Informasjonsdeling og nettsky-teknologi i helsesektoren Felix konferansesenter, 28. oktober 2011 Norm for informasjonssikkerhet i helse, omsorgs- og sosialsektoren om utveksling av informasjon Jan Gunnar Broch, Helsedirektoratet E-helse hvor er vi? Kort om Normen Normen om utveksling av informasjon 27.10.2011 Normen om utveksling av informasjon 2
Innsatsområder nasjonalt nivå i helsetjenesten Nasjonalt meldingsløft Kjernejournal Helsepolitiske mål E-resept Helseportal Helseregistre EPJ Velferds- og omsorgsteknologi Standardisering og sertifisering Personvern og Informasjonssikkerhet Samhandlingsarkitektur / Felleskomponenter Sikret helsenett 27.10.2011 Normen om utveksling av informasjon 3 27.10.2011 Normen om utveksling av informasjon 4
Hvorfor skal opplysningene sikres? Forholdet mellom helsetjenesten og borgeren - Bygger på tillit - Skaper forventninger - Krever profesjonalitet Det er et lovkrav Vi sikrer helseopplysninger også fordi vi kan bli stilt til ansvar Alminnelige kvalitetskrav Også: Negativ omtale / omdømme 27.10.2011 Normen om utveksling av informasjon 5 27.10.2011 Normen om utveksling av informasjon 6
Hva gir Normen? Verktøy for å etablere tilfredsstillende informasjonssikkerhet Ett regelsett å forholde seg til Tilgjengeliggjør bestemmelser om informasjonssikkerhet og personvern Detaljerer og supplerer gjeldende regelverk Sektorens oppfatning at oppfylles Normens krav, oppfylles gjeldende regelverk vedrørende tilfredsstillende informasjonssikkerhet Skaper tillit Til sektoren Mellom samhandlingspartnere Harmonisering av sikkerhet, vesentlig del av samhandlingsarkitekturen 27.10.2011 Normen om utveksling av informasjon 7 Normen med støttedokumenter Juridisk bindende ved avtale: Normen: Normen ( Code of conduct ) og en del faktaark / veiledere er oversatt til engelsk Veiledende: Støttedokumenter: : Kursmateriell: Veiledere / malverk Faktaark www.normen.no 27.10.2011 Normen om utveksling av informasjon 8
Forvaltning av Normen Styringsgruppen for Normen er bredt sammensatt Sekretariat i Helsedirektoratet Pågående arbeid Selvdeklarering Nye faktaark / veiledere Kravdokument meldingsutveksling sikkerhetsnormen@helsedir.no 27.10.2011 Normen om utveksling av informasjon 9 Kurs og konferanser Vi utvikler kursmateriell rettet mot delsektorer: Kommuner Tannleger Planlagt: apotek, HF Vi utdanner instruktører: Tannhelse (21 instr. har kurset ca 3000 tannleger) Kommunesektoren (ca 600) Årlig Normkonferanse 27.10.2011 Normen om utveksling av informasjon 10
Hva sier Normen om utveksling av informasjon? Meldingsutveksling Helseopplysninger i skyen Bruk av databehandler Normen og nytt lovverk Tilgang på tvers Formaliserte arbeidsfellesskap Kjernejournal Vi slipper å bruke timer i telefonen og vi kan sende av gårde meldinger uansett tid på døgnet Tromsø ligger i landstoppen når det gjelder å ta i bruk elektronisk meldingsutveksling i Helsetjenesten 27.10.2011 Normen om utveksling av informasjon 11 Krav til datakommunikasjon ved meldingsutveksling Definerer ansvar og plikter for Avsender Meldingsformidler Mottaker Hindre utilsiktet utlevering, inntrengning eller skadelig kode Ende- ende kryptering Rett adressering Uavviselighet ved behov Avviksrapportering ved feilsending Avtalt format Kun avlevering til adressat Melding skal ikke endres/ destrueres under transport Melding skal kun kunne leses av avsender og mottaker Avlevering innen avtalte tidsfrister Avviksrapportering Hindre utilsiktet utlevering, inntrengning Ende- ende kryptering Uavviselighet ved behov Avviksrapportering ved feil mottak Avtalt format 27.10.2011 Normen om utveksling av informasjon 12
Minstekrav til meldingsutveksling ` Fagsystem Aktør A 1. Melding 7. Applikasjonskvittering Meldingstjener Helsenettet 2. Melding 3. Transportkvittering 6. Applikasjonskvittering Meldingstjener Aktør B 4. Melding 5. Applikasjonskvittering Initiert av Nasjonalt meldingsløft Blir kravdokument under Normen I overkant av 20 krav innen følgende områder: Grunnkrav Krav til mottak Krav til brukerstøtte Krav til opplæring Krav til risikovurdering Se www.normen.no ` Fagsystem Sertifikater Adressering Kommunikasjonsstandard Innholdsstandarder og forløpstesting Kvitteringsmekanismer 27.10.2011 Normen om utveksling av informasjon 13 Helseopplysninger i nettskyen Behandling av helseopplysninger i nettskyen må anses som bruk av databehandler Normen definerer databehandler som den som behandler helse- og personopplysninger på vegne av den databehandlingsansvarlige. Helseregisterlovens 18 Helseregisterlovens 16 Den En ( ) databehandler dokumentere databehandlingsansvarlige kan ikke og informasjonssystemet behandle databehandleren helseopplysninger skal og på gjennom sikkerhetstiltakene. annen måte planlagte enn det og som er systematiske Dokumentasjonen skriftlig avtalt tiltak med den skal sørge være for tilfredsstillende tilgjengelig databehandlingsansvarlige. for medarbeiderne hos informasjonssikkerhet Opplysningene den databehandling- kan heller med ikke hensyn uten sansvarlige slik til avtale konfidensialitet, ( ) overlates til integritet, En noen databehandlingsansvarlig andre kvalitet for lagring og eller tilgjengelighet bearbeidelse. som lar andre I få ved avtalen tilgang behandling med til den av helseopplysninger, helseopplysninger. databehandlingsansvarlige ( ) skal skal påse det at disse også gå oppfyller frem at kravene i databehandleren første og annet ledd. plikter å gjennomføre ( ) slike sikringstiltak som følger av 16. 27.10.2011 Normen om utveksling av informasjon 14
Normen om bruk av databehandler Krav til risikovurdering Taushetsplikt / Tilgangskontroll tjenstlig behov Prosedyre ved bruk av databehandlere Oversikt over databehandlere Knyttet opp mot oversikt over behandlinger av helse- og personopplysninger Krav til konfigurasjonskontroll skal reguleres gjennom avtale ved bruk av databehandler Risikovurdering, test, implementering som sikrer mot uforutsette hendelser, dokumentasjon, godkjenning av endringer Sikkerhetsrevisjon skal omfatte vurderinger av ivaretakelse av informasjonssikkerhet hos databehandlere 27.10.2011 Normen om utveksling av informasjon 15 Normen om bruk av databehandler (2) Databehandlerens selvstendige plikt til å etterleve helseregisterloven 16 og personopplysningsforskriften kap. 2 presiseres Kriterier for akseptabel risiko hos databehandleren Databehandlingsansvarlig skal sikres innsynsrett for å forsikre seg om at kravene etterleves Databehandler skal tilfredsstille kravene i Normen. Databehandler skal ikke behandle helse- og personopplysninger på annen måte enn det som er avtalt med databehandlingsansvarlig. 27.10.2011 Normen om utveksling av informasjon 16
Normen om bruk av databehandler (3) Dersom databehandler behandler helse- og personopplysninger fra flere virksomheter skal databehandler ved hjelp av tekniske tiltak som ikke kan overstyres av brukerne ivareta at: det er etablert skiller mellom virksomhetene i henhold til gjennomført risikovurdering. ingen andre enn databehandleren, de som arbeider under databehandlerens instruksjonsmyndighet og virksomhetene selv har tilgang til opplysningene. Se faktaark 10 for mer om databehandleravtale Behandling av data innenfor / utenfor EU/EØS-området er kort omtalt i malverket til veilederne for tannhelse, legekontor og apotek 27.10.2011 Normen om utveksling av informasjon 17 Meldingsbasert kommunikasjon vs tilgang på tvers Helseregisterlovens 13, 1. ledd har begrenset tilgang til informasjon (utover utlevering / meldingsutveksling) på tvers av virksomhetsgrenser En tilføyelse til loven i 2009 gir hjemmel for forskrifter som åpner opp for tilgang på tvers Helseinformasjonssikkerhetsforskriften For behandlingsrettede registre Bl.a Tilgang på tvers Vedtatt, men ikke trådt i kraft Flere Normkrav blir gjennom dette forskriftskrav Forskrift om formaliserte arbeidsfellesskap Under utarbeidelse Kjernejournal Lovendring for å åpne for nasjonal kjernejournal Kjernejournalforskrift 27.10.2011 Normen om utveksling av informasjon 18
13 13 13 13 13 13 Normen 3.0 vil ta inn sentrale endringer i lovverket Helseinformasjonssikkerhetsforskriften Supplering av Normen Veileder m/malverk: Etablering av avtaler og prosedyrer ved tilgang på tvers Forskrift om formaliserte arbeidsfellesskap Supplering av Normen Veileder m/malverk og avtaler: Etablering av behandlingsrettet helseregister i formalisert arbeidsfelleskap 13 Tilgang på tvers Tilgang på Tilgang på tvers tvers 27.10.2011 Normen om utveksling av informasjon 19 www.normen.no sikkerhetsnormen@helsedir.no 27.10.2011 Normen om utveksling av informasjon 20