesten Sosialtjenesten (kvalifiseringsstønad/program, sosialhjelp) Barnevernet Behandling av klager etter pasientrettighetsloven og sosialtjenesteloven Medisinsk og helsefaglig forskning og forvaltningen av forskningsbiobanker Blodbanker og virksomheter som håndterer humane celler og vev (bare SH) Forsvarets helsetjenester til norsk militært personell under operasjoner i utlandet (bare SH)
Tre hovedformer for tilsyn Systemrevisjoner Tilsyn med virksomhetenes styringssystem (internkontroll) basert på risikovurderinger. Områdeovervåking Innhente, systematisere tilsynserfaring og tolke kunnskap om helsetjenestene i et tilsynsperspektiv. Tilsynssak Vurdering av om en behandling eller praksis har vært/er forsvarlig/i samsvar med krav i lovgivningen.
Agenda Introduksjon Problemstilling Forskningsspørsmålene Metode Datainnsamling og analyse Arbeid i lignende tilsynsorgan Konklusjon Spørsmål
Problemstilling-1 Oversikt over brukt av Elektronisk PasientJournal (EPJ) Kilde: EPJ Monitor Årsrapport 2008
Problemstilling-2 Helsetilsynet og Datatilsynet gjennomførte i fellesskap - I mai 2006 Helse Bergen HF Haukeland Universitetssykehus - Tema: taushetsplikt og tilgjengelighet ved bruk av EPJ-system Doculive. Helsetilsynet og Datatilsynet gjennomførte i fellesskap - - I juni 2006 ved Akershus Universitetssykehus HF. - Temaet ved dette tilsynet var sikring av taushetsplikten og tilgjengelighet av opplysninger ved bruk av EPJ-system DIPS. Tilgangsstyring og sikring av pasientjournaler - Hvem har tilgang til pasientjournalen? - Hvilken informasjon har man tilgang til? - Hvor lenge har man tilgang til?
Problemstilling-3 Mangel på risikostyring - Ikke grundige nok risikovurderinger ved innføring av, eller ved endring i systemene for EPJ. - Ikke systematiske risikovurderinger ift. sikring av konfidensialitet og tilgjengelighet til EPJ. Dårlige kontrollrutiner - Loggføring - Avvikshåndtering - Brudd på taushetsbestemmelsene
Agenda Introduksjon Problemstilling Forskningsspørsmålene Metode Dataanalyse Arbeid i lignende tilsynsorgan Konklusjon Spørsmål
Forskningsspørsmålene 1. Hvilken kompetanse i informasjonssikkerhet har Helsetilsynet som grunnlag for å utføre tilsyn? 2. Hvilket behov har Helsetilsynet særlig tilsynsførere for kompetanseheving innen informasjonssikkerhet? 3. Hva er hensiktsmessige analysemetode for Helsetilsynet?
Agenda Introduksjon Problemstilling Forskningsspørsmålene Metode Datainnsamling og analyse Arbeid i lignende tilsynsorgan Konklusjon Spørsmål
Brukte metoder Kvalitativ forskning: Intervjuer Kvantitativ forskning: Spørreundersøkelse Triangulering: Engasjere 3. person Helsetilsynets litteratur
Agenda Introduksjon (Helseforvaltning i Norge 2010) Problemstilling Forskningsspørsmålene Metode Datainnsamling og analyse Arbeid i lignende tilsynsorgan Konklusjon Spørsmål
Datainnsamling-1 Intervjuer Tilstede: - Finanstilsynet - Datatilsynet -Helsetilsynet Telefonintervju - fem av de største Helsetilsynet i fylkene og et mindre embete Spørreundersøkelse: - sendt til alle Helsetilsynet i fylkene (18) Helsetilsynets litteratur: - Analyse av 15 tilsynsrapporter fra de siste 3 årene Analysering av skriftlige materialer fra Datatilsynet
Datainnsamling-2 Antall personer (ikke årsverk) som er involvert i planlagt tilsyn (systemrevisjoner) med helsetjenestene: Totalt 70 personer. Hvor mange av disse har gjennomgått opplæring innenfor informasjonssikkerhet (kurs, seminarer, studier eller lignende): Ingen * Får annen opplæring eller bevisstgjøring innenfor informasjonssikkerhet (ut over det som er nødvendig for ivaretakelsen av interne rutiner og systemer): Ingen **
Datainnsamling-3 Minimumskunnskapsnivå innen informasjonssikkerhet til en tilsynsfører i Helsetilsynet er helt basale ting kan få vite for eks. - Teknologiske muligheter for tilgangskontroll - Teknologiske mulighetene for retting og endring i journalsystem. - Kryptering av lagringsmedium. - Deler av en pasientjournal blir gjort utilgjengelig.
Funn og resultat-1 Ingen spor om informasjonssikkerhet i Helsetilsynets tilsynsrapporter Kompetansenivået hos tilsynsførere er for dårlige. Kompetanseøking er veldig nødvendig. Lite samarbeid mellom Helsetilsynet og Datatilsynet.
Funn og resultat-2 Med dagens kompetansenivå, er en sjekklistebasert metode er mest hensiktsmessig metode for Helsetilsynet, dekker 33 område.
Agenda Introduksjon Problemstilling Forskningsspørsmålene Metode Datainnsamling og analyse Arbeid i lignende tilsynsorgan Konklusjon Spørsmål
Statens helsetilsyn
Relatert arbeid-finanstilsynet Lov om tilsynet med finansinstitusjoner (finanstilsynsloven), IKT-forskrift Det viktigste for dem er svindel, bedrageri Tillitt til norsk økonomi De kjører IT-tilsyn ift. internasjonale standarder: -COBIT -ITIL - ISO 27002 - CMMI Begynte i 2003, 6 tilsynsførere ca. 25 ordinære IT-tilsyn + 25 forenkelte IT-tilsyn
Finanstilsynets IT-tilsyn -1
Finanstilsynets IT-tilsyn -2
Agenda Introduksjon Problemstilling Forskningsspørsmålene Metode Datainnsamling og analyse Arbeid i lignende tilsynsorgan Konklusjon Spørsmål
Konklusjon 1. Ved systemrevisjoner bør det benyttes den utviklede sjekklisten om informasjonssikkerhet. 2. Etaten bør begynne å integrere informasjonssikkerhet i sitt ordinære tilsyn. Da må nok gjøres endringer i sine prosedyrer både for opplæring av tilsynsførere og gjennomføring av tilsyn. 3. Det må etableres systematisk opplæring av tilsynsførere i informasjonssikkerhet og sette ekstra krav om kunnskaper om informasjonssikkerhet når de ansetter folk for å jobbe med tilsyn. 4. Samarbeidet med Datatilsynet bør utvikles videre.
Spørsmål?