Noen utvalgte faktaark og veiledere, og medisinsk avstandsoppfølging
Med.tek kurs
03.04.2019
Petter Ludvig Andersen
Rådgiver
Side 1
Innhold
Normen.no
Generelt om veiledere og faktaark
Litt mer om følgende veiledere: Veileder informasjonssikkerhet og personvern ved bruk av velferdsteknologi
Veileder med avtaleeksempler om samarbeid mellom virksomheter om felles journal
Veileder i bruk av skytjenester til behandling av helse- og personopplysninger
Veileder sosiale medier
Litt mer om følgende faktaark: Faktaark 6b (Sjekkliste revisjon)
Faktaark 27 (Retningslinjer for daglig informasjonssikkerhet)
Utredning: Medisinsk avstandsoppfølging
Side 2
Side 3
Oppdatert veiledningsmateriell
Side 4
Nye publiserte versjoner: 6b – Sikkerhetsrevisjoner – sjekklister for å ivareta kravene i Normen (samt oppdatert
engelsk versjon)
10 – Bruk av databehandler
24 – Kommunikasjon over åpne nett
8 – Avviksbehandling
13 – Oversikt over behandlinger av helse- og personopplysninger med vedlegg
35 – Personvernombud
38 – Sikkerhetskrav i systemer (samt oppdatert engelsk versjon )
Revideringer som pågår
Veileder for små virksomheter
Veileder for medisinsk utstyr
Normen.no
Side 5
Normens veiledningsmateriell
Side 6
Krav til meldingsutveksling
Veileder for fjernaksess
Veileder for forskning
Veileder for helse- og omsorgstjenester i kommuner
Veileder for apotek
Veileder for legekontor
Veileder for psykologer, fysioterapeuter, manuellterapeuter og kiropraktorer
Veileder for tannhelsetjenesten
Veileder i bruk av portalløsninger, SMS og e-post
Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi
Veileder med avtaleeksempler ved samarbeid om felles journal
Veileder sosiale medier
Veileder i personvern og informasjonssikkerhet ved tilgang til helseopplysninger mellom virksomheter
Veileder video-, lyd og bildeopptak i helse- og omsorgssektoren
Veileder i bruk av skytjenester til behandling av helse- og personopplysninger
Veileder i personvern og informasjonssikkerhet -medisinsk utstyr
Med maler for
styringssystem
tilpasset virksomhetstypen
Innhold i faktaark – tematisk inndelt
Side 7
Styringssystem01 - Ansvar og organisering
02 - Styringssystem for
informasjonssikkerhet
03 - Dokumenter i styringssystemet
04 - Kartlegge og klassifisere systemer
05 - Fastsette nivå for akseptabel risiko
06 / 6b - Sikkerhetsrevisjon
07 - Risikovurdering
08 - Avviksbehandling
13 - Oversikt over behandling av helse- og
personopplysninger i virksomheten
37 - Sikkerhetskrav og
sikkerhetsdokumentasjon i IKT-prosjekter
51 - Innsyn i den ansattes e-postkasse mv
Behandling av helse- og personopplysninger
Databehandler/ leverandør
Innhold i faktaark – tematisk inndelt
Side 8
Fysisk/ teknisk
sikkerhet 17 - Fysisk sikring av områder og utstyr
18 - Sikring av bærbart utstyr
19 - Tiltak for å hindre ondsinnet
programvare
29 - Hjemmekontor
30 - Sikring av mobilt utstyr utenfor
virksomheten
31 - Passord og passordhåndtering
34 - Håndtering av lagringsmedia
52 - Krav til teknisk løsning ved bruk av
betalingsterminal
Tilgjengelighet
og integritet
Arkitektur og
kommunikasjon
Innhold i faktaark – tematisk inndelt
Side 9
Forskning23 - Avtaler og tillatelser
vedrørende forskning
35 - Personvernombud
40 - Informasjonssikkerhet i
forskningsprosjekter
Brukerrettet
sikkerhet 09 - Opplæring av ledere og
medarbeidere
27 - Retningslinjer for daglig
informasjonssikkerhet
Test43 - Bruk av testdata i
systemer som inneholder
helse- og
personopplysninger
48 - Informasjonssikkerhet
ved utførelse av testing
For kommuner44 - Personvern og informasjonssikkerhet i helse- og sosialtjenesten - kortfattet oversikt for kommuneledelsen
45 - Personvern og informasjonssikkerhet - en kort orientering for det enkelte helse-og sosialpersonell i kommuner
46 - Databehandlingsansvar og avtaler i forbindelse med tjenesteutsetting
Veileder velferdsteknologi
Versjon 2.0
Versjon 2.0 av veilederen med følgende endringer: Behandler kun informasjonssikkerhet som er spesielt for velferdsteknologi.
Personvern er tatt ut
Veilederen dekker ikke veiledning i juridiske problemstillinger (dokumentasjon, samtykke, helsehjelp
eller ikke, hjemmel mv.)
Veilederen er strukturert som en tenkt prosess fra ide til anskaffelse i kap. 2
Tekst er skrevet om for å rendyrke det som er spesielt for velferdsteknologi og gi referanser til mer
informasjon i faktaark og veiledere
Risikovurdering er framhevet
Personvernforordningen
I gang med revidering i samarbeid med Nasjonalt velferdsteknologiprogram
Side 11
Behovskartlegging
Juridisk
Helsehjelp eller ikke? Vedtak?
Samtykke
Dokumentasjon
Dataflyt - bevissthet
Risikostyring – vurdering og håndtering
Varierende kompetanse og bevissthet hos aktørene (både kommune og leverandør)
Ulike roller
Anskaffelser og krav – leverandøroppfølging
Tilgangsstyring og brukerautentisering
Medisinsk utstyr – behandlingshjelpemidler
Side 12
Risikovurdering
All behandling av helse – og personopplysninger skal risikovurderes.
Det er risikovurderingen som ligger til grunn for alle de videre vurderingene og
beslutningene; blant annet om man vil ta i bruk en velferdsteknologisk løsning, for
hvordan behandlingen av opplysningene skal foregå og hvilke tiltak som settes i verk
Eksempler på områder som kan inngå i risikovurderingen av velferdsteknologi:
Personvernkonsekvensvurdering – Personvernforordningen (GDPR)
Side 13
Konfidensialitet
• Tilgangsstyring hos bruker (f.eks. nettbrettet,
rapporteringsløsninger, dørlåser, mv.)
• Leverandørs løsning for fjernaksess
Prosessorientert
Side 14
Utprøving
Side 15
Side 16
Anskaffelser
Anbefalte krav til bruk ved kjøp av utstyr og tjenester
Tjenester i sky, nb!
Risikovurdering
Databehandleravtaler
Side 17
Drift
Side 18
Drift – Oppdatere styringssystem (rutiner) og behandlingsoversikt
Eksempel på rutiner Håndtering av velferdsteknologien på mobilt
datautstyr Autorisasjon av bruker og pårørende Prosedyre for sletting av data Håndtering og sletting av overskuddsinformasjon Tilbakestilling til fabrikkinnstillinger ”Enkle driftsrutiner” for bruker (ladning, batteri,
kabler, koblinger, reset, osv) Avklare hvilke rutiner databehandler ivaretar (i og
med at dette er komplekst vil det være nyttig at databehandlingsansvarlig vet hvilke rutiner databehandler ivaretar i den komplette løsningen)
Håndtering av feilmeldinger fra bruker Driftsrutiner teknisk løsning (mange rutiner) Opplæring av pårørede
Side 19
Eksempler og anbefalinger
Side 20
Privat bruk
4 eksempler
Velferdsteknologiens ABC
Nr. Problemstilling Antatt risiko
Forslag til tiltak
1. Medarbeider i responssenteret er ikke kjent med når kan de kan gå inn og sjekke koordinatene
Lav Opplæring av medarbeiderne i korrekt uthenting av koordinater
1. Hvem skal sjekke koordinatene?
Middels Definer roller i responssenteret og før rollene opp i autorisasjonsregisteret
1. Koordinatdata lagres til all tid Høy Erfaring tilsier at koordinater skal slettes etter 30 dager
Vedlegg - Anbefaling til autentisering fra
Nasjonalt velferdsteknologiprogram Alternativ 1- Sikkerhetsnivå ¾
Alternativ 2 – Brukernavn/passord og
offentlig/privat nøkkel
Alternativ 3 – Unik identifikator på utstyr
21
Deling av helseopplysninger
Felles journalRettslig grunnlag for felles journal – pasientjournalloven § 9
Åpner for samarbeid mellom virksomheter om felles journal
Krav om avtale Hva samarbeidet omfatter
Hvordan pasientens rettigheter skal ivaretas
Hvordan helseopplysninger behandles og sikres – også ved endring/opphør
Dataansvar
Samme ansvar for behandling av helseopplysninger for de virksomhetene som deltar i samarbeidet
Hver virksomhet har selvstendig plikt til å oppfylle lovkravene dataansvaret kan ikke fordeles – ligger hos hver
deltakende virksomhet
Side 22
Tilgang på tvers - §19
§ 19.Helseopplysninger ved helsehjelp
Den dataansvarlige bestemmer på hvilken måte opplysningene skal gjøres
tilgjengelige. Opplysningene skal gjøres tilgjengelige på en måte som ivaretar
informasjonssikkerheten.
Forskrift
Forslag til avtaletekst
Eksempler på behov som kan være aktuelle å vurdere:
Pasienter med forløp og overganger mellom spesialisthelsetjenesten, fastlege og den øvrige delen av
den kommunale helse- og omsorgstjenesten
Pasienter som mottar helsehjelp ved flere virksomheter
Pasienter som mottar helsetjenester fra flere nivåer og over lengre tid
Akuttoppmøte av pasienten på legevakt hvor ordinær utredning og behandling er pågående i en
annen virksomhet
Side 23
24
Annet nyttig veiledningsmateriell
Veileder i bruk av skytjenester til behandling av helse- og personopplysninger
Side 25
Faktaark 10 – Bruk av databehandler
Side 26
Faktaark 6b – Sjekkliste for å ivareta kravene i Normen
208 krav med referanse til Normen
Tematisk inndeling
Administrativ og organisatorisk
sikkerhet
EPJ / fagsystem
Fysisk sikring
Teknisk løsning
Angivelse av om kravet kan oppfylles
av databehandlingsansvarlig,
databehandler, eller begge.
Ny versjon publisert!
Side 27
Krav til programvare
Faktaark 38 - Sikkerhetskrav for systemer
(med referanse til Normen)
Tilhørende selvdeklareringsdokumenter
Side 28
Faktaark 27 – Retningslinjer for daglig informasjonssikkerhet
Kjøreregler for informasjonssikkerhet i praksis: Passord
Tilgang til og bruk av pasientjournal
Logge av / låse pc
Pasientopplysninger på minnepinner o.l.
Kontroll på dokumenter
Du vet hva du kan og ikke kan lese
Mal for sikkerhetsinstruks Deling av pasientinformasjon
Pasientinformasjon på SMS eller på e-post
Sosiale medier
Avvik
Nettvett:Lenker og innhold i e post
Side 29
Veileder sosiale medier
Praktisk verktøy når virksomheten skal utforme retningslinjer for bruk av sosiale medier
Tre deler: Overordnede problemstillinger
ledelsen må ta stilling til
Tekstforslag ”Råd for bruk av sosiale medier for deg som jobber i <virksomheten>”
Tekstforslag ”Gode råd for bruk av sosiale medier for pasienter / brukere og deres pårørende”
Side 30
SPØRSMÅL?
Side 31
Medisinsk avstandsoppfølging - bruk av teknologi for å levere helsetjenester på nye måter
Informasjonsflyt, personvern og
informasjonssikkerhet
NHSP: Hvordan realisere pasientens helsetjeneste på en bærekraftig måte?
Teknologisk utvikling innebærer at stadig flere tjenester kan ytes til pasientene utenfor
sykehus og kommunal helsetjeneste
For mange pasienter vil dette gi et bedre tjenestetilbud samtidig som det kan bidra til en mer
bærekraftig utvikling av helsetjenesten.
Utredningsoppdraget medisinsk avstandsoppfølging (NHSP)
Side 34
Helsedirektoratet, Direktoratet for e-helse og Statens Legemiddelverk har fått i oppgave av
HOD om å leverer en felles plan for å utrede og implementere nødvendige tilpasninger i
nasjonale rammer og virkemidler for å muliggjøre økt bruk av medisinsk avstandsoppfølging.
Helsedirektoratet har koordinerende ansvar.
Oppdrag –September 2018
L1 – Desember 2018
• Plan for utredning
L2 – April 2019
• Konkretisering av plan
• Arbeidspakker
L3 – Juni 2019
• Statusrapport på utredningen
• Prioritering
L4 – Desember 2019
• Sluttrapport
• Vesentlig å sikre kommunenes involvering/bidrag
• Involvert Sikkerhetsfaglig råd (Helse Sør-Øst), Regionalt InformasjonssikkerhetsForum (Helse-
Midt), Fagråd for Informasjonssikkerhet (Helse-Nord)
Spesifikt ansvar Direktoratet for e-helse
Direktoratet for e-helse utreder:
Hvilke tekniske forutsetninger som kreves for å understøtte medisinsk
avstandsoppfølging; herunder IKT-infrastrukturer, arkitekturer, felleskomponenter, tekniske
standarder etc. Denne vurderingen skal ta utgangspunkt i planer/behov som RHF og
kommuner har for innføring av medisinsk avstandsoppfølging på kort og lang sikt.
Hvilke eventuelle endringer i dagens regelverk som er nødvendige for å understøtte
innføring og bruk av medisinsk avstandsoppfølging i helse- og omsorgssektoren.
Hvordan krav til informasjonssikkerhet og personvern ifm. anskaffelse og bruk av
løsninger for medisinsk avstandsoppfølging bør ivaretas. Dette gjelder særlig behovet for
nasjonal veiledning til virksomheter og leverandører, jf. blant annet Norm for personvern
og informasjonssikkerhet i helse- og omsorgstjenesten. Andre virkemidler for å ivareta
informasjonssikkerhet og personvern bør også vurderes.
Side 35
Arbeidspakker
1. Arbeidsdeling og samhandling
2. Informasjonsflyt og personvern
3. Informasjonssikkerhet og personvern i tekniske løsninger
4. Tekniske løsninger
5. Digital deling av helseopplysninger med helsetjenesten utenfor et pågående
behandlingsforløp – fra teknisk utstyr anskaffet av pasienten selv.
6. Finansieringsmekanismer
7. Mulighetsanalyse og realisering av medisinsk avstandsoppfølging
Side 36
Arbeidspakke informasjonssikkerhet
Risiko i MU og applikasjoner i pasientens hjem
Praktisk implementering av sikkerhetstiltak
Gjennomføring av gode og dekkende risikovurderinger
«ROS bank» basert på typiske bruksscenarier for avstandsoppfølging
Anskaffelse og kravspesifisering
Bruk av skytjenester -
Innebygd personvern
Side 38
Arbeidspakke informasjonsflyt
Pasientens bruk av helsetjenester – digitale tjenester
Helsetjenestens behov – digitale tjenester
Tilgjengelighetsbehov (tilgang til stabilt nett og drift)
Behov knyttet til skytjenester og medisinsk utstyr - samspill mellom klinikk og IKT-
forvaltning
Behov knyttet til felleskomponenter og felles byggeklosser
Side 39
MINI-RISKOVURDERING
AV
AVSTANDSOPPFØLGING
Side 41
• Den dataansvarlige har ansvaret
• Den dataansvarlige har kontrollen(i hvert fall i samarbeid med sin IKT-leverandør)
• Usikker infrastruktur i pasientens hjem(både konfidensialitet og tilgjengelighet)
• Sikker autentisering• Av «bokser»• Av pasient / bruker (kognitiv svikt?)
• Overskuddsinformasjon• Dokumentasjonsplikt• Sletting• Samtykke
• Hva skal logges?
Medisinsk utstyr og informasjonssikkerhet – hva er problemet?
Utstyret er ofte gammelt
Utstyret er dårlig sikret
Kjente sårbarheter eksisterer
Ikke alltid utstyret i seg selv som er målet for en
angriper
Side 45
Side 46
30.04.18
• Skylagring• Databehandleravtaler• Sletting• Underleverandører• …
Leverandør(f.eks utstyrsprodusent)
MellomlagringPre-prosessering
Leverandør(f.eks utstyrsprodusent)
• Omfattende brukervilkår(i gjennomsnitt 14 sider)
• Overføring til andre formål / til tredjepart
• Manglende sletting• Krav til brukerkontor for lagringKilde: Forbrukerrådet 2017: Helsedata til salgs?
Pasiententar i bruk tilleggsfunksjonalitetsom tilbys av f.eks utstyrsleverandør
Ny teknologi - nye utfordringer
Side 49
Skyen, apper, bigdata…
Lange og komplekse digitale verdikjeder Der også pasientens / brukerens eget
utstyr /apper inngår
Deling av data
Vanskelige risikovurderinger
Hvem har ansvar for hva?
Forventninger fra pasienter og pårørende
Takk for meg!
Petter Ludvig AndersenRådgiver Sekretariatet for NormenDirektoratet for e-helse
[email protected]@ehelse.no
Side 50