Informationssäkerhet och riskhantering i vården...Black AD, Car J, Pagliari C, Anandan C, Cresswell K, Bokun T, McKinstry B, Procter R, Majeed A, Sheikh A. The impact of eHealth

Informationssäkerhet och

riskhantering i vården

Tom Andersson

Enheten för systematiskt informationssäkerhetsarbete (SISA)

Verksamheten för samhällets informations- och cybersäkerhet (ICS)

Myndigheten för samhällsskydd och beredskap (MSB)

Informationssäkerhet för offentlig sektor

Stockholm 1-2 september 2015

Styrning och uppföljning

- En lägesbild av kontrollarbetet

Myndigheten för samhällsskydd och beredskap

Bakgrund – två rapporter och pågående utvärdering av styrdokument

Uppföljning av informationssäkerhet i vården - Vårdgivarnas rapportering av kontroller, risker och incidenter (januari 2015)

https://www.msb.se/sv/Produkter--tjanster/Publikationer/Publikationer-

fran-MSB/Uppfoljning-av-informationssakerhet-i-varden/

Kontinuitetshantering i praktiken - fallstudier av läkemedelshantering och informationshantering i händelse av verksamhetsstörningar (januari 2014)

https://www.msb.se/sv/Produkter--tjanster/Publikationer/Publikationer-

fran-MSB/Kontinuitetshantering-i-praktiken/

https://www.msb.se/sv/Produkter--tjanster/Publikationer/Publikationer-fran-MSB/Uppfoljning-av-informationssakerhet-i-varden/
















https://www.msb.se/sv/Produkter--tjanster/Publikationer/Publikationer-fran-MSB/Kontinuitetshantering-i-praktiken/














Omvärldsförändringar – ny teknik, nya regelverk

Reform av EU:s regler om skydd av personuppgifter 2015 med införande senast 2018

Förenklad administration, tydligare ansvarsutkrävande, stärkt konsumentmakt

Socialstyrelsens förslag till nya föreskrifter avseende personuppgifter och journalföring

bättre balans mellan krav

tydligare ansvarsbeskrivningar

OECD 23-24 June 2015

Working Party on Security and Privacy in the Digital Economy

Council Recommendation on Privacy-Protective Uses of Personal Health Data : Draft Discussion Paper

Behov av riktlinjer för sekundär användning av hälsodata

Att maximera samhällsnytta och minimera integritetsrisker

Samordnad, strategisk riskhantering som utgångspunkt för styrning


Riskhantering, mer än regelefterlevnad och säkerhetsteknik

Typexempel på loggrutin

Ett slumpmässigt urval om 10% av behörig personal

En gång per månad

För kontroll av åtkomst till journaler under en slumpmässig dag denna månad

Effektivitet

Om ”jag” gör dataintrång varje

arbetsdag under hela året är

sannolikheten för att undgå

upptäckt under ett helt år 0.28

(=0.912).

Om ”jag” gör ett enda dataintrång

under ett helt år är sannolikheten

för att undgå upptäckt 0.995

(=0,9+0.1*20,43/21,43)

Då är inget nämnt om obehöriga

som ändå har ”behörighet”, t.ex.

it-personal.


Styrning

och

uppföljning

Informations-hantering,

försörjning och delning

Informations-teknik

Informations-system

Automatiska processer Mjukvara. Databaser

MTO och MDI

Infrastruktur Hårdvara

Övergripande frågor för kartläggningen

Hur ser kontrollarbetet ut för dessa mål?

Konfidentialitet

Riktighet

Tillgänglighet

Spårbarhet

Är arbetet konsekvent med riskerna?

Dataintrång

Datahaverier

Datafel


Dataintrång Av allt att döma blir 2015 ett trendbrott, från ett fokus

på dataintrång bland personal till hackers

De fem senaste attackerna omfattar 99,3 av 143,3 miljoner drabbade över en period på 6 år.


Datahaverier Funktionsstörningar i informations- och it-tjänster.

Avbrott i system- och nätverkstjänster

Programvarufel


Datafel Tio i topp hälsoteknologiska faror 2015 – ”oriktighet”


Rapporteringskrav i policys för informationssäkerhet

Sex landsting hänvisar i sina policys till kravet på rapportering enligt SOSFS 2008:14.

Inga kommuner (107). Det finns fall där kravet nämns i socialnämndernas riktlinjer för dokumentation.

Ca hälften av alla policys är mer eller mindre kopior på mallar som finns tillgängliga på nätet.


Rapportering

Åtta landsting, ingen kommun, delgav årsrapporter enligt föreskrift.

Totalt ett 50-tal revisioner under 2011-2014. It- och systemsäkerhet dominerar.

Ingen helhetssyn på avvikelse- och incidenthantering

Magert med logguppföljning och kvalitetsgranskning i Patientsäkerhetsberättelser

Några goda exempel: Uppsala, Västra Götaland, Östergötland, Jönköping


Enkät till två personalgrupper – urval och svarsmönster

Enkäten till LSF-medlemmar är att betrakta som en expertenkät till specialister på vårddokumentation.

753 svar från 1450 medlemmar i LSF (52%)

Enkäten till sjuksköterskor är att betrakta som representativ för sjuksköterskor (SJU).

2712 svar från yrkesverksamma sjuksköterskor (57%)


Enkätdesign

Inledande fråga om arbetsstatus:

< 3 månaders uppehåll?

Del 1: Erfarenhet av rutiner och

kontroller (15 frågor)

Kännedom om och erfarenhet av

tillämpning av kontrollrutin

Tidpunkt för tillämpning

Erfarenhet av och tidpunkt för

återkoppling

Del 2 : Erfarenhet av avvikelser

och incidenter (12 frågor)

Kännedom och tidpunkt för

senaste händelse

Kännedom om

patientsäkerhetsrisk och tidpunkt

för senaste analys

Del 3: Bakgrundsprofil (7 frågor)

Antal yrkesverksamma år och

antal år på aktuell arbetsplats

Arbetsplats och arbetsgivare

Ledningsansvar

Lärarledd kurs i

informationssäkerhet och

tidpunkt för kurs


Anvisningar och definitioner

Frågorna avser din kännedom och erfarenhet från din nuvarande och huvudsakliga arbetsplats.

”Kvalitetsgranskning”: en systematisk kontroll av vissa uppgifter i ett urval av patientjournaler, dvs. en genomgång och sammanställning av vilka uppgifter som är rätt och riktiga.

”Logguppföljning”: en regelbunden och systematisk kontroll av vem som har haft åtkomst till patientjournaler, att endast behöriga personer har haft åtkomst.

”Patientsäkerhetsrisk”: en möjlig orsak till potentiell patientskada, där orsak och skada fastställs genom professionell bedömning på arbetsplatsen.


Bakgrundsprofiler

Andel respondenter i öppenvården:

64% (LSF), 36% (SJU)

Andel respondenter i lärarledd kurs

32% (LSF), 15% (SJU)

Andel respondenter med ledningsansvar

13% (LSF), 18% (SJU)


Riktighet

Kvalitetsgranskning (KG) de senaste 12 månaderna:

17% för båda grupperna

1,6 (2,2) ggr fler bland respondenter som har gått kurs jämfört med dem utan kurs.

Patientsäkerhetsrisk med felaktig vårddokumentation de senaste 12 månaderna:

13% (LSF), 22% (SJU)


Konfidentialitet

Logguppföljning de senaste 12 månaderna:

39% (LSF) och 13% (SJU)

Obehörig åtkomst de senaste 12 månaderna:

3% för båda grupperna.

Patientsäkerhetsrisk till följd av obehörig åtkomst:

< 1%.


Tillgänglighet

Tillämpning av reservrutin (RR) för journalföring de senaste 12 månaderna:

14% (LSF) och 19% (SJU)

Övning av RR de senaste 12 månaderna:

3% för båda grupperna

Patientsäkerhetsrisk till följd av otillgänglig vårddokumentation de senaste 12 månaderna:

6% (LSF) och 16% (SJU)


Reflektioner

Kontrollinsatser och riskuppfattningar går inte hand i

hand, jmf. riktighet och konfidentialitet.

Anmärkningsvärt att dagens patientsäkerhetsarbete

utgår från journalgranskning, men så lite vikt läggs på

kvalitetsarbete med journalföring.

Svag och splittrad styrning – regelefterlevnad istället för

riskhantering och samordning


LfMT utredning om patientdatalagen och medicinteknik

Ledningsnätverket för Medicinsk Teknik (LfMT)

Patientdatalagen i den kliniska vardagen – Vilka krav ställs på medintekniska produkter?

http://www.lfmt.se/sida6.html

”Vi har skapat en mångfald av olika verksamhetssystem med olika behörighetssystem och säkerhetsnivåer, med eller utan central styrning av tilldelade rättigheter” (sidan 29).

”grundläggande perspektiv […] sammanhållen riskhantering avseende riskanalys och avvikelsehantering av risk för både patientskada och kränkning av patientens integritet”

Vem eller vilka bär huvudansvaret att avgöra vad erforderlig informations-säkerhet är? […] Normen idag är att informationssäkerhetsexperter anser sig ha dessa förutsättningar [att ta beslut]. Ska det vara så?




Målkonflikt i riskhantering – fallet med Hospiras Symbiq infusionspump


Effektstudier av informationssäkerhet i hälso- och sjukvården

Kwon, J., & Johnson, M. E. (2015). The Market Effect of

Healthcare Security: Do Patients Care about Data Breaches?

Paper presented at the 14th annual Workshop on the

Economics of Information Security (WEIS), 22-23 June,

2015.

Kwon, J., & Johnson, M. E. (2014). Proactive versus reactive

security investments in the healthcare sector. Mis Quarterly,

38(2), 451-471.

Kwon, J., & Johnson, M. E. (2014). Meaningful Healthcare

Security: Does "Meaningful-Use" Attestation Improve

Information Security Performance? Paper presented at the

13th annual Workshop on the Economics of Information

Security (WEIS), 23-24 June, 2014.

Kwon, J., & Johnson, M. E. (2013). Security practices and

regulatory compliance in the healthcare industry. Journal of

the American Medical Informatics Association, 20(1), 44-51.

Kwon, J., & Johnson, M. E. (2013). Health-care security

strategies for data protection and regulatory compliance.

Journal of Management Information Systems, 30(2), 41-66.

M. Eric Johnson Dean and Professor of Strategy Owen Graduate School of Management Vanderbilt University

Juhee Kwon Assistant professor Department of Information Systems City University of Hong Kong


För att citera…

Proactive security investments are associated with lower security failure rates.

Proactive investments are more cost effective. This effect is amplified at the state level (positive externalities).

Proactive investments, voluntarily made, have more impact than those involuntarily made.

The cumulative effect of breach events [samt antal dataposter] over a three-year period decreases the number of outpatient visits and admissions.

The effects in competitive markets are significantly larger than those in non-competitive markets, which are insignificant.


Nytto- och riskhantering av journaler på nätet (eHälso-tjänster)

Forskare efterfrågar bättre nytto- och riskkalkyler av systemutveckling i vården

Black AD, Car J, Pagliari C, Anandan C, Cresswell K, Bokun T, McKinstry B, Procter R, Majeed A, Sheikh A. The impact of eHealth on the quality and safety of health care: a systematic overview. PLoS Med. 2011 Jan 18;8(1).

Resultat av sammanställning av 143 forskningsstudier*

Inga studier rapporterade förbättrade hälsoresultat

Ökad bekvämlighet och kundnöjdhet

Blandade erfarenheter av arbetsmiljö, läkemedelsfel och integritet.

*de Lusignan, S., Mold, F., Sheikh, A., Majeed, A., Wyatt, J. C., Quinn, T., ... & Rafi, I. (2014). Patients’ online access to their electronic health records and linked online services: a systematic interpretative review. BMJ open, 4(9), e006021.


Statistik på HHS-uppgifter (U.S. Department of Health and Human Services)


Framväxande risker (emerging risks) följer inte några formella och aktuella ansvarsfördelningar.

12.3% har undanhållit information från vårdpersonal på grund av oro för säkerhet och integritet

“Patients’ withholding medical information […] may not only impact negatively on the patient […] potentially compromise the health of others and the quality of healthcare surveillance systems.”

Agaku, I. T., Adisa, A. O., Ayo-Yusuf, O. A., & Connolly, G. N. (2014). Concern about security and privacy, and perceived control over collection and use of health information are related to withholding of health information from healthcare providers. Journal of the American Medical Informatics Association, 21(2), 374-378.


Sammanfattande lägesbild

Brist på mognad i styrning och uppföljning – förmågan

till risk- och kontinuitetshantering

Växande risker med extrem tillväxt av datamängder och

öppna nätverk

Vårdområdet ändå en framtida förebild genom evidens-

baserad praktik


Tre frågor som underlag för reflektion och diskussion

Hur ser du på kravställning och riskhantering avseende öppna e-tjänster i din organisation?

Är det förändringar på gång?

Är det några "goda exempel" att vänta?

Documents

Informationssäkerhet och riskhantering i vården...Black AD, Car J, Pagliari C, Anandan C, Cresswell K, Bokun T, McKinstry B, Procter R, Majeed A, Sheikh A. The impact of eHealth