Anne Marie Dalen Øverhaug Kvalitetsregisterkonferansen

Presentasjon om: "Anne Marie Dalen Øverhaug Kvalitetsregisterkonferansen"— Utskrift av presentasjonen:

1 Anne Marie Dalen Øverhaug Kvalitetsregisterkonferansen
Helse Sør- Øst - bærekraftig utvikling i tråd med oppdraget Anne Marie Dalen Øverhaug Kvalitetsregisterkonferansen 18. Juni 2010 Presentere meg…. Takk for at jeg fikk komme å presentere det jeg virkelig ”brenner” for. Kanskje litt for mye av og til, men jeg mener jeg har evnen til å avbalansere sikkerhet mot andre behov, bl.a. brukervennlighet og pasientinteresser. Målet er god og robust informasjonssikkerhet til beste for Helse Sør-Øst som helhet til beste for hvert helseforetak og den daglige pasientbehandlingen, og ikke minst gi trygghet ved å sikre pasientene våre! Vi skal ha robuste, trygge og sikre løsninger innenfor alle områder; med Pasientsikkerhet som hovedfokus Sikkerhet for våre medarbeidere, både innenfor for personvern og med sikre pålitelige løsninger Sikre løsninger og systemer Slik skal vi være med å sikre en bærekraftig utvikling i tråd med oppdraget!

2 Hvorfor fokus? Risiko- og sårbarhetsanalyser Hendelser Avvik Tilsyn
Tilgang på tvers Økt samhandling Felles tjenester Behov åpning mot nye samhandlingsarenaer Nye forskrifter etter lovendring Utfordringsbildet er stort, - men vi bygger sten på sten og er godt i gang med å møte disse. Mange eksempler på hvorfor det er viktig – alt fra hendelser med medieeksponering til (les opp lista) Flere tiltak er identifisert som nødvendige for å oppfylle kravene til informasjonssikkerhet for helseregistre og kvalitetsregistre. Det er vanskelig og kostnadskrevende å bygge sikkerhet med: Ulike tekniske løsninger Ulike plattformer Ulike holdninger Jeg mener allikevel at vi har fått fokus på det og Hendelser knyttet til brudd på informasjonssikkerhet i sykehus er tema i media. Denne foilen viser noen eksempler på hendelser. Felles for disse sikkerhetsbruddene er at de skyldes ”glipper” som medfører at pasientinformasjon kommer på avveie. Dette kan skje både elektronisk og i form av papirdokumenter. Hva kan skje med våre 170 kvalitetsregistre dersom vi ikke sikrer dem? Er alle personopplysninger enten sikret eller anonymisert? Vi må vektlegge å sikre disse slik at pasientinformasjon ikke kan spores tilbake til person. Snoking, dvs å lete etter pasientopplysninger i journaler av ren nysgjerrighet, uten tjenstlig behov, var temasak for VG for et par år siden. Stadig større org. Enheter innen helse gjør at et økende antall personer potensielt kan få tilgang til pasientens journal. Dette krever at vi følger opp med tiltak mot snoking, som logganalyse og holdningsskapende arbeid Vi må gjøre ting i sammenheng med hverandre. Vi har mange pågående aktiviteter som sammen vil styrke informasjonssikkerheten. Gjøre det helt og fullt når vi gjør tiltak innenfor informasjonssikkerheten Ta ut de reelle verdier Godt eks er AdmHR Organisasjoner måles også i større grad på informasjonssikkerhet (f.eks Bærum kommune) 2

3 Personvern -> Pasientsikkerhet
Personvernet er viktig For pasienten For den ansattes integritet For pasientens tillit til helsepersonell (personlig ansvar) For pasientens tillit til helsevesenet (systemets ansvar) Personvern og informasjonssikkerhet er fastlagt i ulike lovkrav Godt personvern og informasjonssikkerhet sentral del av pasientsikkerheten Hva er informasjonssikkerhet og personvern? Handler om ivareta tilgjengelighet, integritet og konfidensialitet, og ikke minst kvalitet og sporbarhet til opplysningene Handler om å gi økt kunnskap og opplæring som gir kompetanse Handler om å gi gode holdninger og adferd i henhold til kravene Det er nødvendig å sikre våre registre både teknisk, med rutiner og bevisste brukere for å oppnå en god pasientsikkerhet. Informasjonssikkerhet er et fagområde som går på tvers av alt vi holder på med, som skal gi godt personvern og dergjennom og pasientsikkerhet. God informasjonssikkerhet handler like mye om å sikre tilgjengelighet til informasjon for personer med tjenstlig behov, som å skjerme informasjonen for uvedkommende. Tilgjengelige pasientopplysninger for helsepersonell er en forutsetning for forsvarlig behandling. God informasjonssikkerhet bidrar til at ansatte i helsetjenesten ivaretar taushetsplikten. Taushetsplikten er en forutsetning for å bevare pasientens integritet. Taushetsplikt er også lovregulert. En grunnleggende forutsetning for god pasientbehandling er åpenhet mellom pasient og behandler. Hvis pasienten tviler på at sensitiv informasjon er i trygge hender, kan dette hemme den nødvendige åpenheten. Helse Sør-Øst sine kjerneverdier er trygghet, kvalitet og respekt. Ivaretakelse av informasjonssikkerhet bidrar til oppfyllelse av alle disse. Lovkrav: Taushetspliktsbestemmelsene i helsepersonelloven Normen (Merk at Normen har en egen bestemmelse om opplæring ) Ny forskrift (også her egen § om opplæring) Informasjonssikkerhet - en del av den totale pasientsikkerheten 3

4 Informasjonssikkerhet
Kompetanseprogram Opplæring Kunnskap Holdninger Adferd INFORMASJONS- SIKKERHET Teknisk sikkerhet Rutiner og sikkerhets-organisasjon Bevisste brukere Sikkerhetstjenester Identitetsfederering Sikker tilgang fra eksterne nett Sikkerhetsovervåking Public Key Infrastructur Logganalyseverktøy / mønstergjenkjenning Datalekkasjebeskyttelse Identitets – og tilgangsstyring Rollestyrt Beslutningsstyrt Håndtering/Forvaltning Styringssystem Strategiske føringer Risikostyring Behandling pasient/personoppl. Kontinuitets- og beredskapsplanverk Hendelseshåndtering Hvordan er kvalitetsregistrene sikret for: Innsyn – ligger de på sirket PC, område og fil? – kan andre enn de som skal se opplysningene få tilgang til de? Utlevering – har man hjemmel eller forskrift for behandling? – hvem får tilgang til disse opplysningene? Er de teknisk sikret for tilgang? Har vi beviste brukere som kjenner til håndtering av opplysningene? Finnes det rutiner som beskriver håndtering av av kvalitetssystemet? 4

5 Informasjonssikkerhet - Lovkrav
Kvalitetsregistre må tilfredsstille lovkrav til informasjonssikkerhet: Personopplysningslov §13 Personopplysningsforskrift kapitel II Helseregisterloven §16 Norm for informasjonssikkerhet i helsesektoren Særlover og forskrifter som stiller krav til informasjonssikkerhet Personopplysningslov §13 Personopplysningsforskrift kapitel II Helseregisterloven §§13,16,18 Helseregisterlovens §§ 7 og 8 oppstiller vilkår for opprettelsen av hhv regionale og sentrale helseregister. Utgangspunktet er at slike registre hjemles direkte i lov.

6 Informasjonssikkerhet – Hva betyr det?
Planlagte og systematiske og dokumenterte tiltak for å ivareta tilfredsstillende informasjonssikkerhet Etterlevelse tilligger den Databehandlingsansvarlige Gjelder også ivaretakelse av lovens krav for de deler av behandlingen som foregår hos databehandlere Behandlingsgrunnlag og behandlingsansvarlig virksomhet Formål med behandlingen Konsesjon/Forskrift Samtykke Databehandlere har i tillegg en selvstendig plikt til å etterleve Sikkerhetsbestemmelsene som følger av helseregisterlovens §16 må følges Behandling av person- og helseopplysninger utover det som er avtalt med den databehandlingsansvarlige er å anse som en ulovlig behandling Nasjonale registre må avklares hvem som eier og drifter, ansvar må utredes og klargjøres Selvstendige krav til informasjonssikkerhet i forskrift Beskrivelse av informasjonssikkerhetstiltak Fokusere kort på at det er noen krav som skal oppfylles. Planlagte og systematiske tiltak for å ivareta tilfredsstillende informasjonssikkerhet Etterlevelse tilligger den Databehandlingsansvarlige. Gjelder også ivaretakelse av lovens krav for de deler av behandlingen som foregår hos databehandlere. Behandlingsgrunnlag og behandlingsansvarlig virksomhet Databehandlere har i tillegg en selvstendig plikt til å etterleve Sikkerhetsbestemmelsene som følger av helseregisterlovens §16 må følges Behandling av person- og helseopplysninger utover det som er avtalt med den databehandlingsansvarlige er å anse som en ulovlig behandling. Nasjonale registre må avklares hvem som eier og drifter, ansvar og må utredes og klargjøres. Selvstendige krav til informasjonssikkerhet. Beskrivelse av informasjonssikkerhetstiltak.

7 Informasjonssikkerhet – Forhold som må være i orden
Formål Databehandleravtale – klare rolle og ansvarsavklaringer Databehandlingsansvarlig/Databehandler Tilgjengelighet Konfidensialitet Integritet Taushetsplikt Samtykke Sporbarhet og logging Risikovurderinger Kontinuitet Et godt råd kan være å begynne med en risikovurdering – det vil gi en oversikt over hvor man står og gi et bilde på nødvendige tiltak – det er ikke nødvendigvis slik at det trenger å være svært ressurs- og kostnadskrevende å gjennomføre det – dere gjør det hver dag oppe i hodene deres – det er mer snakk om å dokumentere det – det er bedre å begynne et sted enn ikke ha det i det hele tatt. Da er vi på vei til et akseptabelt risikonivå. Man må få helseregistre og kvalitetsregistre sikre: Manglende Databehandleravtaler Manglende Sletting Manglende Kryptering Manglende Risikovurderinger Hva skjer dersom vi ikke får orden på disse forholdene og pasientopplysninger kommer på avveie. Vi har et ansvar for å sikre pasientopplysningene på en slik måte at de er trygge. Sikre tilgjengelighet for de som har tjenstlig behov Sikre konfidensialitet slik at informasjon ikke kommer på avveie med tilgangsstyring og begrenset tilgang (kryptering kan være nødvendig) når det er behov for det Sikre integritet ved at man kan god for at informasjonen er korrekt og etterrettelig. Kontinuitet – backup og reserveløsning

8 Det er sannsynlig at det usannsynlige vil skje….
Vi kan sikre oss ved å: bygge robuste infrastruktur og systemer sikre løsninger og redundans med hjelp av holdningsskapende arbeid Alle må bidra: Ledere Medarbeidere IKT personell Informasjonssikkerhetspersonell Prosjektledere Systemeiere SAMMEN blir vi gode! Sa Aristotele lenge før informasjonssikkerhet var et tema! Kan vi gjøre noe regionalt? Ja, - og det fordrer at vi enes tekniske løsninger og infrastruktur for helse- og kvalitetsregistre som vi regionalt kan sikre og gi dere kontroll på.