Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Kompetansesenter for personvern og informasjonssikkerhet

PublisertAsbjørn Holter Endret for 8 år siden

Liknende presentasjoner

Presentasjon om: "Kompetansesenter for personvern og informasjonssikkerhet"— Utskrift av presentasjonen:

1 Kompetansesenter for personvern og informasjonssikkerhet
Innføring i personvern og informasjonssikkerhet ved Oslo universitetssykehus Kompetansesenter for personvern og informasjonssikkerhet NB: Se også forklaringer i notatfeltet i denne fil. Kompetansesenter for personvern og informasjonssikkerhet

2 Den enkeltes interesse i å kontrollere bruken av
Hva er personvern? Den enkeltes interesse i å kontrollere bruken av opplysninger som angår en selv Hvem behandler opplysninger om meg? Hva brukes mine opplysninger til? Hvem utleveres opplysningene mine til? Hvor lenge oppbevares opplysninger om meg? Kompetansesenter for personvern og informasjonssikkerhet

3 Taushetsplikten Taushetsplikten innebærer: En plikt til å tie
En plikt til å hindre at uvedkommende får tilgang til opplysninger som er underlagt taushetsplikt Forbud mot å tilegne seg opplysninger du ikke har behov for i arbeidet En forutsetning for å etterleve bestemmelsen om taushetsplikten er forsvarlig håndtering og oppbevaring av opplysningene Kompetansesenter for personvern og informasjonssikkerhet

4 Pasientens tillit til sykehuset = den enkeltes ansvar
Bildet er copyright-beskyttet og må ikke videredistribueres eksternt. Kompetansesenter for personvern og informasjonssikkerhet

5 Tillit er en forutsetning for et godt helsevesen
Personvern er en avveining mellom konfidensialitet og tilgjengelighet til helse- og personopplysninger Kun de som trenger tilgang til helse- og personopplysningene gis tilgang Tilgang skal begrenses til opplysninger som er relevante og nødvendige for å yte god helsehjelp Alle har rett til å be om innsyn i sykehusets behandling av sine helse- og personopplysninger Opplysningene lagres på en forsvarlig måte Opplysningene slettes/anonymiseres når databehandlingen er ferdig Kompetansesenter for personvern og informasjonssikkerhet

6 (VG Nett) ”Dokumenter med fullt navn, personnummer og opplysninger om HIV-smitte og hepatitt ligger åpent tilgjengelig for pasienter, ansatte og besøkende på Ullevål sykehus. ” Illustrerer foregående foil: Selv om det skulle mangle fasiliteter for sikker makulering, forsvarer ikke det at man kaster sensitiv informasjon i vanlig papirkurv. Miljøesker eller vanlige søppelkurver kan ikke benyttes for makulering av sensitiv informasjon. Kompetansesenter for personvern og informasjonssikkerhet

7 Håndtering av helse- og personopplysninger
Det er ditt ansvar at opplysninger du får tilgang til håndteres korrekt! Eksempel: Hvis du ved en feil får i hendene en liste over pasienter, og denne ikke har relevans for din rolle i behandlingsforløpet, så er det ditt ansvar hvordan denne listen håndtere videre. Skal den slettes, så er det ditt ansvar at den makuleres forsvarlig. Er det andre som skal ha listen, er det ditt ansvar at den overleveres på en sikker og forsvarlig måte og til rette vedkommende. Kompetansesenter for personvern og informasjonssikkerhet

8 Utskrift og makulering av helse- og personopplysninger
Utskrift fra elektronisk pasientjournal el. andre pasientsystemer skal begrenses til et minimum Utskrift skal sikres umiddelbart og ikke bli liggende på skriver Utskrift skal makuleres straks det ikke lenger er behov for informasjonen Utskriften makuleres i makuleringsmaskiner, eller ved å kastes i avlåste beholdere for makulering Det er ikke tilstrekkelig at papiret rives i stykker og kastes i miljøesker Kompetansesenter for personvern og informasjonssikkerhet

9 Kompetansesenter for personvern og informasjonssikkerhet
Illustrerer foregående foil: E-post havner lett på avveie, noe de fleste har erfart i hverdagen. Av samme årsak gir ikke e-post sikker kommunikasjon for helse- og personopplysninger . Kompetansesenter for personvern og informasjonssikkerhet

10 Helse- og personopplysninger kan ikke sendes på e-post
Outlook er ikke laget for sikker behandling av helse- og personopplysninger stor risiko for feilforsendelse e-post som sendes til eksterne, blir liggende hos kommersielle leverandører som Telenor og kan avlyttes e-post som sendes, blir liggende i søkbar form i avsenders og mottakers e-postsystem ingen garanti for at e-posten kommer frem Unntak for intern e-post, men: se egen instruks i eHåndbok for betingelser og fremgangsmåte: ”Bruk av e-post for kommunikasjon med og om pasienter” opplysningene må være tilnærmet anonyme Kryptering krever tekniske tiltak hos både avsender og mottaker. Ikke alle sykehussystemer tillater mottak av kryptert epost (grunnet beskyttelse mot virus eller ondsinnet programvare). Selv om opplysningene kodes (for eksempel ved at navn erstattes med et tall), er de ikke kryptert. Se styrende dokument i eHåndbok; ” Bruk av e-post for kommunikasjon med og om pasienter” Kompetansesenter for personvern og informasjonssikkerhet

11 Kompetansesenter for personvern og informasjonssikkerhet
Illustrerer forrige foil Kompetansesenter for personvern og informasjonssikkerhet

12 Helse- og personopplysninger kan ikke sendes med telefaks
Unntak: Faksmaskiner som har mulighet for kryptering Årsaken er tilnærmet lik som for e-post Lett å taste feil mottaker Kommunikasjonen går over usikrede linjer Man har ikke kontroll med mottakers situasjon Telefaks er ikke laget for sensitiv kommunikasjon Alternativ: Anonymisér opplysningene før de oversendes Ring opp mottaker etterpå og gi identitet over telefon I tillegg har ikke sykehuset kontroll på om teleleverandøren benytter internett / e-post som mellomledd i forsendelsen. Dette ser ikke avsender eller mottaker. Det er ikke uvanlig at slik teknologi benyttes. Ang. kryptering: Dette er ikke standard på de vanligste telefaksene og må bestilles særskilt. Det er en teknisk funksjon på telefaksen og må ikke forveksles med at man koder arket som fakses over. Kompetansesenter for personvern og informasjonssikkerhet

13 Spørsmål: Ville du ønske at din lege kommuniserer med andre om deg på e-post eller telefaks? Teknisk sett er dette som å snakke om pasienter på bussen hjem. Det er mange ledd man ikke har kontroll med og det er lett for andre å overhøre informasjonen. Kompetansesenter for personvern og informasjonssikkerhet

14 System for digital informasjonsbeskyttelse
All e-post som inneholder helse- og personopplysninger blir logget. En kopi av e-posten med eventuelle vedlegg blir lagret på en lukket server Avsender blir varslet når en e-post blir logget Seksjon for personvern og informasjonssikkerhet gjennomgår loggen. Seksjonen tar kontakt med avsender hvis det blir nødvendig å lese innholdet i e-posten, samt eventuelle vedlegg for å avgjøre om det foreligger et avvik Dette systemet fungerer uavhengig av om det står ”Ikke sensitivt innhold” eller ”ISI” i e-posten Kompetansesenter for personvern og informasjonssikkerhet

15 Sikkerhetsinstruksen: Brukertilgang
Brukernavn og passord kan utelukkende brukes av deg! Lånes ikke bort til andre, heller ikke til servicepersonell el. leder det finnes ingen unntak fra denne regelen må heller ikke gjøres tilgjengelig for andre (skrives på gule lapper el.l) ved behov for tilgang til leders e-postkasse (eks. sekretærer): leder må kontakte Sykehuspartner for at slik tilgang kan etableres uten at leders passord leveres ut Andres brukernavn og passord kan ikke lånes Andres påloggede bruker kan ikke lånes Det er ikke tillatt å søke etter pasientopplysninger man ikke direkte har behov for i sitt arbeid All aktivitet loggføres. Den som er innlogget, er ansvarlig for det som gjøres Sikkerhetsinstruksen gjenfinnes i eHåndbok Kompetansesenter for personvern og informasjonssikkerhet

16 Passordbeskyttet skjermlås / avlogging / skjerming
Når du går fra en PC må du enten logge helt av, eller: Benytte passordbeskyttet skjermlås: Windows-tasten L eller ”Ctrl + Alt + Del og Enter” På PC med felles Windows-pålogging: Bruk F8 i Doculive for hurtig utlogging Sørg for god skjerming av utstyr plassér skjermer, skrivere, telefakser utilgjengelig for publikum (Fra Martine: Der det jobbes i skranke og uvedkommende kan stå slik at de kan se noe av skjermen kan det brukes egne deksler på skjermen så man ikke ser fra siden. Kanskje litt sært) KOMMENTAR FRA HELGE TIL MARTINES KOMMENTAR: Kompetansesenter for personvern og informasjonssikkerhet

17 Sikkerhetsinstruksen: Hvor skal helse- og personopplysninger lagres?
Helse- og personopplysninger skal kun lagres i egne fagapplikasjoner DL, Pasdoc, DIPS, Ris/Pacs, m.m. Det er ikke tillatt å lagre helse- og personopplysninger … lokalt på PC (C:\…) på fellesområder eller eget hjemmeområde minnepenner el. andre bærbare lagringsmedier = stor risiko for at opplysningene mistes / havner i gale hender privat utstyr (PCer, smarttelefoner o.l.) GoogleDocs el. lignende tilbydere på internett Opprettelse av nye personregistre krever egen godkjenning godkjenning av avdelingsleder tilråding fra sykehusets personvernombud Personvernombudet kan kontaktes på Se også Kompetansesenter for personvern og informasjonssikkerhet

18 Elektronisk smittevern
Å hindre spredning av virus og ondsinnet kode er et felles ansvar Virus og ondsinnet kode har bidratt til at sykehusnett har vært ute av drift i flere dager Minnepenn utgjør den største risikoen for slik spredning Kan ikke brukes i sykehusnettet uten særskilt godkjenning fra personvernombudet Bruk av internett øker risikoen for sikkerhetsbrudd Surfing på nett fra sykehusets PC skal begrenses Ikke last ned bilder, programmer el.l uten avklart behov Kompetansesenter for personvern og informasjonssikkerhet

19 Bruk av Internett fra sykehusets PC
Utvis stor varsomhet ved opplasting av informasjon til Internett Ikke besøk ukurante nettsteder Begrens privat bruk av Internett-tilgangen Bruk av NettTV, Youtube og andre videoer på nett må være arbeidsrelatert skal begrenses av hensyn til kapasiteten i sykehusnettet Selv om det er mulig å besøke de fleste sider på internett, må brukeren likevel bruke godt skjønn. Ikke besøk sider som ikke har relevans ifht. egen stillingsinstruks. Kompetansesenter for personvern og informasjonssikkerhet

20 Installering av IT-utstyr og programvare
Det er utelukkende Sykehuspartner IKT som kan; koble PC til sykehusnettet installere programvare på en PC installere printere i sykehusnettet koble til trådløse sendere/mottakere kassere gamle PCer og slette harddisker og minnepenner utføre andre endringer som har med IT å gjøre Kompetansesenter for personvern og informasjonssikkerhet

21 Sosiale medier Vær gjerne aktiv på sosiale medier i fritiden
men husk på hvor du jobber Beskytt  personvernet til pasienten husk taushetsplikten unngå all omtale av pasienter, direkte eller indirekte vis skjønn, men det anbefales at du høflig avslår venneforespørsler fra pasienter for å unngå å komme i en konfliktsituasjon i forhold til taushetsplikten Ikke bruk din OUS-adresse eller arbeidstittel på Facebook, Twitter el.l. Du er selv ansvarlig for dine uttalelser Dette gjelder for alle fora du deltar i, både muntlig og skriftlig. Kompetansesenter for personvern og informasjonssikkerhet

22 Video-, lyd- og bildeopptak
Bruk av lyd- og bildeopptak forutsetter informert forhåndssamtykke fra den som er avbildet dersom ikke opptaket er del av journalføring gjelder alle som er avbildet, inkl. ansatte Det må innhentes tilråding fra personvernombudet for alle andre formål enn dokumentasjon av helsehjelpen, for eksempel.. opplæring og undervisning evaluering av pasientsamtaler overvåking av mottak, venterom, utearealer mm. opptak/bilder fra operasjon Opptaket skal være relevant for formålet opptak av ”forbipasserende” er ikke relevant Lagring av opptak skal skje på samme måte som for andre helse- og personopplysninger Kompetansesenter for personvern og informasjonssikkerhet

23 Studenter og observatører på visitter og operasjoner
Det er bare autorisert helsepersonell med en rolle i pasientbehandlingen av den enkelte pasient som kan; være tilstede under visitter eller operasjoner lese informasjon om pasienten lytte når annet personell samtaler om pasientens helse For andre kreves det forhåndssamtykke fra pasienten Samtykke må innhentes av behandlende personell Et generelt samtykke ved innkomst er ikke gyldig Eks. ”Dette er et universitetssykehus og du må derfor regne med at det er studenter tilstede under undersøkelsen” Alt annet er brudd på taushetsplikten For spørsmål om innsyn i journal: Se egne foiler Kompetansesenter for personvern og informasjonssikkerhet

24 Mer informasjon? eHåndbok www.oslo-universitetssykehus.no/personvern
Kompetansesenter for personvern og informasjonssikkerhet

Laste ned ppt "Kompetansesenter for personvern og informasjonssikkerhet"

Liknende presentasjoner

Personopplysningsloven: -innhold, styrker og svakheter

Personopplysningsloven: -innhold, styrker og svakheter
Astrid Øksenvåg Rådgiver EKOR AS

Astrid Øksenvåg Rådgiver EKOR AS
Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1

Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1
Kompetanseprogram for informasjonssikkerhet

Kompetanseprogram for informasjonssikkerhet
GoOnline publisering Hvordan komme i gang med GoOnline. Denne presentasjonen tar deg steg for steg gjennom oppsett av nettsted med bruk av GoOnline Proffesional.

GoOnline publisering Hvordan komme i gang med GoOnline. Denne presentasjonen tar deg steg for steg gjennom oppsett av nettsted med bruk av GoOnline Proffesional.
Sandsli videregående skole

Sandsli videregående skole
Elektroniske verktøy Diakonhjemmet nov 2011.

Elektroniske verktøy Diakonhjemmet nov 2011.
EVurdering Et webbasert system for elektronisk vurdering av søknader om forskningsmidler Kort presentasjon av elektronisk system for vurdering av forskningssøknader.

EVurdering Et webbasert system for elektronisk vurdering av søknader om forskningsmidler Kort presentasjon av elektronisk system for vurdering av forskningssøknader.
Krav til rettslig grunnlag for behandling av personopplysninger

Krav til rettslig grunnlag for behandling av personopplysninger
Kompetanseprogram for informasjonssikkerhet

Kompetanseprogram for informasjonssikkerhet
Slik kommer du til «Personverninnstillinger»: Logg inn på Facebook.

Slik kommer du til «Personverninnstillinger»: Logg inn på Facebook.
Slik kommer du til «Personverninnstillinger»: Logg inn på Facebook.

Slik kommer du til «Personverninnstillinger»: Logg inn på Facebook.
Elektroniske verktøy Diakonhjemmet nov 2009. Verktøyene Disse verktøyene blir brukt på Diakonhjemmet •Epost •PPS •Studentweb •Its learning.

Elektroniske verktøy Diakonhjemmet nov Verktøyene Disse verktøyene blir brukt på Diakonhjemmet •Epost •PPS •Studentweb •Its learning.
Etikk og nettvett i barnehagen

Etikk og nettvett i barnehagen
Kompetanseprogram for informasjonssikkerhet

Kompetanseprogram for informasjonssikkerhet
Krav til samtykke og informasjon.

Krav til samtykke og informasjon.
Pressekonferanse 25.8.2010 Pressekonferanse 25.august 2010 Storsatsing PC - er til elevene i vgs i Telemark fylkeskommune Hva betyr dette for læringsarbeidet.

Pressekonferanse Pressekonferanse 25.august 2010 Storsatsing PC - er til elevene i vgs i Telemark fylkeskommune Hva betyr dette for læringsarbeidet.
Lynkursdagene 2011 Webdrive Tilgang til UiO-disker utenfor UiO-nettet Mads Lomholt usit/sas/lipk.

Lynkursdagene 2011 Webdrive Tilgang til UiO-disker utenfor UiO-nettet Mads Lomholt usit/sas/lipk.
Elektroniske verktøy Diakonhjemmet nov 2012. Verktøyene Disse verktøyene blir brukt på Diakonhjemmet •E-post •PPS •NEL •Studentweb •Its learning.

Elektroniske verktøy Diakonhjemmet nov Verktøyene Disse verktøyene blir brukt på Diakonhjemmet •E-post •PPS •NEL •Studentweb •Its learning.
Surfing sosiale medier - kjendiser Om du lurer på om sosiale medier er noe for deg kan du titte på en del av inneholdet før du bestemmer deg. Vi skal se.

Surfing sosiale medier - kjendiser Om du lurer på om sosiale medier er noe for deg kan du titte på en del av inneholdet før du bestemmer deg. Vi skal se.

Liknende presentasjoner

Annonser fra Google