Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Helseopplysninger i MTU, - rammer og sikring

PublisertMargrete Charlotte Hoff Endret for 5 år siden

Liknende presentasjoner

Presentasjon om: "Helseopplysninger i MTU, - rammer og sikring"— Utskrift av presentasjonen:

1 Helseopplysninger i MTU, - rammer og sikring
Helge Veum, overingeniør Landsmøtet MTF, Stavanger 25. april 2006 Datatilsynet

2 Utgangspunkt Datatilsynet har hatt få henvendelser rundt MTU!
Opplysningene kan normalt ikke knyttes til pasienten (utover at utstyret er direkte tilkoplet vedkommende)? Opplysningene slettes, eller overføres journal når utstyret koples ifra pasienten? Enkelte løsninger trenger nettverkstilkoplinger for å virke? Samme regelverk som for øvrige behandlinger av helseopplysninger! En arena i utvikling; og det er feller å gå i. Datatilsynet forventer å bli konsultert ved behov.

3 Om Datatilsynet Ca 30 medarbeidere Uavhengig forvaltningsorgan
Informasjon – Tilsyn – Påvirkning Nesten alle sektorer har en side mot personvern Personopplysningsloven Helseregisterloven Personopplysningsforskriften EU-direktiv

4 Rammer for behandling av helseopplysninger i MTU

5 Helseregisterloven Lov om helseregistre og behandling av helseopplysninger Helseregisterloven Trådte i kraft 1. Januar 2002 Behandling av helseopplysninger i helseforvaltningen og helsetjenesten Adgangen til å etablere lokale, regionale, og sentrale helseregistre Def. Helseopplysninger helseopplysninger: taushetsbelagte opplysninger i henhold til helsepersonelloven § 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson. Anonyme opplysninger – kan ikke føres tilbake til enkeltperson Avidentifiserte heleopplysninger Behandling av helseopplysninger

6 Roller Databehandlingsansvarlig Databehandler Leverandører
Helseforetaket Databehandler Behandler helseopplysninger på vegne av den databehandlingsansvarlige Selvstendig plikt til å sørge for tilfredstillende informasjonssikkerhet Databehandleravtale Leverandører Ingen plikter etter regelverket. Avtaler og kontroll! Kommunikasjonspartnere De vi kommuniserer med

7 Journalen Lovgrunnlag – journalføringsplikten
Tilgang til journalen begrenses til den behandlingsansvarliges virksomhet Helseregisterlovens § 13: ” Bare den databehandlingsansvarlige, databehandlere og den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet, kan gis tilgang til helseopplysninger. …” Journalen begrenses til helseforetak (el. tilsv) Det er ingen nasjonale eller regionale behandlingsrettede registre RHF kan ikke være behandlingsansvarlig SH-dir brev av 13. Mai Lagring av helseopplysninger i MTU må anses som en del av journalen PAS, EPJ, Radiologi, fødejournal, MTU, etc – For å yte helsehjelp Forskning og kvalitetsregistre – Andre formål

8 Kommunikasjon av helseopplysninger
Helseopplysninger som lovlig kan kommuniseres på papir eller muntlig, kan også kommuniseres elektronisk God kommunikasjon er meldingsbasert Å la andre hente opplysninger vha tilgang er problematisk Regelverket Ansvar Kontroll Behov for informasjonssikkerhet For det som kommuniseres For andre opplysninger i informasjonssystemet

9 Oppsummering - rammer Journalverdige opplysninger bør gjøres tilgjengelige via journalen med de kontrollmekanismer som ligger i denne Det er ikke åpning i regelverket for regionale journaler – heller ikke begrenset til MTU-data Om vi ikke trenger å knytte opplysninger til enkeltperson– er det godt personvern å unngå dette Men ivareta integritetskravet – fare for forveksling Opplysningene slettes fra utstyret når det ikke lengre er behov for de Om identifiserbare helseopplysninger lagres i MTU, må disse sikres som om de var i et journalssystem Middels erfaringer fra radiologisystemer

10 Sikring av helseopplysninger i MTU

11 Regelverket Helseregisterlovens § 16 stiller krav om tilfredstillende informasjonssikkerhet i forhold til Konfidensialitet Integritet Kvalitet Tilgjengelighet Gjennom planlagte og systematiske tiltak Utfyllende bestemmelser i personopplysningsforskriftens 2. Kapittel. Ansvar Styringssystem Risikovurderinger

12 Informasjonssikkerhet – styringssystem
Mål og strategi Klart ansvar Akseptabel risiko Risikovurderinger Dokumentasjon Konfigurasjon Rutiner Avvik

13 for en uønsket hendelse
Risikovurdering Risiko = Sannsynlighet for en uønsket hendelse X Konsekvens av en uønsket hendelse

14 Informasjonssikkerhet – konkret 1
Tilgangsstyring I utgangspunktet underbygge taushetsplikten Optimal tilgangsstyring – det man reelt trenger, og ikke noe mer Beslutningsstyrt tilgangsstyring Opplever ofte støttesystemer som svakere enn journalsystemer Autoriserte brukere er en forutsetning Bevare integritet til journalen Hva er journalverdig? Bør det ligge i EPJ eller i dedikert utstyr? Og hvordan sikrer vi konfidensialiteten og tilgjengeligheten? Eks radiologi

15 Informasjonssikkerhet – konkret 2
Sikring av en kommunikasjon kan deles i to: Overføringssikkerhet Det ”enkle” Krypteringskrav Tilkoplingssikkerhet Eks. ”En tidligere fysisk isolert helseinstitusjon knytter seg til Internett for å benytte en ’sikker nok’ tjeneste” Hvilken risiko representerer tilkoplingen for de øvrige data ved institusjonen? Uautorisert utlevering Angrep og skadelig innhold Hvilken kontroll har vi med avsendere/mottakere autoriserte og uautoriserte? Hvor stort hull lager vi inn til virksomheten?

16 Informasjonssikkerhet – konkret 3
Logging Kan ikke erstatte tilgangsstyring Men er et nødvendig verktøy Krav etter personopplysningsforskriften Forutsetter dedikerte brukere av informasjonssystemet

17 Informasjonssikkerhet – konkret 4
Leverandørers tilgang Som for journal Krav til, og kontroll med leverandører Hva vet vi om leverandørens sikkerhetsnivå? Risiko for resten av informasjonssystemet Hvilken tilgang er det behov for Hva kan løses lokalt Får man tilgang til noe mer enn utstyret? Den behandlingsansvarlige er fremdeles ansvarlig Direkte identifiserende eller avidentifiserte opplysninger? Leverandør som tilbyder i helsenettet? Tilkopling under kontroll av databehandlingsansvarlig

18 Informasjonssikkerhet – konkret 5
Leverandører forts. Innenfor EU eller til tredje land Særskilte avtaler Personopplysningsforskriftens § sikkerhet hos andre virksomheter Skal tilfredstille kravene til informasjonssikkerhet etter personopplysningsforskriften

19 Informasjonssikkerhet – konkret 6
Opprinnelsesmarkering Ingen konkrete krav Men signeringsplikt i journalforskriften Risikovurdering med hensyn på integritet og kvalitet Overføringsformater Men standarder er grunnleggende for å lykkes

20 Oppsummering informasjonssikkerhet
Konkrete spørsmål Normalt er risikobaserte løsninger svaret Krav om styringssystem Krav om kryptering Krav i forhold til begrenset tilgang Taushetsplikten (helsemyndighetene) Styringssystem og rutiner Datatilsynet kan overprøve den behandlingsansvarliges valg i forhold til hva som er tilfredstillende sikkert Norm for informasjonssikkerhet i helsesektoren

21 Et sidespor i forhold til tema - internkontroll
Helseregisterlovens § 17. Personopplysningsforskriftens 3. kapittel Planlagte- og systematiske tiltak for å sikre forsvarlig behandling av helseopplysninger Deles normalt i Styrende Gjennomførende Kontrollerende Bør ses i sammenheng Internkontroll etter andre regelverk Mer enn informasjonssikkerhet, men også det Ansvar, organisering og kontroll sentralt.

22 Styrende Gjennomførende Kontrollerende

23 Prosess Involver helseforetakene overordnet i forhold til juridiske og sikkerhetsmessige spørsmål De plikter å ha oversikt og sørge for akseptable løsninger Søk råd hos myndighetene i forhold til regelverket Datatilsynet er i dialog med bransjen og helsemyndighetene rundt løsninger Juss og sikkerhet Se muligheter innfor det regelverket vi har med tanke på samhandling – fremfor å utfordre regelverket

24 Til slutt Ikke lagre mer opplysninger enn nødvendig
Hva som er nødvendig er en helsefaglig vurdering Ivareta journalens integritet Det er ingen regionale behandlingsrettede registre Utleveringer er greit hvor dette er lov, men da kontrollerte forsendelse fremfor ”tilgang på tvers” Helsevirksomheter plikter å ha kontroll på opplysningene

25 Spørsmål? Takk for oppmerksomheten! Datatilsynet

Laste ned ppt "Helseopplysninger i MTU, - rammer og sikring"

Liknende presentasjoner

Astrid Øksenvåg Rådgiver EKOR AS

Astrid Øksenvåg Rådgiver EKOR AS
Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1

Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1
Instruktørnotater: Send ut veilederen i forbindelse med invitasjonen.

Instruktørnotater: Send ut veilederen i forbindelse med invitasjonen.
Norm for informasjonssikkerhet Modul 1 – Normen – en oversikt

Norm for informasjonssikkerhet Modul 1 – Normen – en oversikt
Prosjekt KomUt Kommunal utbredelse av meldinger

Prosjekt KomUt Kommunal utbredelse av meldinger
HTV- konferanse 5. – 6. desember 2011

HTV- konferanse 5. – 6. desember 2011
Sjeldensentre og registre Heidi Thorstensen personvernombud.

Sjeldensentre og registre Heidi Thorstensen personvernombud.
Tilgang på langs: Informasjonsdeling og sammenhengende pasientforløp - En introduksjon - Ellen K. Christiansen,seniorrådgiver, Nasjonalt senter for.

Tilgang på langs: Informasjonsdeling og sammenhengende pasientforløp - En introduksjon - Ellen K. Christiansen,seniorrådgiver, Nasjonalt senter for.
Prof. Dag Wiese Schartum, AFIN

Prof. Dag Wiese Schartum, AFIN
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.

Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
Norm for informasjonssikkerhet Taushetsplikt

Norm for informasjonssikkerhet Taushetsplikt
Pasientjournalen – hvem skal ”eie” den?

Pasientjournalen – hvem skal ”eie” den?
FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Tromsø 10. okt. 2013 Eva Henriksen, Eva Skipenes,

FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Tromsø 10. okt Eva Henriksen, Eva Skipenes,
Elektronisk samhandling

Elektronisk samhandling
Nasjonale kvalitetsregistre

Nasjonale kvalitetsregistre
Anne Marie Dalen Øverhaug Kvalitetsregisterkonferansen

Anne Marie Dalen Øverhaug Kvalitetsregisterkonferansen
Orientering om automatisk tilgangsstyring

Orientering om automatisk tilgangsstyring
Normen i SiO - forpliktelser og lederforankring

Normen i SiO - forpliktelser og lederforankring
Instruktørnotater: Instruktør må ha videokanon Velkommen til kurset

Instruktørnotater: Instruktør må ha videokanon Velkommen til kurset
Informasjonssikkerhet

Informasjonssikkerhet

Liknende presentasjoner

Annonser fra Google