Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Informationssäkerhet och
riskhantering i vården
Tom Andersson
Enheten för systematiskt informationssäkerhetsarbete (SISA)
Verksamheten för samhällets informations- och cybersäkerhet (ICS)
Myndigheten för samhällsskydd och beredskap (MSB)
Informationssäkerhet för offentlig sektor
Stockholm 1-2 september 2015
Styrning och uppföljning
- En lägesbild av kontrollarbetet
Myndigheten för samhällsskydd och beredskap
Bakgrund – två rapporter och pågående utvärdering av styrdokument
Uppföljning av informationssäkerhet i vården - Vårdgivarnas rapportering av kontroller, risker och incidenter (januari 2015)
https://www.msb.se/sv/Produkter--tjanster/Publikationer/Publikationer-
fran-MSB/Uppfoljning-av-informationssakerhet-i-varden/
Kontinuitetshantering i praktiken - fallstudier av läkemedelshantering och informationshantering i händelse av verksamhetsstörningar (januari 2014)
https://www.msb.se/sv/Produkter--tjanster/Publikationer/Publikationer-
fran-MSB/Kontinuitetshantering-i-praktiken/
Myndigheten för samhällsskydd och beredskap
Omvärldsförändringar – ny teknik, nya regelverk
Reform av EU:s regler om skydd av personuppgifter 2015 med införande senast 2018
Förenklad administration, tydligare ansvarsutkrävande, stärkt konsumentmakt
Socialstyrelsens förslag till nya föreskrifter avseende personuppgifter och journalföring
bättre balans mellan krav
tydligare ansvarsbeskrivningar
OECD 23-24 June 2015
Working Party on Security and Privacy in the Digital Economy
Council Recommendation on Privacy-Protective Uses of Personal Health Data : Draft Discussion Paper
Behov av riktlinjer för sekundär användning av hälsodata
Att maximera samhällsnytta och minimera integritetsrisker
Samordnad, strategisk riskhantering som utgångspunkt för styrning
Myndigheten för samhällsskydd och beredskap
Riskhantering, mer än regelefterlevnad och säkerhetsteknik
Typexempel på loggrutin
Ett slumpmässigt urval om 10% av behörig personal
En gång per månad
För kontroll av åtkomst till journaler under en slumpmässig dag denna månad
Effektivitet
Om ”jag” gör dataintrång varje
arbetsdag under hela året är
sannolikheten för att undgå
upptäckt under ett helt år 0.28
(=0.912).
Om ”jag” gör ett enda dataintrång
under ett helt år är sannolikheten
för att undgå upptäckt 0.995
(=0,9+0.1*20,43/21,43)
Då är inget nämnt om obehöriga
som ändå har ”behörighet”, t.ex.
it-personal.
Myndigheten för samhällsskydd och beredskap
Styrning
och
uppföljning
Informations-hantering,
försörjning och delning
Informations-teknik
Informations-system
Automatiska processer Mjukvara. Databaser
MTO och MDI
Infrastruktur Hårdvara
Övergripande frågor för kartläggningen
Hur ser kontrollarbetet ut för dessa mål?
Konfidentialitet
Riktighet
Tillgänglighet
Spårbarhet
Är arbetet konsekvent med riskerna?
Dataintrång
Datahaverier
Datafel
Myndigheten för samhällsskydd och beredskap
Dataintrång Av allt att döma blir 2015 ett trendbrott, från ett fokus
på dataintrång bland personal till hackers
De fem senaste attackerna omfattar 99,3 av 143,3 miljoner drabbade över en period på 6 år.
Myndigheten för samhällsskydd och beredskap
Datahaverier Funktionsstörningar i informations- och it-tjänster.
Avbrott i system- och nätverkstjänster
Programvarufel
Myndigheten för samhällsskydd och beredskap
Datafel Tio i topp hälsoteknologiska faror 2015 – ”oriktighet”
Myndigheten för samhällsskydd och beredskap
Rapporteringskrav i policys för informationssäkerhet
Sex landsting hänvisar i sina policys till kravet på rapportering enligt SOSFS 2008:14.
Inga kommuner (107). Det finns fall där kravet nämns i socialnämndernas riktlinjer för dokumentation.
Ca hälften av alla policys är mer eller mindre kopior på mallar som finns tillgängliga på nätet.
Myndigheten för samhällsskydd och beredskap
Rapportering
Åtta landsting, ingen kommun, delgav årsrapporter enligt föreskrift.
Totalt ett 50-tal revisioner under 2011-2014. It- och systemsäkerhet dominerar.
Ingen helhetssyn på avvikelse- och incidenthantering
Magert med logguppföljning och kvalitetsgranskning i Patientsäkerhetsberättelser
Några goda exempel: Uppsala, Västra Götaland, Östergötland, Jönköping
Myndigheten för samhällsskydd och beredskap
Enkät till två personalgrupper – urval och svarsmönster
Enkäten till LSF-medlemmar är att betrakta som en expertenkät till specialister på vårddokumentation.
753 svar från 1450 medlemmar i LSF (52%)
Enkäten till sjuksköterskor är att betrakta som representativ för sjuksköterskor (SJU).
2712 svar från yrkesverksamma sjuksköterskor (57%)
Myndigheten för samhällsskydd och beredskap
Enkätdesign
Inledande fråga om arbetsstatus:
< 3 månaders uppehåll?
Del 1: Erfarenhet av rutiner och
kontroller (15 frågor)
Kännedom om och erfarenhet av
tillämpning av kontrollrutin
Tidpunkt för tillämpning
Erfarenhet av och tidpunkt för
återkoppling
Del 2 : Erfarenhet av avvikelser
och incidenter (12 frågor)
Kännedom och tidpunkt för
senaste händelse
Kännedom om
patientsäkerhetsrisk och tidpunkt
för senaste analys
Del 3: Bakgrundsprofil (7 frågor)
Antal yrkesverksamma år och
antal år på aktuell arbetsplats
Arbetsplats och arbetsgivare
Ledningsansvar
Lärarledd kurs i
informationssäkerhet och
tidpunkt för kurs
Myndigheten för samhällsskydd och beredskap
Anvisningar och definitioner
Frågorna avser din kännedom och erfarenhet från din nuvarande och huvudsakliga arbetsplats.
”Kvalitetsgranskning”: en systematisk kontroll av vissa uppgifter i ett urval av patientjournaler, dvs. en genomgång och sammanställning av vilka uppgifter som är rätt och riktiga.
”Logguppföljning”: en regelbunden och systematisk kontroll av vem som har haft åtkomst till patientjournaler, att endast behöriga personer har haft åtkomst.
”Patientsäkerhetsrisk”: en möjlig orsak till potentiell patientskada, där orsak och skada fastställs genom professionell bedömning på arbetsplatsen.
Myndigheten för samhällsskydd och beredskap
Bakgrundsprofiler
Andel respondenter i öppenvården:
64% (LSF), 36% (SJU)
Andel respondenter i lärarledd kurs
32% (LSF), 15% (SJU)
Andel respondenter med ledningsansvar
13% (LSF), 18% (SJU)
Myndigheten för samhällsskydd och beredskap
Riktighet
Kvalitetsgranskning (KG) de senaste 12 månaderna:
17% för båda grupperna
1,6 (2,2) ggr fler bland respondenter som har gått kurs jämfört med dem utan kurs.
Patientsäkerhetsrisk med felaktig vårddokumentation de senaste 12 månaderna:
13% (LSF), 22% (SJU)
Myndigheten för samhällsskydd och beredskap
Konfidentialitet
Logguppföljning de senaste 12 månaderna:
39% (LSF) och 13% (SJU)
Obehörig åtkomst de senaste 12 månaderna:
3% för båda grupperna.
Patientsäkerhetsrisk till följd av obehörig åtkomst:
< 1%.
Myndigheten för samhällsskydd och beredskap
Tillgänglighet
Tillämpning av reservrutin (RR) för journalföring de senaste 12 månaderna:
14% (LSF) och 19% (SJU)
Övning av RR de senaste 12 månaderna:
3% för båda grupperna
Patientsäkerhetsrisk till följd av otillgänglig vårddokumentation de senaste 12 månaderna:
6% (LSF) och 16% (SJU)
Myndigheten för samhällsskydd och beredskap
Reflektioner
Kontrollinsatser och riskuppfattningar går inte hand i
hand, jmf. riktighet och konfidentialitet.
Anmärkningsvärt att dagens patientsäkerhetsarbete
utgår från journalgranskning, men så lite vikt läggs på
kvalitetsarbete med journalföring.
Svag och splittrad styrning – regelefterlevnad istället för
riskhantering och samordning
Myndigheten för samhällsskydd och beredskap
LfMT utredning om patientdatalagen och medicinteknik
Ledningsnätverket för Medicinsk Teknik (LfMT)
Patientdatalagen i den kliniska vardagen – Vilka krav ställs på medintekniska produkter?
http://www.lfmt.se/sida6.html
”Vi har skapat en mångfald av olika verksamhetssystem med olika behörighetssystem och säkerhetsnivåer, med eller utan central styrning av tilldelade rättigheter” (sidan 29).
”grundläggande perspektiv […] sammanhållen riskhantering avseende riskanalys och avvikelsehantering av risk för både patientskada och kränkning av patientens integritet”
Vem eller vilka bär huvudansvaret att avgöra vad erforderlig informations-säkerhet är? […] Normen idag är att informationssäkerhetsexperter anser sig ha dessa förutsättningar [att ta beslut]. Ska det vara så?
Myndigheten för samhällsskydd och beredskap
Målkonflikt i riskhantering – fallet med Hospiras Symbiq infusionspump
Myndigheten för samhällsskydd och beredskap
Effektstudier av informationssäkerhet i hälso- och sjukvården
Kwon, J., & Johnson, M. E. (2015). The Market Effect of
Healthcare Security: Do Patients Care about Data Breaches?
Paper presented at the 14th annual Workshop on the
Economics of Information Security (WEIS), 22-23 June,
2015.
Kwon, J., & Johnson, M. E. (2014). Proactive versus reactive
security investments in the healthcare sector. Mis Quarterly,
38(2), 451-471.
Kwon, J., & Johnson, M. E. (2014). Meaningful Healthcare
Security: Does "Meaningful-Use" Attestation Improve
Information Security Performance? Paper presented at the
13th annual Workshop on the Economics of Information
Security (WEIS), 23-24 June, 2014.
Kwon, J., & Johnson, M. E. (2013). Security practices and
regulatory compliance in the healthcare industry. Journal of
the American Medical Informatics Association, 20(1), 44-51.
Kwon, J., & Johnson, M. E. (2013). Health-care security
strategies for data protection and regulatory compliance.
Journal of Management Information Systems, 30(2), 41-66.
M. Eric Johnson Dean and Professor of Strategy Owen Graduate School of Management Vanderbilt University
Juhee Kwon Assistant professor Department of Information Systems City University of Hong Kong
Myndigheten för samhällsskydd och beredskap
För att citera…
Proactive security investments are associated with lower security failure rates.
Proactive investments are more cost effective. This effect is amplified at the state level (positive externalities).
Proactive investments, voluntarily made, have more impact than those involuntarily made.
The cumulative effect of breach events [samt antal dataposter] over a three-year period decreases the number of outpatient visits and admissions.
The effects in competitive markets are significantly larger than those in non-competitive markets, which are insignificant.
Myndigheten för samhällsskydd och beredskap
Nytto- och riskhantering av journaler på nätet (eHälso-tjänster)
Forskare efterfrågar bättre nytto- och riskkalkyler av systemutveckling i vården
Black AD, Car J, Pagliari C, Anandan C, Cresswell K, Bokun T, McKinstry B, Procter R, Majeed A, Sheikh A. The impact of eHealth on the quality and safety of health care: a systematic overview. PLoS Med. 2011 Jan 18;8(1).
Resultat av sammanställning av 143 forskningsstudier*
Inga studier rapporterade förbättrade hälsoresultat
Ökad bekvämlighet och kundnöjdhet
Blandade erfarenheter av arbetsmiljö, läkemedelsfel och integritet.
*de Lusignan, S., Mold, F., Sheikh, A., Majeed, A., Wyatt, J. C., Quinn, T., ... & Rafi, I. (2014). Patients’ online access to their electronic health records and linked online services: a systematic interpretative review. BMJ open, 4(9), e006021.
Myndigheten för samhällsskydd och beredskap
Statistik på HHS-uppgifter (U.S. Department of Health and Human Services)
Myndigheten för samhällsskydd och beredskap
Framväxande risker (emerging risks) följer inte några formella och aktuella ansvarsfördelningar.
12.3% har undanhållit information från vårdpersonal på grund av oro för säkerhet och integritet
“Patients’ withholding medical information […] may not only impact negatively on the patient […] potentially compromise the health of others and the quality of healthcare surveillance systems.”
Agaku, I. T., Adisa, A. O., Ayo-Yusuf, O. A., & Connolly, G. N. (2014). Concern about security and privacy, and perceived control over collection and use of health information are related to withholding of health information from healthcare providers. Journal of the American Medical Informatics Association, 21(2), 374-378.
Myndigheten för samhällsskydd och beredskap
Sammanfattande lägesbild
Brist på mognad i styrning och uppföljning – förmågan
till risk- och kontinuitetshantering
Växande risker med extrem tillväxt av datamängder och
öppna nätverk
Vårdområdet ändå en framtida förebild genom evidens-
baserad praktik
Myndigheten för samhällsskydd och beredskap
Tre frågor som underlag för reflektion och diskussion
Hur ser du på kravställning och riskhantering avseende öppna e-tjänster i din organisation?
Är det förändringar på gång?
Är det några "goda exempel" att vänta?