Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1 Alle deltagere skal ha med veilederen (papir eller elektronisk) Norm for informasjonssikkerhet Modul 2 – Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner

Bakgrunn for veilederen Tema for veilederen Innhold Bakgrunn for veilederen Tema for veilederen Personvern og rettsikkerhet Informasjonssikkerhet i fagsystemene Sjekklister Instruktørnotater: Målgruppe Rådmann / Fylkesrådmann Kommunalsjef / Kommunaldirektør / Etatssjef Avdelingsleder / Enhetsleder Helsepersonell / Saksbehandlere Sikkerhetskoordinator IT-fagsystemansvarlig Databehandler Personvernombud Gjennomgang av kursets innhold pkt 1 til 5 Denne veilederen spiler tjenestene i Håndbok om helse og sosialtjenesten i kommunen. IS-1579: http://www.helsedirektoratet.no/publikasjoner/h_ndbok_om_helse__og_sosialtjenesten_i_kommunen_294734 Spørre hvilke roller som er i salen? Invitere til spørsmål.

1. Bakgrunn for veilederen Økt samhandling Høy grad av elektronisk registrering og bruk av fagsystemer i helse- og sosialtjenesten Usikkerhet om hvilke krav som stilles Store ulikheter i håndtering av helse- og personopplysinger i kommunene Kompleks hverdag og tverrfaglig samhandling Instruktørnotater: Brukerorganisasjonene (FFO og SAFO) stilte spørsmål til om kommunen ivaretok personvern på en tilfredsstillende måte Datatilsynets rapporter viser mangler og avvik Kommunal rapport 18/2009 – undersøkelse: Viser bl.a. at 2 av 10 kommuner følger ikke Datatilsynets retningslinjer for behandling og lagring av elektroniske informasjon 7 % av kommunene har ikke slike sikkerhetsrutiner i det hele tatt En del kommuner: Mindre kjennskap til et komplekst regelverk - behov for veiledning

Eksempler på sikkerhetsbrudd ”Kommunal legevakt hadde mangelfull avtale om drift av journalsystem med sykehuset som slettet alle journaler i tidsrommet mai til august 2009” ”Minnepinne med PPT-rapporter ble mistet og funnet av tilfeldig forbipasserende. Omfattende mediasak og kritikk av kommunen med resultat svekket omdømme” ”Det ble tatt utskrift av pasientopplysninger - og ikke hentet fra skriver umiddelbart. Skriveren sto i et fellesareal der mange, både besøkende og ansatte hadde tilgang til” ”I et fåtall av kommuner har de tidligere bekreftet at de ikke har organisert autorisasjonstilgang i forhold til hvem trenger hva av opplysninger. Dvs. at alle i de ulike tjenestene, hjemmehjelp, hjemmesykepleie, fysioterapeut, ergoterapeut etc. hadde tilgang til alle pasientopplysninger” Instruktørnotater: Har noen i salen eksempler på sikkerhetsbrudd?

2. Tema for veilederen Førende anbefaling for personvern og informasjonssikkerhet Den registrertes rettssikkerhet Sikkerhetskrav for fagsystemer ved etablering i bruk ved utfasing www.normen.no Instruktørnotater: Forklare hvem ”den registrerte” er Med ”registrert/den registrerte” menes den som helse- og personopplysninger kan knyttes til, jfr. helseregisterloven § 2 nr. 10 og personopplysningsloven § 2 nr. 6. Eksempler og begreper som brukes om den registrerte er søker, pasient, bruker og mottaker. NB! Også den pårørende Snakke om temaer, men nevne at fasene (etablering, bruk, utfasing) ikke blir omtalt senere i kurset Å bytte system medfører utfasing og etablering Åpne normen.no og vis veilederen med innholdsfortegnelse og kapitler/struktur Omfattende i temaer, men i dette kurset omtales de viktigste temaene. Det er selvfølgelig åpning for å stille spørsmål om andre temaer

3. Personvern og rettsikkerhet Overordnet om personvern Grunnleggende personvernhensyn Personlig integritet Privatlivets fred Tilstrekkelig kvalitet på personopplysningene Instruktørnotater: Personopplysningsloven med forskrifter (implementering av EUs personverndirektiv, menneskerettighetsperspektivet) Denne veilederen går lengre enn Normen (sosialtjenesten) En rekke andre lover (hrl, sostjl)

3. Personvern og rettsikkerhet Den registrertes rettigheter og kommunens plikter Taushetsplikten Informasjonsplikt Informert samtykke Innsyn Retting / Sletting Instruktørnotater: Den registrerte har rettigheter iht lov/forskrift som kommunen oppfylle Snakk rundt disse punktene: Helsedirektoratet har utviklet en e-læringsmodul i “informert samtykke”. (se www.helsedir.no/iplos/laeringsarena) Innsyn: Har rett til å få innsyn / kopi av journalen / forklaring av vanskelige medisinske uttrykk, se pasientrettighetsloven § 5-1

4. Informasjonssikkerhet i fagsystemene Fagsystem/system for tjenestedokumentasjon IT-system som behandler helse- og personopplysninger - begrepet systemløsning brukes også Eksempler Pleie- og omsorgsystem/EPJ Legekontorsystem (EPJ) Barnevernsystem Instruktørnotater: Er det noen i salen som har eksempler? Barnevernsystem omfattes ikke av håndboken men gir et eksempel der også denne veilederen kan ha nytte.

4. Informasjonssikkerhet i fagsystemene Etablere/revidere styringssystem for informasjonssikkerhet Styrende, gjennomførende og kontrollerende del Behandling av helse- og personopplysninger Allmennlegetjeneste Botilbud Fysioterapi Hjemmesykepleie / Psykisk helsearbeide Individuell plan er sammensatt av flere behandlinger Instruktørnotater: Styringssystem Vise Faktaark 2 – Styringssystem for informasjonssikkerhet fra www.normen.no Er det et eksisterende styringssystem i kommunen så skal dette benyttes Behandlinger Si hva en behandling (definert i lovene) av helse- og personopplysinger er Vis til veilederen kap. 5.3 ”Håndbok om helse- og sosialtjenesten i kommunen” (Helsedirektoratet) spesifiserer tjenester (og behandlinger) i kommunene

4. Informasjonssikkerhet i fagsystemene Utfordring med tilgangsstyring – autorisasjon må ses i sammenheng med behandlinger: Flere behandlinger i samme fagsystem Tilgangsstyring gjenspeiler ikke kravet om å skille ulike behandlinger Hva gjør kommunen da? Hvilke behandlinger finnes (jfr håndbok) Hvem skal ha tilgang – roller og behov Hvordan løse tilgangsstyringen – bevissthet ved anskaffelse og bruk av fagsystem Instruktørnotater: Definere hvilke behandlinger som finnes – vise tabellverk i veilederen på normen.no Spørre deltagere: Hva mener dere om tilgang? Hvordan fungerer det i deres kommune?

4. Informasjonssikkerhet i fagsystemene Konfigurasjonskontroll og dokumentasjon Elektronisk samhandling internt og eksternt Opplæring i fagsystem Interkommunalt samarbeid Interkommunale tjenester (f.eks. PPT, IKT, legevakt) Databehandler Instruktørnotater: Konfigurasjonsendringer, dvs. endringer i utstyr og/eller programvare, skal ikke settes i drift før følgende tiltak er gjennomført: Risikovurdering som viser at nivå for akseptabel risiko oppfylles Test som sikrer at forventede funksjoner er ivaretatt Implementering som sikrer mot uforutsette hendelser Ny konfigurasjon er dokumentert Konfigurasjonsendringer er godkjent av virksomhetens leder eller den ledelsen bemyndiger Eksempler på elektronisk samhandling internt og eksternt Tverrfaglig samhandling i og utenfor kommunen (Pleie og omsorg – fastlegene, helsestasjon – fødeavdelingene, PPT-flyktning-barnevern og i forbindelse med utarbeidelse av individuell plan: f.eks. samarbeid mellom kommunen og spesialisthelsetjenesten) Elektronisk meldingsformidling NB! Instruktør må velge egne eksempler. Har noen i salen eksempler? Ref. Forskrift og veileder om individuell plan med krav om ekstern samhandling (aktører utenfor kommunen) Ref. IPLOS-forskrift og veileder

4. Informasjonssikkerhet i fagsystemene Risikovurdering Avvik og avvikshåndtering Sikkerhetsrevisjon Instruktørnotater: Risikovurdering Ved vesentlige endringer Ved innføring av nye løsninger Ved vesentlige avvik Følgende momenter kan være aktuelle å risikovurdere ved etablering av et fagsystem: hendelser og mulige konsekvenser knyttet til at ulike behandlinger legges i samme fagsystem eller andre systemer for tjenestedokumentasjon uautorisert tilgang til og bruk av fagsystemet bruk av minnepinne (innebærer f.eks. risiko for ondsinnet programvare og helse- og personopplysninger på avveie) eventuelle svakheter ved tilgangsstyringen, spesielt når fagsystemet inneholder flere behandlinger (skal hindre uautorisert tilgang) risiko knyttet til bortlåning av ID og passord sikring slik at uautoriserte personer utenfor virksomheten, uansett ressurser og kunnskap, ikke skal kunne få tilgang til og/eller kunne endre eller slette helse- og personopplysninger at data kan tilbakekopieres fra sikkerhetskopier om data blir slettet eller blir inkonsistente tiltak som skal sikre at avvik oppdages (f.eks. gjennom hendelsesregistrering) Avvik Resultat av kontroll av hendelsesregistrering pga mangelfull tilgangsstyring Omtale sikkerhetsrevisjon

Sjekklister: før etablering av fagsystem når fagsystemet er i bruk ved utfasing av fagsystemet Instruktørnotater: Omtaler sjekklistene i veilederen jfr kap 5.3 Vis sjekklistene i veilederen på www.normen.no. Samme sjekkliste benyttes for etablering og bruk Bruk kapittel 3.1 i veilederen Som sjekkliste for å verifisere at kravene er ivaretatt Ved etablering av et nytt fagsystem Følg med på nhn.no for nye tjenester i helsenettet