Normen i SiO - forpliktelser og lederforankring v. Asle Brustad prosjektleder - eMeldinger Juli – august 2012

Bakgrunn for møtet Prosjekt eMeldinger er et delprosjekt i SiO Tidsavgrenset fra 01.02. – 31.12.2012 Fra prosjektplanen: Mål: «Implementere og ta i bruk de elektroniske meldingene som kommunenes representanter velger» …. «Sørge for at dette skjer innenfor de rammer som settes i Normen» Prosjektet skal: «Utrede forholdet til Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren (Normen) og sette opp tiltaksplan der det er nødvendig.»

Hva vi bidrar med fra prosjekt eMeldinger I en større prosjektsamling som oppstart av prosjekt eMeldinger den 27. februar 2012 ble det sagt at «Alle ønsker at SiO organiserer et felles opplæringsopplegg for alle SiO-kommuner omkring Normen.» Vi har etablert egen arbeidsgruppe 4 medlemmer med erfaring fra - og interesse for området (Hitra, Meldal, Surnadal og SiO) Vi utarbeider kursopplegg for sentrale personer i kommunene Målgruppe 1 er primært rådmann, kommunalsjef helse- og omsorg (eller tilsvarende) og kommuneoverlege. Målgruppe 2 er primært enhetsledere helse. (samlinger 17. september og 1. oktober) Målgruppe 3 er primært IKT-ansvarlige og systemansvarlige for pleie- og omsorgssystemer. Undertegnede har fått ansvar for målgruppe 1.

Agenda Instruktørnotater: Bakteppe – det store bildet Kjerneprosessen - HPH Bruk av eMeldinger skaper nye muligheter – og noen utfordringer Hva er Normen? Oppbygging og innhold Hva kreves av oss? Normens veiledere og faktaark Hvordan gå frem for å ivareta kravene i Normen? Samhandling mellom HPH-prosessen kommune - legekontor Anbefalinger til videre arbeid Instruktørnotater: Målgruppe for kursmodulen: Rådmann / fylkesrådmann Kommunalsjef / kommunaldirektør IT-sjef Sikkerhetskoordinator/informasjonssikkerhetsansvarlig Personvernombud Leder i virksomhet som er databehandler (for eksempel interkommunalt IT-samarbeid) Systemansvarlig Saksbehandler Dokumentasjonsansvarlige (helsepersonell som har et særskilt ansvar for dokumentasjon, jfr. helsepersonellloven) Gjennomgang av kursets innhold pkt 1 til 5 Spørre hvilke roller som er i salen? Invitere til spørsmål?

Bakteppe

Holdninger til sikkerhet (Normen) DET STORE BILDET   Formål Effektive og sikre helsetjenester til kommunenes innbyggere Middel HPH-prosessen Behov Tilgang til relevant informasjon til rett tid på rett sted og til rett person Støtteverktøy eMeldinger Suksesskriterier Fungerende teknologi Opplæring i bruk av systemer Holdninger til sikkerhet (Normen) Vilje og lojalitet ift. bruk i hverdagen (gjennom organisasjonsutvikling)

Kjerneprosessen HPH HPH - Helhetlig pasientforløp i hjemmet - er kjerneprosessen som bruk av eMeldinger skal understøtte

Samhandlingskjeden: Helhetlig pasientforløp i hjemmet (HPH) Ny episode Daglig observasjon og tjenesteyting Pasienten blir dårligere Daglig observasjon og tjenesteyting Hjem: Bruker/pårørende Besøk av sykepleier innen 3 dager 4 ukers samtale med primærkontakt Primær-kontakt/-sykepleier Forsterket hjemmetjeneste Hjemmetjeneste Nettverks-møte Kontakt-person Innleggelse kortidsopphold Sykehjem Innleggelse kortidsopphold Trening og opplæring Trening og opplæring Fysio-/ergoterapi Besøk hos fastlege etter 2 uker Fastlege Oppfølging fastlege Fastlege Hovedelementene i forløpet bygger på kjent kunnskap om hva som er virksom intervensjon. Det gav rammene for hva kommunene skulle gjøre likt og slik standardisert. Samtidig var det innebygd en betydelig fleksibilitet. Bak hver boks ligger det sett av prosedyrer og sjekklister som er blitt utviklet lokalt i hver kommune. En god balanse mellom sentral standardisering og lokal fleksibilitet, vil også være nøkkelen til suksess med IKT. Lege-vakt LV-sentral Legevakt Bestillerkontor Møte sykehus kommune Vedtak Poliklinikk Pasienten vurderes utreiseklar Akutt poliklinikk Observasjon Mottak i sykehus Sykehus Utredning/behandling, avdeling Start

Samhandlingskjeden: Helhetlig pasientforløp i hjemmet (HPH) Ny episode Daglig observasjon og tjenesteyting Pasienten blir dårligere Daglig observasjon og tjenesteyting Hjem: Bruker/pårørende Besøk av sykepleier innen 3 dager 4 ukers samtale med primærkontakt Primær-kontakt/-sykepleier Forsterket hjemmetjeneste Hjemmetjeneste Nettverks-møte Kontakt-person Innleggelse kortidsopphold Sykehjem Innleggelse kortidsopphold Trening og opplæring Trening og opplæring Fysio-/ergoterapi Besøk hos fastlege etter 2 uker Fastlege Oppfølging fastlege Fastlege Hovedelementene i forløpet bygger på kjent kunnskap om hva som er virksom intervensjon. Det gav rammene for hva kommunene skulle gjøre likt og slik standardisert. Samtidig var det innebygd en betydelig fleksibilitet. Bak hver boks ligger det sett av prosedyrer og sjekklister som er blitt utviklet lokalt i hver kommune. En god balanse mellom sentral standardisering og lokal fleksibilitet, vil også være nøkkelen til suksess med IKT. Lege-vakt LV-sentral Legevakt Bestillerkontor Møte sykehus kommune Vedtak Poliklinikk Pasienten vurderes utreiseklar Akutt poliklinikk Observasjon Mottak i sykehus Sykehus Utredning/behandling, avdeling Start

Samhandlingskjeden: Helhetlig pasientforløp i hjemmet (HPH) – Bruk av ELIN-meldinger Ny episode Daglig observasjon og tjenesteyting Pasienten blir dårligere Daglig observasjon og tjenesteyting 1 Melding om innlagt pasient Hjem: Bruker/pårørende 2 Helseopplysninger ved søknad Besøk av sykepleier innen 3 dager 4 ukers samtale med primærkontakt Primær-kontakt/-sykepleier 3 Melding utskrivningsklar pas. Hjemmetjeneste Nettverks-møte Kontakt-person 4 Melding om utskrevet pasient Innleggelse kortidsopphold 6 5 Utskrivningsrapport Sykehjem 13 Innleggelse kortidsopphold 7 11 6 6 Forespørsel om time 8 10 Fysio-/ergoterapi 8 Trening og opplæring 11 9 11 7 Orientering om tjenestetilbud 11 Fastlege Besøk hos fastlege etter 2 uker Fastlege 6 Oppfølging fastlege 8 Helseopplysninger til lege 5 4 9 Overføring legemiddeloppl Legevakt 3 Lege-vakt LV-sentral 2 11 10 Medisinske opplysninger Bestillerkontor ELIN-meldingene vil bli viktig, men ikke tilstrekkelig til å støtte en effektiv samhandling i samband med samhandlingsreformen. Venstre side av forløpsbeskrivelsen handler om planlagte og sekvensielle tjenester hvor avsender og mottaker av informasjon er kjent, dvs egnet for tradisjonell meldingsutvekling og godt dekket av ELIN meldingene. Høyre side av diagrammet derimot handler ofte om uplanlagte behov for helsetjenester. Her strekker ikke ELIN-meldingene til og trolig er ikke meldingsutveksling løsningen heller. Arbeidet med kjernejournal startet nettopp fordi man erfarte at meldingsutveksling har sine begrensninger, spesielt på området uplanlagte behov for helsetjenester. Derfor er det her på den høyre siden at kjernejournalen kan understøtte samhandlingsreformen. Det var dette som Nasjonal IKT sin utredning om kjernejournal så i sin analyse av behovene. Det er på dette området at 90 % av bruken av kjernejournal i Skottland foregår. Det er dette som samhandlingsreformen omtaler som alternativer til innleggelse og ønsker styrket i kommunene. Det jeg savner er en drøftelse av sammenhengen og forholdet mellom meldinger og kjernejournal. Tilgang på tvers er en ny mulighet som også kan dekke behov. Det er for oss også blitt klart at hverken kjernejournal eller ELIN meldinger hver for seg eller sammen blir tilstrekkelig for å oppnå samhandlingsreformens mål. Hvis kommunene skal bli effektive på å koordinere tjenester og støtte pasienter trenger vi en også en 24-timerstjeneste som kan koordinere samhandlingen. 1 12 11 Spørsmål og svar - forespørsel 13 Poliklinikk 12 Innleggelsesrapport Pasienten vurderes utreiseklar Mottak i sykehus Sykehus 13 Henvisning Utredning/behandling, avdeling Start

Eksempel fra pågående prosjekt Meldinger slik de er beskrevet av Tieto i Gerica-prosjekter som pågår i 8 av SiO-kommunene

3.3 - PLO-meldinger, fastlege

3.3 – PLO-meldinger, sykehus (2013 )

Fra papir/telefon/faks/muntlig overlevering til eMeldinger Et av målene i prosjekt eMeldinger er å sørge for at innføring av eMeldinger skjer innenfor de rammers om Normen setter Bruk av ny teknologi fører til nye arbeidsmetoder/prosesser – og krever ny kompetanse Bevisst forhold til personvern er sentralt ifm. at man bytter papirbaserte prosesser med elektronisk meldingsutveksling «Normen» er utviklet for å ivareta disse kravene

Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren - Normen (42 sider) er utarbeidet av representanter for sektoren, blant annet Legeforeningen, Sykepleierforbundet, Tannlegeforeningen, KS, Apotekerforeningen og regionale helseforetak. Alle aktører i sektoren som er tilknyttet Norsk Helsenett er avtalerettslig forpliktet til å følge Normen.

Lovgrunnlag, Normen «Normen er først og fremst basert på personvern og helselovgivningens krav til å etablere tilfredsstillende informasjonssikkerhet for systemer inneholdende helse og personopplysninger, jf. personopplysningsloven § 13, helseregisterloven § 16 og personopplysningsforskriften kapittel 2.» Lovgrunnlaget er altså ikke noe nytt, men forpliktelser som har ligget der gjennom tiår.

Målgruppe – hvem Normen gjelder for Normen gjelder for enhver virksomhet i sektoren som ved avtale har forpliktet seg til å følge Normen, herunder legevirksomheter, helseforetak, Arbeids og velferdsforvaltningen (NAV), tannklinikker, sykehus, apotek, apotekkjeder, kommuner , fylkeskommuner, Frittstående laboratorier, røntgeninstitutter, psykologpraksis, fysioterapiinstitutter, bandasjistvirksomheter, rehabiliteringsinstitusjoner, o.a., samt de nevnte virksomheters leverandører og andre i den grad de behandler helse og personopplysninger og de ved avtale har forpliktet seg til å følge Normen.

«Normen – hvordan skal den brukes, sentrale elementer» Gjennomgang av presentasjon utarbeidet av Jan Gunnar Broch, seniorrådgiver i avd. e-helse

Er dere der – eller gjenstår det noe som må tas tak i?

Faktaark 6, sikkerhetsrevisjon Dette er hva en kommune kan måtte stå til rette for ved et tilsyn: Faktaark 6, sikkerhetsrevisjon 8- punkts sjekkliste, minimumskrav til en sikkerhetsrevisjon Dette var kortformen. Fullversjonen ser vi her: Faktaark: 6b 157 punkter!

Veiledere Koblet til kommunal virksomhet på hjemmesidene til Normen: Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veileder for fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet Personvern og informasjonssikkerhet for legekontorer (NB: egen mal for internkontroll finnes også) Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner

Faktaark kommuner Relevante faktaark for kommuner Følgende målgrupper er omfattet av disse fakta-arkene

Forankring i ledelsen i kommunen Strenge krav til at arbeidet med Normen har en forankring i ledelsen Noen klipp fra «virksomhetsleders ansvar» (faktaark 1 og 2): «Virksomhetens leder skal påse at informasjons-behandlingen og informasjonssikkerheten organiseres slik at det er tydelig hvem som har ansvar for de ulike deler av informasjonsbehandlingen.» «Virksomhetens ledelse er ansvarlig for å etablere og innføre et styringssystem for informasjonssikkerhet.»

Fra Normen 3.1 Ansvar Det er virksomheten ved ledelsen som har ansvar for å etablere og opprettholde tilfredsstillende informasjonssikkerhet. Dette er blant forpliktelsene til databehandlingsansvarlig . Det skal angis i melding/konsesjonssøknad til Datatilsynet hvilken stilling som har det daglige ansvaret for oppfyllelse av virksomhetens plikter, herunder for informasjonssikkerheten. Det daglige ansvaret tilligger som oftest daglig leder i virksomheten. Den som har det daglige ansvaret for informasjonssikkerheten, kan overføre oppgaver til egne ansatte. Oppgaver kan også overføres til eksterne, f.eks. kan man delegere oppgaver til leverandører . Dette må gjøres i form av skriftlige avtaler. Uansett om oppgaver er delegert eller ikke, ligger det juridiske ansvaret hos databehandlingsansvarlig. Arbeidet med informasjonssikkerhet må omfatte styring, gjennomføring og kontroll. Kapitlene 4 til 6 i Del II er bygget opp etter denne strukturen med en styrende del, en gjennomførende del og en kontrollerende del.

Dedikerte ressurser og legitimitet Gjennomgangen viser at dette er en omfattende oppgave Ansvar for den daglige driften bør delegeres til en bestemt person Denne bør rapportere direkte til – og opptre på vegne av Rådmannen Den/de som har/får/tar ansvar for dette trenger støtte og forankring hos Rådmannen for å ha relevant legitimitet i organisasjonen for sitt arbeid Det kreves at det avsettes ressurser om man skal klare å etterleve disse kravene

Legekontor Det varierer om legekontorene er kommunale eller privat. I SiO-regionen er det både kommunale og private legekontorer. Egen veileder for legekontor: veileder 34 (av i alt 54) faktaark relateres til legekontor, se faktaark

Målgruppe 1.3 Målgruppe Målgruppen for veilederen er alle legekontorer. Denne veilederen er primært rettet mot personell med ansvar, oppgaver og roller i forbindelse med personvern og informasjonssikkerhet ved legekontoret. Eksempler på slikt personell er: Innen det private - Lederen for den enkelte legekontor (den ansvarlige eieren av virksomheten) Innen det offentlige - Ordfører, rådmann (som overordnet ansvarlig for den kommunale helsetjenesten) - Ledere innen den kommunale helsetjenesten (Kommuneoverlege er ikke nevnt eksplisitt)

Samhandling mellom HPH-prosessen kommune - legekontor Har forsøkt å kartlegge hvilke systemer legekontorene bruker Ser ut til at 10 kommuner bruker Winmed Surnadal bruker System X Halsa har begge deler Orkdal har jeg ikke oversikt over pt. SiO kan ta en avsjekk md leverandørene mht. støtte for PLO-meldinger om vi får en oversikt fra legekontorene på systemer og versjoner Ha vært i kontakt med Comp Group Medical Norway AS og fått muntlig – men ikke skriftlig – bekreftelse på dette Har pt. ikke vært i kontakt med Hove Medical systems ang. System X

Winmed v. 3 (Compu Group Medical Norge AS) Ved sjekk på KITH sine sider 20.08 er status slik for Winmed 3:

System X (Hove Medical Systems)

Videre aksjon mot disse? Ønsker kommunene at det skal tas en aksjon overfor disse leverandørene fra SiO for å sikre at de legekontorene vi skal kommunisere med har systemer som tilfredsstiller kravene til sertifisering? Hvordan bør vi i så fall involvere legekontorene i arbeidet for ikke å «tråkke i andres bed»?

Samhandling mellom HPH-prosessen og teknologiprosjekter Som vi har sett er det viktig at det er samhandling mellom systemprosjekter, arbeidsprosesser og brukergruppene Vi har sammen med kommunene blitt enig om å bruke helserelaterte folk som koordinatorer i kommunene på innføring av eMeldinger På den måten prøver vi å sikre at prosjektene får brukerfokus og ikke blir rene teknologiprosjekter Dette ser så langt ut til å være et riktig valg

Anbefalt fokus videre i kommunen Sørg for at en navngitt person får rollen som «Personvernansvarlig» Sørg for at denne «frikjøpes» i en gitt stillingsandel og knyttes direkte opp mot Rådmannen. (Bør ha innpass i ledergruppen.) Sørg for at Rådmannen gir funksjonen legitimitet i organisasjonen, informer om at pv-ansvarlig har delegert myndighet som (data)behandlingsansvarlig på vegne av Rådmannen Start så prosessen med å kartlegge hvor i kommunen det behandles personopplysninger og hva som er formålet med behandlingen. Følg deretter retningslinjene for styringssystem i Normen. (Prinsippene er de samme for andre personopplysninger som for helseopplysninger.) Mine personlige råd – ut fra egne erfaringer fra 10 år som Info.sikkerhetsansvarlig og personvernombud i Sør-Trøndelag fylkeskommune: Ikke isoler dette til å bare gjelde helse, men ta inn alle områder som behandler personopplysninger (administrasjon/personal, skoler osv.) og gjør det til en integrert del av kommunens kvalitetssystem Meld pv-ansvarlig som Personvernombud til Datatilsynet. Det gir bl.a. fordeler som innpass i DT og tilbud om kursing 1-2 ganger i året, og det gir mulighet for å skaffe seg nettverk på området. Informasjon om ordningen finnes her: http://www.datatilsynet.no/Personvernombud/ Unngå å plassere funksjonen i IKT-avdelingen - for å unngå et ensidig teknologifokus. Det hjelper lite med tekniske sikkerhetsløsninger i dyre dommer hvis brukerne har brukernavn og passord på gule lapper under tastaturet… Det meste av sikkerhet sitter i hodet på folk!

Mulig organisering? (eksempel fra STFK)

Anbefalinger regionalt Etabler et interkommunalt fagforum for alle SiO-kommunene rundt Normen Finn noen som kan/vil ta et koordineringsansvar for forumet Benytt mulighetene som ligger i erfaringsdeling- og utveksling via digitale løsninger som f.eks. www.siohelse.no , bruk samhandlingsverktøy som f.eks. Skype (gir mulighet for gruppemøter med lyd og evt. video) osv. Vurder også gjerne å gå sammen om et felles kvalitetssystem. Mange problemstillinger her kan løses i felleskap – i stedet for å løse samme utfordring på 12 steder. (Det finnes kommunesamarbeider i SiO-regionen som er på gang og som sikkert kan tilby denne type tjenester til alle kommunene.) Vurder å oppnevne felles personvernombud for SiO-kommunen. Det kan være mer effektivt, og vil gi bedre kontinuitet og fokus på oppgaven. Men husk at det juridiske ansvaret fortsatt vil ligge hos virksomhetens daglige leder (les: rådmannen) lokalt i den enkelte kommune

Og lykke til med det videre arbeidet! Takk for meg! Og lykke til med det videre arbeidet!