Informasjonssikkerhet i Helseplattformen 1. desember 2017
Innhold o Om Helseplattformen o Sikkerhetsarbeidet Kort om GDPR Kravspesifisering av løsning Sikkerheten rundt løsningen Databehandlingsansvaret
Om Helseplattformen
Helseplattformen o Helseplattformen skal etablere en felles journalløsning for helsetjenesten i hele Midt-Norge o Helseministeren har utpekt Midt-Norge som nasjonal utprøvingsarena for det nasjonale målbildet Én innbygger én journal o Eiere er Helse Midt-Norge og Trondheim kommune. Alle kommuner i Midt- Norge er med gjennom opsjonsavtaler o Anskaffelsen bygger på bred helsefaglig involvering fra alle områder i helsetjenesten o Konkurransepreget dialog pågår, og kontrakt med én leverandør skrives tidlig i 2019
Én felles løsning for alle møter mellom pasient og helsetjeneste Spesialisthelsetjenesten Kommunal institusjon Fastlege Kommunal helsetjeneste Pasienten skal også ha en mer aktiv rolle selv til f.eks. egenregistrering, timeavtaler og innsyn i journalen
Kravspesifikasjonen bygger på: o «Én innbygger - én journal»; Spesielt utredningens behandling av virksomhetskapabiliteter (Modell som deler inn helsetjenester i ulike funksjonsområder; ikke knyttet til fagområder) o HL7-standarden; internasjonal standard for pasientjournaler (EHR-System Functional Model, Release 2) o Eksisterende kravspesifikasjoner for gjennomførte anskaffelser o Erfaringsbesøk o Prosjektmedarbeidere fra kommuner og helseforetak med god kjennskap til praksisfeltet o 101 workshops med 330 ansatte fra kommune, helseforetak og fastleger
Anskaffelsens tidslinje 2016 2017 2018 2019 2020 2021 2022 Kravspek: Helsetjenestens behov Dialogfase: Hvilke løsninger kan markedet tilby? Nedvalg fra fire leverandører Tilbud og evaluering Innføringsprosjekt Tilpasning implementering Prekvalifisering av leverandører Tilbud fra 4 leverandører 3. mai Nedvalg til 3 leverandører 11.okt. Endelig versjon konkurransegrunnlag Kontraktsinngåelse etter vedtak i styre RHF og Trondheim bystyre 1.innføring: TENTATIVT ca. 4. kvartal 2021 2.innføring 2022 Parallelt: samarbeid på nasjonalt nivå om utvalgte tema Det nasjonale prosjektet «Én journal» skal gjenbruke arbeidet fra Midt-Norge og videreutvikle krav til nasjonal løsning
Sikkerhetsarbeidet
Sikkerhetsarbeidet o Kort om GDPR o Kravspesifisering av løsning o Sikkerheten rundt løsningen o Databehandlingsansvaret
Sikkerhetsarbeidet - Kort om GDPR o o o o o Perfekt timing Tid til å kravspesifisere compliance Tid for leverandørene til å tilpasse løsningene Tydeliggjør Innbyggernes rettigheter Ansvarslinjene for databehandlingsansvarlig, databehandler og underleverandører Ett felles regelsett mellom landene Gavepakke for oss Norge ikke lenger så sært Funksjonaliteten vi krever blir ikke spesialtilpasninger Usikkerhet hvordan helselovgivningen påvirker GDPR i Norge Håpløs å lese, behov for en klargjørende Norm?
Sikkerhetsarbeidet kravspesifisering 1/3 o Metode: Konkurransepreget dialog spørrende Hva finnes der ute, hvordan «løser man oppgaven»? Runde beskrivkrav går over til spesifikke funksjonskrav o Informasjonssikkerhet (teknisk): Tilgjengelighet 24/7, oppgraderinger «live» Sporbarhet og integritetskontroll på endringer på dataelementer Anonymisert dataeksport Krypterte data (in rest, in transit) Kompabilitet med sikkerhetsprogramvare «Data protection by design»
Sikkerhetsarbeidet kravspesifisering 2/3 o Personvern: Logging og sporbarhet på alle oppslag/operasjoner Logganalyseverktøy (Eksport til - ) En «innbyggerportal» der innbygger selv (eller en «verge») kan Se hva som er registrert om seg selv Se hvem som har hatt innsyn i opplysningene Be om skjerming av opplysningene Be om retting/sletting av feilaktige opplysninger Sette på varsling når noen har gjort oppslag i journalen
Sikkerhetsarbeidet kravspesifisering 3/3 o Tilgangsstyring: Enkel (sikker) autentisering for helsepersonell Tilgang til riktige pasienter/brukere (rollebasert) Tilgang ut fra kontekst (lokasjon, arbeidsoppgave tildelt ++) Tilgang til relevante opplysninger uavhengig av hvor de ble generert Sperremuligheter for spesielle typer informasjon / pasientønsker
Sikkerhetsarbeidet sikkerheten rundt løsningen o Risikovurderinger før valg av løsning Sikkerhetsloven 29a Vurdering av personvernkonsekvenser o Mobile klienter Sikker autentisering (signering) Lokal lagring o Driftsplattform Skylagring Lagring og drift i utlandet
Sikkerhetsarbeidet - databehandlingsansvaret o Dagens situasjon Pasientjournalloven 9 felles løsning basert på avtale (pluss mulighet for forskrift) Pasientjournalloven 10 nasjonal løsning basert på forskrift (kun for bestemt / avgrenset område) Utfordring: Krevende avtalestruktur Hva med de som går ut av samarbeidet o Framtidas situasjon Kanskje får vi en forskrift etter PJL 9 som plasserer databehandlingsansvaret Etablere en forvaltningsorganisasjon som håndterer sikkerheten i løsningen Prosedyrer, internrevisjoner, endringer, risikovurderinger
Andre utfordringer som må løses over tid o Masterdata nasjonalt o Helsearkivet tar kun imot data fra SPHTJ o Saksdata skal arkiveres etter NOARK5-standard
Takk for meg