Senioringeniør Johan Braar Larsen, Datatilsynet 15.02.2005 Fyrtårn for samarbeid i helse- og sosial sektoren Spesielle utfordringer innen Personvern / sikkerhet Senioringeniør Johan Braar Larsen, Datatilsynet 15.02.2005

Innhold Ansvar / roller og avtaler Innledning og historikk Juridiske bestemmelser Sikkerhetsmessige bestemmelser Ansvar / roller og avtaler ”Innspill” om prosjekt - utfordringer Datatilsynets råd og veiledning

Innledning. Elektroniske løsninger og kommunikasjon: Store deler av helse og sosialsektoren har lavere bruk av IT-løsninger enn andre sektorer Lite elektronisk kommunikasjon Sektoren har ulike løsninger og ulike aktører Kommunikasjon og samarbeid er politisk satsing på en rekke felt Datatilsynet er positive til tiltak for bedre helse gjennom økt bruk av IKT - løsninger Datatilsynets oppgave er gjennom tilsyn, saksbehandling og veileding å bidra til at behandlinger av personopplysninger skjer i samsvar med personvernlovgivningen.

Regelhistorie. Personregisterloven: Sensitive konsesjoner i fysisk isolert system Konsesjoner for applikasjoner Konsesjoner for Databehandlere Sonebaserte retningslinjer med internkontroll Personopplysningsloven fra 01.01.01 med sikkerhetsforskriften ”kap. 2”: Risikobaserte løsninger med internkontroll NB. til 01.01.2003 ble ”løsninger” godkjent. Etter dette er det i praksis ikke gitt konsesjon etter at Datatilsynet har vurdert ”risikoen” i løsninger – men utført mange veiledningsmøter

Personvernbegreper Personopplysning (tilsvarer gml. begrep) Opplysninger og vurderinger som kan knyttes til en person. Sensitive personopplysninger (litt nytt) Opplysninger om rase, etnisk bakgrunn, politisk, filosofisk, religiøs oppfatning, straffbare forhold, helse, sex forhold eller fagforeningsmedlemskap Behandling (gml. begrep personregister) Enhver bruk av personopplysninger som f.eks. Innsamling, registrering, sammenstilling, lagring og utlevering eller kombinasjon av dette. Lovbestemt journalføringsplikt er den ”vanlige” meldepliktige behandlingen hver part oftest utfører. Behandlingsansvarlig (gml. registeransv.) Den som bestemmer formål, hjelpemidler v/behandlingen. Kommunen, helseforetaket eller fast-legen har alene ansvaret

Innledning om dagens lover Helseregisterlovens formål i §1: Formålet med loven er å bidra til å gi helsetjenesten og helseforvaltingen informasjon og kunnskap uten å krenke personvernet, slik at helsehjelp kan gis på en forsvarlig og effektiv måte ………………………. Balansegangen personvern / helsevern Forskning er vanskeligst, flere ankesaker til nemnda Sikkerhet, meste råd og veiledning, ingen saker nemnda Juridiske saker forøvrig er enda i avklaringer til tolkning Nye lover, forskrifter og kompetanse - Mange helseforetak / leger og kommuner har ulik kompetanse - Mange leverandører har forbausende ulik/lav kompetanse Nye lover og endringer Nettsentrisk journal har vært tema for utredninger siste 15 år Endringer av lover gjør Stortinget etter demokratisk prosess

Juridiske bestemmelser Helseregisterloven §13 om tilgang Bare den databehandlingsansvarlige, databehandlere og ”deres ansatte”, kan gis tilgang til helseopplysninger. Tilgang kan bare gis i den grad dette er nødvendig… Helsepersonellovens §45 om utlevering ….gi journalen eller opplysninger i journalen til andre som yter helsehjelp….det skal fremgå av journalen at annet… Andre teknologibestemmelser i HR §6 - Ikke iverksatt hjemmel om bruk av elektronisk signatur - Ikke iverksatt regel om godkjenning av programvare for EPJ Tilgangsbestemmelser i KITH-veileder - Mangelfullt realiserte løsninger for ”aktiv” tilgangsstyring

Sikkerhetsdefinisjon Informasjonssikkerhet for å motvirke fare for: tap av liv og helse, personlig integritet, anseelse, og økonomiske tap Ved slik fare skal planlagte og systematiske tiltak stå i forhold til risiko: Konfidensialitet Integritet Tilgjengelighet Tiltakene består av styringssystem (ansvar og rutiner)og sikkerhetstiltak (teknisk utstyr) som er ”risikovurdert” og dokumentert

Sikkerhets bestemmelse: POF §2-14 om sikkerhetstiltak: Sikkerhetstiltak skal omfatte tiltak som ikke kan påvirkes eller omgås av medarbeiderne, og ikke være begrenset til handlinger som den enkelte forutsettes å utføre. POF §2-14 kommentar til tiltak: Sikkerhetstiltak bør etableres slik at funksjonen til to uavhengige tiltak må påvirkes før et sikkerhetsbrudd får betydning for konfidensialitet, tilgjengelighet eller integritet for personopplysningene

Trusler mot sikkerhet Påført av noen fra ”utsiden” husk at ansatte hos andre parter er ”utsiden” Påført av noen fra ”innsiden” Andre trusler (feil ved strøm osv.) Det tas også hensyn til trusler mot lovpålagte krav ekstern nett Internt sone sikret sone

Risikovurdering En vurdering, ikke fullstendig NS 5814 Avveie konkret – se opp for ekstreme løsninger Fasit svaret ???? (virksomheten kan overprøves) Fri tilgang Absolutt taushet Virksomheten bør engasjere og styre ansatte, parter og leverandører ved aktiv bruk av akseptkriterier.

Akseptabelt risikonivå tips Bruk styrende formuleringer, ikke tallkoder …. Sikkerhetstiltak skal iverksettes slik at personer utenfor virksomheten ikke skal kunne forårsake hendelser med katastrofale / store / noen konsekvenser for enkeltmenneskers personvern. ….egne medarbeidere uten gode resurser og god/fullstendig kjennskap til sikkerhetstiltak skal ikke kunne forårsake katastrofale / store / noen hendelser … egne medarbeidere skal ikke ved uaktsomhet …... Kommuneveilederen viser det nivået på løsninger de fleste kommuner benytter. Denne og bransjenormen for helsesektoren (på høring) danner et godt grunnlag for å finne akseptabel risiko.

Dokumentert internkontroll Overordnede krav: Dokumentert internkontroll Juridisk: (Lite detaljer i kap. 3) Fastslå behandlingsansvar Sørg for kun å iverksette lovlige behandlinger Gjennomfør daglig ”definerte” oppgaver Kontrollere at dette går bra Sikkerhet: (mye detaljer i kap. 2) Avgjøre rammer for sikkerhet basert på risikovurdering Gjennomføre daglige ”definerte” oppgaver Kontrollere at dette går bra Kravet er forholdmessighet, og Datatilsynets erfaring fra tilsyn er at kommuner er kommet langt med teknologitiltak – ellers mangler mye dokumentasjon selv om praksis er ”passe”

Ansvar - I Bestemme formål og hjelpemidler Behandlingsansvarlig har straffeansvar: Bestemme formål og hjelpemidler Tilfredsstillende informasjonssikkerhet (akseptkriterier) Planlagte og systematiske tiltak (dokumentert) Behandlingsansvarlig ansvar,andre virksomheter at partene tilfredsstiller sikkerhetsbestemmelsene skal avtalefeste ansvar og oppgaver for sikkerhet elektronisk overføring til de som oppfyller forskriften Behandlingsansvarlig har ofte begrensede ressurser og kompetanse når produkter og tjenester benyttes. Likevel har de ansvaret, det anbefales derfor at avtaler klargjør løsninger og avsvar i alle tilfelle slik at uklarhet unngås.

Ansvar - II Oftest en datasentral eller en tjenesteyter Databehandler (utfører avtalte behandlinger) Oftest en datasentral eller en tjenesteyter Er lovpålagt å etterleve sikkerhetsbestemmelsene Vil likevel kunne ha ”uakseptable” sikkerhetstiltak Leverandør av programvare eller utstyr Ikke lovpålagt å levere ”akseptable” løsninger Sikkerhetsleverandører Ikke lovpålagt å gjennomføre ”akseptable” tiltak Nettleverandører (Muligens helsenett) Faller utenfor personvernsikkerhet som hovedregel Husk at leverandøren driver salg / markedsføring og at det kan forhandles om troverdigheten.

Tips og innspill vedrørende: - Deling av legemiddelinformasjon (TRH) Om praktiske løsninger: Feilmedisinering er et alvorlig helse- og personvernproblem Datatilsynet har fått presentert en rekke prosjekter på dette Juridiske sentrale hensyn: Finn tak i den behandlingsansvarlige (delt ansvar er tvilsomt) Felles database med delte databehandleravtaler er en tvilsom omgåelse av regelverket, mens god meldingsutveksling er bra. Sikkerhetsfaglige hensyn - Fullgod sikkerhetsharmonisering med konfigurasjonskontroll for felles tilgang er svært komplisert å gjennomføre. - Meldingsutveksling var ”bra” under helse-trygd-postkassen Andre tips Datatilsynet utfordrer alle til å finne en god ny meldingsløsning(Datatilsynet kjenner ikke til at Norsk helsenett har en godkjent teknisk løsning som ivaretar nødvendige sikkerhetskrav)

Tips og innspill vedrørende: - Meldingsformidling (STV) Om praktiske løsninger: Økt bruk av elektroniske meldinger kan bedre personvernet Det nevnes også Internettkommunikasjon overfor pasienter og en rekke andre kommunikasjonsparter – dette kan vi komme tilbake til ved behov da andre problemstillinger er viktige. Juridiske sentrale hensyn: Aktive handlinger for forsendelse av nødvendige opplysninger mellom behandlingsansvarlige ser ut til å være uproblematisk Sikkerhetsfaglige hensyn - Meldingsutveksling var ”bra” under helse-trygd-postkassen Andre tips Datatilsynet utfordrer alle til å finne en god ny meldingsløsning (Datatilsynet kjenner ikke til at Norsk helsenett har en godkjent teknisk løsning som ivaretar nødvendige sikkerhetskrav)

Tips og innspill vedrørende: - Individuell plan Om praktiske løsninger: Individuell plan et lovpålagt tilbud – men ingen teknisk løsning Datatilsynet har fått presentert et ”mangelfullt” prosjekt En leverandør bedriver ”på kanten” markedsføring av dette Juridiske sentrale hensyn: Finn tak i den behandlingsansvarlige (delt ansvar er tvilsomt) Felles database med tilgang/databehandleravtaler en utfordring. Sikkerhetsfaglige hensyn Fullgod sikkerhetsharmonisering med konfigurasjonskontroll for de svært ulike partene er svært komplisert å gjennomføre. Fullgod integrasjon med egne fagsystem er en utfordring Andre tips Datatilsynet utfordrer alle til å finne en god ny løsning

Tips og innspill vedrørende: - Nettbasert kunnskapsdeling (SFJ) Om praktiske løsninger: Økt bruk av elektroniske journaler kan fremme personvern Datatilsynet deler vurderingen om at felles database er tvilsom Juridiske sentrale hensyn: Felles database vil lett gi brudd på §13 Meldingsutveksling bør kunne være et godt grunnlag. Sikkerhetsfaglige hensyn - Fullgod sikkerhetsharmonisering med konfigurasjonskontroll for felles tilgang er svært komplisert å gjennomføre. - Meldingsutveksling var ”bra” under helse-trygd-postkassen Andre tips Datatilsynet utfordrer alle til å finne en god ny meldingsløsning (Datatilsynet utfordrer alle til å utvikle journalen fra en ”passiv” dokumentasjon til en del av et ”styrende logistikk system”)

Tips og innspill vedrørende: - Telemedisin (SEL) Om praktiske løsninger: Telemedisin bør kunne bli et godt helse- og personverntiltak Datatilsynet har tidligere fått presentert gode prosjekter på dette Interkommunale samarbeid er et komplisert tema – trenger gode råd Juridiske sentrale hensyn: Finn tak i den behandlingsansvarlige og bygg løsninger på dette. Sikkerhetsfaglige hensyn Telemedisin krever en ryddig løsning for ”sensitiv epost” Avtaler og roller samt ”datasentral-løsninger” trenger god bearbeiding Andre tips Datatilsynet utfordrer alle til å finne gode epost-løsninger (Interkommunalt samarbeid kan gi god stordrift – men!!!)

Sikkerhetsgodkjenning Ikke selvstendig sikkerhetssøknad, godkjenning eller saksbehandling av sikkerhet for noen Sikkerhetsdokumentasjon: blir gjennomgått ved konsesjonssøknader (del av konsesjonen, oftest innen forskning og i helt spesielle behandlinger) ingen kontroll av meldingens opplysninger (kontrollgrunnlag) DT tilbyr konkret råd og veiledning Datatilsynet inviterer hvert enkelt prosjekt til å gjennomføre minst et råd og veiledningsmøte når løsningskonseptet er kommet i ”designfasen”

Felles databehandler reserve foil helsedata Felles publikum Eksternt nett indre sikkerhets- barriere Ytre sikkerhets-barriere Sikret sone Intern sone DMZ Drifts- samarbeid Sikret sone Bruk av publikumstjenester løses konvensjonelt/HTTPS Felles intern sone med brukerskille (VLAN?), og flerbruker program bør gi tilfredsstillende løsninger - Felles sikret sone MED brukerskille og ”egne” databaser