Helse- og omsorgsdepartementet Nytt fra departementet Bjørn Astad og Sverre Engelschiøn Fornebu 30. november 2017
"Bedre IKT-løsninger en forutsetning for å lykkes med å skape pasientens helsetjeneste (Statsråd Bent Høie)" «Å skape pasientens helsetjeneste betyr at vi må tenke, handle og organisere helsetjenesten annerledes» Ekspertgruppen av pasienter og pårørende til Nasjonal helse- og sykehusplan
Alle har ansvar for egne løsninger Resultat silobaserte løsninger som ikke snakker sammen
5 Én innbygger én journal Styring/koordinering Juridisk rammeverk Helseplattformen Kommunal EPJ Integrasjon
Én innbygger én journal Regjeringen fortsetter arbeidet med å gjennomføre en felles nasjonal løsning for helse- og omsorgstjenesten Utviklingen mot "én innbygger én journal" må gjennomføres stegvis. Første steg på veien er Helseplattformen i region Midt-Norge. Regjeringen foreslår at Direktoratet for e-helse får 50 millioner kroner til et forprosjekt om en nasjonal kommunal pasientjournal som er integrert med spesialisthelsetjenesten. Kilde: Prop. 1 S (2017-2018), Pressemelding 42/2017 Normkonferansen 4. desember 2017 6
Direktoratet for e-helse Fagdirektorat og myndighetsorgan på IKTområdet nasjonal styring Ha ansvar for Styring, utvikling og gjennomføring av nasjonale IKT-prosjekt. Forvaltning av regelverk og utvikling av IKT-standarder i helsesektoren.
IKT-standarder i helse- og omsorgstjenesten Forskrift om IKT-standarder Elektronisk dokumentasjon Adresseregister Funksjonalitet Vurderer endring av unntak og innføring av sanksjoner Pasientjournalloven 7 i forskrift gi nærmere bestemmelser om. godkjenning av programvare og sertifisering og om bruk av standarder, standardsystemer, kodeverk og klassifikasjonssystemer. Normkonferansen 4. desember 8 2017
Informasjonssikkerhet - roller Styring Felles føringer Myndighet Premissgiver Normsekretariat Forskning Utdanning Kompetanse Tilsynsmyndighet Operativ HelseCert Hver virksomhet ansvar Tilfredsstillende informasjonssikkerhet Styring, gjennomføring, kontroll
Pasientens legemiddelliste Legemiddelfeil en av de hyppigst forekommende uønskede hendelsene ca 17% av pasientskadene Oppdatert oversikt over legemidler antas å være det viktigste tiltaket for å bedre pasientsikkerheten på legemiddelområdet Informasjon fra primær- og spesialisthelsetjeneste Ivareta personvernet ved å videreføre adgangen til låst resept (sperring), reservasjonsrett mot tilgjengeliggjøring, innbyggerinnsyn via helsenorge.no, personlig e-id for tilgang til legemiddellisten og krav til logg og kontroll av logg Normkonferansen 4. desember 2017 10
Bivirkningsregister Innsamling og annen behandling av meldinger om bivirkninger av legemidler til mennesker Prop. 72 L (2013-2014) helseregisterloven 11 i) Videreføring og videreutvikling av dagens system Elektronisk meldesystem Fange opp bivirkningsinformasjon så tidlig som mulig Knytte bivirkningsmelding til fødselsnummer Ikke samtykke eller reservasjonsrett mot registrering Utvidet meldeplikt flere helsepersonellgrupper Normkonferansen 4. desember 2017 11
Pasientjournalforskrift Gjeldende forskrift er fra 2000, normalen var papirjournaler - ikke tilpasset dagens digitale virkelighet Helseopplysninger skal være korrekte, relevante og nødvendige -og tilgjengelige for å yte helsehjelp Personvernet skal ivaretas Naturlig å vurdere: databehandlingsansvarlig for regionale systemer mv å innarbeide forskrift om tilgang mellom virksomheter å inkludere helsehjelp på apotek Normkonferansen 4. desember 2017 12
Personvernforordningen (GDPR) Forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) Personverndirektivet (95/46/EF) fra 1995 er gjennomført i personopplysningsloven, særlover (helseregisterloven og pasientjournalloven) og forskrifter Behov for modernisering, harmoniserte regler og sterkere vern i EU. Direktivet har ikke forhindret fragmentert regelverk i Europa Forskjeller kan utgjøre en hindring for utøvelsen av økonomisk aktivitet i EU og virke konkurransevridende Normkonferansen 4. desember 2017 13
Prosessen i Norge - ny personvernlov Forordningen gjelder fra 25. mai 2018 Forordningen skal gjelde som norsk lov (inkorporasjon) Forordningen inntas som vedlegg til EØS-avtalen Forordningen viderefører prinsippene for personvern som allerede gjelder Personopplysningsloven og personopplysningsforskriften oppheves Ny personvernlov skal gjennomføre og utfylle forordningen Høringsnotat (Justisdepartementet) frist 16. oktober 2017 Lovproposisjon på nyåret Rettskildebildet blir mer krevende Normkonferansen 4. desember 2017 14
Sverige: Over 500 sider i én SOU Danmark: 1,214 sider Normkonferansen 4. desember 2017 15
Betydning for helselovgivningen Begrenset spillerom for nasjonale tilpasninger, men: forordningen åpner for nasjonal særregulering for helse- og omsorgssektoren, inkludert forskning, folkehelsearbeid og annet forebyggende arbeid Departementet vurderer behovet for endringer i lover og forskrifter Nordisk samarbeid Fremdeles enkelte åpne spørsmål komplisert å forutse alle konsekvensene Ikke endrede rammebetingelser for behandling av helseopplysninger til primær- eller sekundærbruk Normkonferansen 4. desember 2017 16
Normkonferansen 4. desember 2017 17
Sanksjoner Betydelig høyere bøtenivå - skal ha avskrekkende effekt Administrative bøter fastsettes skjønnsmessig, bl.a. ut fra overtredelsens karakter. Opp til 10 millioner Euro / 2% av virksomhetens samlede globale omsetning for brudd på bestemmelser om samtykke på vegne av barn, informasjonssikkerhet, mv. Opp til 20 millioner euro / 4% av virksomhetens samlede globale omsetning for brudd på samtykke, opplysningsplikt og andre grunnleggende prinsipper Normkonferansen 4. desember 2017 18
Risikobasert tilnærming Risikovurdering Artikkel 32: "Ved vurderingen av egnet sikkerhetsnivå skal det særlig tas hensyn til risikoene forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet." Konsekvensanalyse (DPIA) Artikkel 35: "Dersom det er trolig at en type behandling, særlig ved bruk av ny teknologi og idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige før behandlingen foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet." Normkonferansen 4. desember 2017 19
Normkonferansen 4. desember 2017 20
Ni helseforetak er varslet om gebyr "Datatilsynet har varslet ni helseforetak i Helse Sør-Øst om overtredelsesgebyr på 800 000 kr. Helseforetakene får gebyr for å ikke ha oppfylt pliktene til sikkerhetsledelse, risikovurderinger og tilgangsstyring i forbindelse med tjenesteutsetting av IKT-Drift til utlandet." Normkonferansen 4. desember 2017 21
Mangelfull eller manglende? Mangelfull er ikke det samme som manglende vurdering Tilgjengelighet, integritet og konfidensialitet Ingen indikasjon om at opplysninger ikke var tilgjengelig for helsehjelp, at de var endret eller misbrukt Risikovurderinger må dokumenteres - nøyaktig Normkonferansen 4. desember 2017 22
Datatilsynets rolle etter GDPR Føre tilsyn med og håndheve forordningen Uavhengig organ Fremme kunnskap og forståelse om risiko, regler, garantier og rettigheter Forhåndsdrøftelser når høy risiko. Datatilsynet kan: Gi råd (skriftlig/muntlig) Viktig med referat Pålegg, sanksjoner mv. er enkeltvedtak som kan påklages Normkonferansen 4. desember 2017 23
Sikkerhet ved behandlingen (artikkel 32) "Idet det tas hensyn til det nåværende utviklingstrinn i teknikken, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen [ ] Overholdelse av godkjente atferdsnormer som nevnt i artikkel 40 eller en godkjent sertifiseringsmekanisme som nevnt i artikkel 42 kan brukes som et element for å påvise at kravene i nr. 1 i denne artikkel er oppfylt" Normkonferansen 4. desember 2017 24
Atferdsnorm / Codes of conduct Artikkel 40 "Sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere, kan utarbeide atferdsnormer, eller endre eller utvide omfanget av slike regler, for å angi anvendelsen av denne forordning nærmere" Oppfordrer til sektorvis utforming av normer Formalisering godkjennes og kontroll Personopplysningsforskriften oppheves - ny og viktigere rolle for den norske normen for informasjonssikkerhet Normkonferansen 4. desember 2017 25
Normens betydning Normen har hatt stor betydning for arbeidet med informasjonssikkerhet i helse- og omsorgsektoren Departementet er positiv til at Normen videreføres og videreutvikles i tråd med det nye rammeverket Normen vil kunne ha en viktig rolle og være til hjelp ved implementering av tiltak og etterlevelse av forordningen En viktig arena for diskusjon og erfaringsutveksling Normkonferansen 4. desember 2017 26
Helse- og omsorgsdepartementet Takk for oppmerksomheten 4. Normkonferansen desember 2017 27