Kompetanseprogram for informasjonssikkerhet Opplæring av instruktører/ledere i egen kommune Landsdekkende kompetanseprogram For alle ansatte i helse og omsorg i kommunene

Hvorfor informasjonssikkerhet? Hva er kompetanseprogrammet? © Norsk Helsenett. All bruk og kopiering av opplæringsprogram og filmer krever tillatelse.  Overtredelse vil bli anmeldt Agenda Hvorfor informasjonssikkerhet? Hva er kompetanseprogrammet? Hva skal du lære dine ansatte? Hvordan gjennomføre opplæringen? Les opp agendapunkter

Hvorfor informasjonssikkerhet?

Informasjonssikkerhet Kompetanseprogram Opplæring Kunnskap Holdninger Adferd INFORMASJONS- SIKKERHET Teknisk sikkerhet Rutiner og sikkerhets-organisasjon Bevisste brukere Sikkerhetstjenester Identitetsfederering Sikker tilgang fra eksterne nett Sikkerhetsovervåking Public Key Infrastructur Logganalyseverktøy / mønstergjenkjenning Datalekkasjebeskyttelse Identitets – og tilgangsstyring Rollestyrt Beslutningsstyrt Håndtering/Forvaltning Kort gjennomgang av tredelingen med vektlegging av brukerdelen. 80% av informasjonssikkerhet er bevisste brukere. Rammeverk/Styringssystem Strategiske føringer Risikostyring Kontinuitets- og beredskapsplanverk Hendelseshåndtering 4

Definisjon av informasjonssikkerhet Tilgjengelighet Informasjon og systemer er tilgjengelig ved behov Integritet Informasjon er korrekt og pålitelig Konfidensialitet Informasjon er kun tilgjengelig for de som har lovlig tilgang Dette er definisjonen på hva INFORMASJONSSIKKERHET er. Informasjonssikkerhet er alle tiltak som sikrer: Tilgjengelighet Integritet Konfidensialitet

Informasjonssikkerhet i praksis er å Sikre at pasientens/brukerens informasjon ikke kommer på avveie Sikre at de som skal ha tilgang, får det Forhindre tap av liv og helse som følge av feil i registrerte pasient/brukeropplysninger Melde hendelser og avvik Bidra til at pasientenes/brukernes tillit til helsepersonell ivaretas Unngå renommésvikt som følge av uheldige oppslag i pressen Eksempler på uheldige hendelser i avisene på de neste bildene. Gå raskt igjennom disse.

Sensitiv informasjon Kompetanseprogrammet er rettet mot å sikre pasientinformasjon Annen informasjon vi må sikre er Informasjon om ansatte – som også kan være sensitive personopplysninger Virksomhetskritisk informasjon I tillegg til pasientinformasjon er det andre kategorier av informasjon vi må sørge for å sikre.

Tilknytning til Normen Bunntekst

Nå skal vi se en film (Klikk på bildet for å starte filmen) Vis film og gå til neste bilde

Ditt ansvar som instruktør/leder er å Gi de kommune ansatte opplæring i informasjonssikkerhet. Tydeliggjøre at hver enkelt ansatt har et ansvar Bidra til å sikre pasientinformasjon og forhindre… I de neste bildene kommer uheldige avisoverskrifter

50 personnummer og navn er sendt i posten til pasient. De gule huskelappene som dere også så i verdifilmen knytter vi til avisoverskriftene.

Pasient har mottatt informasjon om annen pasient i E-POST

Sensitiv informasjon funnet på en BUSS-STOPP

Legen skrev informasjon til en pasient på et tilfeldig ark på pulten. Arket inneholdt pasientopplysninger om andre pasienter

23 navngitte pasienter med diagnose og fødselsdato på Helsedirektoratets hjemmeside

På baksiden av giroblankett sendt til pasient sto det trykket en hel pasientliste som har vært til psykiatrisk behandling.

Dette er siste presseutklipp Flere pasienter har henvendt seg til pasientombudet i Vestfold med klager på at taushetsplikt brytes i korridorer og venterom Dette har vi illustrert i en film, vi skal vise snart…. Men først skal vi se Verdifilmen

Hva skal du lære dine ansatte? Nå kommer temaene du skal lære dine ansatte.

De 8 huskelappene Her er de 8 kjernebudskapene i kompetanseprogrammet I de foregående presseoppslagene var disse budskapene koplet til reelle saker. Ikke les opp hver enkelt huskelapp. De er allerede presentert i verdifilmen Blir presentert igjen snart…

Virkemidler Veileder(i mappe + på nett) Presentasjon for opplæring av de ansatte (notatsider i mappe) Verdifilmen forteller hva som er kjerneverdiene i kompetanseprogrammet. Fem humorfilmer hjelper deg å få oppmerksomhet knyttet til budskapene i kurset samt bidra til å huske det som gjennomgås i kurset Diskusjon og refleksjon Finne forbedringsområder Veileder ligger i mappen – den inneholder mye av det vi gjennomgår i dag Presentasjon i Power Point - gjennomgås etterpå. Verdifilm – har sett Humorfilmer – Skal se en film etterpå Diskusjon og refleksjon – knyttes til filmene – det ligger et veiledningshefte i mappen dere har fått – si litt om hvordan lederne kan benytte dette. Viktig å understreke at de må være forberedt. Forbedringsområdet – 3 E-læringsprogrammer: - Alle ansatte (ferdig) - For ledere (kommer) - For IKT-ansatte (kommer) Annet materiell – Se eksempler neste bilde

Jeg låser PC-en enten ved å; Trykke Windows knappen og L eller; Trykke Ctr + Alt + Del og ”Lås datamaskin” Jeg logger også av fagsystemer. Jeg logger av PC-en når jeg er ferdig for dagen Jeg husker alltid å lagre hver gang jeg forlater PC-en Hvorfor er dette viktig? Hindre uautorisert tilgang til pasientinformasjon, gjennom å; Sikre deg mot at kolleger bruker ditt brukernavn Sikre deg mot at andre får tilgang til pasientopplysninger Sikre deg mot at andre kan lese det du har oppe på skjermen  Si KUN: De neste 8 bildene forklarer hver enkelt huskelapp. Vi går ikke gjennom i detalj Dette gir dere bedre bakgrunnsinformasjon Kan velge å bruke det i opplæring i egen enhet. Konkrete tips Hvorfor det er viktig LES HUSKELAPPEN bare og dvel noen sekunder så kan de selv skumme innholdet Uønsket hendelse: Logger seg ikke av eller låser ikke maskinen. Uvedkommende kan få innsyn/ misbruke annens bruker. Årsak: I en travel hverdag tar man seg ikke tid til å logge av ”Skal bare ut et øyeblikk – gidder ikke låse maskinen” Sykehus er åpne bygg, uvedkommende har enkel adgang. I klinikken er det ofte bruk av felles-PC-er. Disse kan ikke restartes for hver gang en ny bruker skal inn, hvilket vil måtte gjøres om man skal låse egen tilgang. Konsekvens: Du kan bli beskyldt for aktiviteter eller feil som andre som låner din bruker har gjort. Uvedkommende kan få tilgang til pasientopplysninger. Referanser: Personopplysningsforskriftens § 2-14 og § 2-16 Norm for informasjonssikkerhet i helsesektoren kap 5.4.2

Jeg ber aldri om å få låne andres passord Jeg deler aldri passordet mitt med andre Et godt passord er enkelt å huske for meg, og vanskelig å huske for andre Jeg kontakter brukerstøtte dersom jeg glemmer passordet mitt. Hvorfor er dette viktig? Ditt brukernavn blir registrert på alle endringer/innsyn. Du er ansvarlig for de endringer/innsyn som skjer i ditt navn – selv om det ikke er du som har sittet bak tastaturet. Uønsket hendelse: Låne bort brukerid/ passord og kode Svake passord Årsak: Noen glemmer brukerid/ passord: Kan du gi meg passordet til maskinen din? Skal bare kjapt se på noe. Dårlige passord er lett å gjette for andre med uærlige hensikter, eller skadelig programvare med funksjonalitet for passordknekking Konsekvens: Du kan bli beskyldt for aktiviteter eller feil som andre som låner din bruker har gjort. Uvedkommende kan få tilgang til helsevesenets servere (”hacking”) og kan gjøre store skader Passord som er enkle å gjette fører til at sensitiv informasjon eksponeres ovenfor uvedkommende internt eller eksternt Referanser: Helsepersonellovens § 21 (Aktivt brudd på taushetsplikt å låne bort brukerid/ passord) Norm for informasjonssikkerhet i helsesektoren kap 5.2.1 Norm for informasjonssikkerhet i helsesektoren kap 5.3.1- Faktaark 31

Jeg oppsøker ikke mer informasjon enn jeg må for å gjøre jobben min Jeg oppsøker ikke pasientinformasjon om andre enn mine pasienter Jeg åpner ikke venners, familiemedlemmers eller egen journal Hvorfor er dette viktig? Du har kun anledning til å lese i journalen til de pasienter du har ansvar for å yte helsehjelp til eller dersom du har annet lovlig grunnlag. Hva om noen leste din journal noen uten lovlig grunnlag? Uønsket hendelse: Snoking i pasientjournalen Årsak: "Lurer på hva Ari Behn har hatt av kjønnssykdommer? Hvordan er helsa til de som har søkt jobb her?" "Hørte det var et interessant tilfelle på den andre avdelingen. Faglig nyttig å se litt på det i journalen…" "Jeg må da kunne slå opp i min egen journal via journalsystemet!" Mangelfulle rutiner knyttet til autorisasjon Mangelfull forståelse for tilgangsmatriser Informasjonssikkerhet er ikke bare å hindre, men å sikre kvalitet og tilgjengelighet. Eksempler: http://www.vg.no/helse/artikkel.php?artid=542032 Konsekvens: Brudd på eksplisitte lovbestemmelser. Referanser: Helsepersonelloven§ 21a: Forbud mot urettmessig tilegnelse av taushetsbelagte opplysninger Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte opplysninger som nevnt i § 21 uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift. Rapport "Tilgangsstyring i Helse Øst" Norm for informasjonssikkerhet i Helsesektoren kap 5.5.2

Jeg legger alltid dokumenter tilbake der de skal være «En manns søppel er en annen manns skatt» Jeg legger alltid dokumenter tilbake der de skal være Jeg skriver kun ut det jeg må og passer på at det går til rett skriver Jeg henter alltid utskriftene mine med en gang Jeg makulere alltid dokumenter med pasientinformasjon Hvorfor er dette viktig? Det hindrer utilsiktet utlevering av pasientinformasjon Det hindrer uautorisert tilgang til pasientinformasjon Det hindre at pasientinformasjon kommer i gale hender Uønsket hendelse: Dokumenter på feil sted. Gjenglemt på møterom, benyttet feil printer, ikke henter utskrift, hjemme, trikk, søpla osv. Årsak: Dagens tekniske løsninger er ikke tilpasset arbeidsrutiner – det tas unødvendige utskrifter Pasientopplysninger er lagret på sikker sone. Skrives de ut og tas med på bussen er de ute av sikker sone… Konsekvens: Pasientopplysninger på avveie. Brudd på taushetsplikt Dårlig renommé Svekket pasientsikkerhet Brudd på personoppl.lov Referanser: Helsepersonellovens § 21 (Taushetsplikt) Pasientrettighetsloven § 3.6 – pasientens vern mot spredning av informasjon Norm for informasjonssikkerhet i helsesektoren kap 5.4.2

Minnepinner er enkle å miste og kan lett spre virus. «En manns søppel er en annen manns skatt» Minnepinner er enkle å miste og kan lett spre virus. Jeg lagrer pasientopplysninger kun slik min arbeidsgiver har bestemt Jeg aldri har pasientopplysninger på bærbart utstyr utenfor sykehuset Hvorfor er dette viktig? Jeg sikrer sykehuset mot virusangrep Jeg sikrer pasientinformasjon Jeg tar taushetsplikten alvorlig Uønsket hendelse: Minnepinner med pasientinformasjon - lett å glemme/miste Årsak: Minnepinner er lett å miste kan komme på avveie. "Skulle så gjerne blitt ferdig med denne rapporten i kveld – jeg tar den med meg på en minnepinne." Konsekvens: Pasientopplysninger på avveie. Brudd på taushetsplikt. Dårlig renommé. Svekket pasientsikkerhet. Kan spre virus og ondsinnet kode som kan føre til stans i IT-systemene. Eksempel: http://www.dagensmedisin.no/nyheter/2008/03/11/mistet-taushetsbelagt-info/ Referanser: Norm for informasjonssikkerhet i helsesektoren kap 4.5 og 5.5.2, faktaark 34 (Virksomheten skal vite hvor alle personopplysninger er lagret, dvs også alle kopier. Det er et virksomhetsansvar å ha etablert rutiner og ordninger for slik dette, ref internkontroll. Den enkelte er pliktig til å etterleve vedtatte rutiner. Bruk av uautorisert minnebrikke for dette formål, blir dermed brudd på retningslinjer fra sykehuset.)

Jeg snakker ikke om pasienter på offentlig sted eller i kantina «Tale er sølv, taushet er gull» Jeg vet at pasientopplysninger er taushetsbelagt. Taushetsplikten gjelder også mellom helsepersonell Jeg passer på at ikke uvedkommende lytter når jeg snakker med kollegaer om pasienter Jeg snakker ikke om pasienter på offentlig sted eller i kantina Jeg passer på at ingen lytter når jeg snakker om pasienter i telefonen Hvorfor er dette viktig? Det hjelper meg å sikre pasientinformasjon Uønsket hendelse: Prat/ muntlig – telefon, offentlige rom - pasientopplysninger Årsak: Prater på bussen eller kantina. Antar at ingen hører hva man sier. Mange snakker høyt i mobiltelefon og er ikke klar over det selv. Konsekvens: Pasientopplysninger på avveie. Brudd på taushetsplikt. Referanser: Helsepersonellovens § 21 Norm for informasjonssikkerhet i helsesektoren kap 5.1

Jeg svarer ikke pasienter på e-post «Det er ingen angreknapp på Internett» Jeg sender ikke pasientopplysninger på e-post, verken internt eller eksternt, Jeg svarer ikke pasienter på e-post Jeg bruker kun godkjente løsninger for å sende pasientinformasjon Hvorfor er dette viktig? Pasientinformasjon kan komme til feil mottaker. E-post er usikker kommunikasjonsform og ulovlig Uønsket hendelse: Sensitiv informasjon i epost på avveie Årsak: Stor risiko for spredning av informasjon - feil mottaker - ukryptert kommunikasjon Konsekvens: Dersom det er personopplysninger her vil taushetsbelagt informasjon komme på avveie. Referanser: Norm for informasjonssikkerhet i helsesektoren kap 5.7.2 og 5.7.3

Jeg bruker ikke samme passord på Internett som på arbeidsplassen «Det er ingen angreknapp på Internett» Jeg legger aldri ut, direkte – eller indirekte, pasientinformasjon på Internett Jeg bruker ikke samme passord på Internett som på arbeidsplassen Jeg avslår venneforespørsler fra pasienter for å unngå å komme i en konfliktsituasjon i forhold til taushetsplikten Hvorfor er dette viktig? Det hjelper meg å i vareta det ansvaret jeg har som helsepersonell Jeg har et ansvar for ikke å skade sykehusets omdømme Uønsket hendelse: Sensitiv informasjon / interne forhold eksponeres gjennom ansattes bruk av nettsamfunn (f.eks Facebook) Årsak: Helsepersonell lekker sensitiv informasjon på nettsamfunn, bevisst eller ubevisst (f.eks gjennom bilder fra arbeidsplassen) Pasienter kan ”søke opp" helsepersonell. Helsepersonell blir venner med (tidligere) pasienter. Konsekvens: Brudd på taushetsplikt. Referanser: Helsepersonellovens § 21

Nå over til humorfilmene: Yngve i resepsjonen Klikk på bildet for å starte filmen Dette er 1. humorfilm (av 5) Viktig: Før du viser humorfilmene husk å presisere at dette er overdreven humor, ting er satt på spissen, men kanskje det allikevel er en kjerne av sannhet i det.  

Smith-Jenssen, prof.dr.med Klikk på bildet for å starte filmen Dette er 2. humorfilm (av 5) Viktig: Før du viser humorfilmene husk å presisere at dette er overdreven humor, ting er satt på spissen, men kanskje det allikevel er en kjerne av sannhet i det.

Narvestad - driftsleder Klikk på bildet for å starte filmen Dette er 3. humorfilm (av 5) Viktig: Før du viser humorfilmene husk å presisere at dette er overdreven humor, ting er satt på spissen, men kanskje det allikevel er en kjerne av sannhet i det.

Yngve på medisinrunde Klikk på bildet for å starte filmen Dette er 4. humorfilm (av 5) Viktig: Før du viser humorfilmene husk å presisere at dette er overdreven humor, ting er satt på spissen, men kanskje det allikevel er en kjerne av sannhet i det.

Piirka på sykebesøk Klikk på bildet for å starte filmen Dette er 5. humorfilm (av 5) Viktig: Før du viser humorfilmene husk å presisere at dette er overdreven humor, ting er satt på spissen, men kanskje det allikevel er en kjerne av sannhet i det.

Hvor finner jeg informasjon om programmet: Bunntekst

Hvor finner jeg informasjon om informasjonssikkerhet? Helsedirektoratet www.normen.no

www.normen.no Har egne faktaark/veiledere for ulike «problemstillinger»

Hvor finner jeg informasjon om informasjonssikkerhet? Datatilsynet Si litt om hvor de kan finne mer informasjon om informasjonssikkerhet.

HvORDAN GJENNOMFØRE OPPLÆRINGEN? Nå kommer temaene du skal lære dine ansatte.

Læring Illustrasjon av læringskurve – med denne som bakgrunn anbefaler NHN; (kommer på neste side)

Rammer for opplæring Vi anbefaler 3 x ca. 30-40 minutter Inndeling i 3 kurs bidrar til å øke innlæringen Hver intsruktør må beregne noe tid til forberedelse Sette opp egnet utstyr Sette seg inn i innholdet i de enkelte kursdelene (veileder, bakgrunnsinformasjon og evt anbefalinger) Har du spørsmål til hvordan du skal gjennomføre opplæringen? Ta kontakt med; Lisbet Guttormsen i NHN eller noen av våres piloter: …… Kulepunkt 2: PC Høyttalere med god lyd (Kan lånes) Prosjektor