Noen utvalgte faktaark og veiledere, og medisinsk ......Nettvett: Lenker og innhold i e post Side 29 Veileder sosiale medier Praktisk verktøy når virksomheten skal utforme retningslinjer

Noen utvalgte faktaark og veiledere, og medisinsk avstandsoppfølging

Med.tek kurs

03.04.2019

Petter Ludvig Andersen

Rådgiver

Side 1

Innhold

Normen.no

Generelt om veiledere og faktaark

Litt mer om følgende veiledere: Veileder informasjonssikkerhet og personvern ved bruk av velferdsteknologi

Veileder med avtaleeksempler om samarbeid mellom virksomheter om felles journal

Veileder i bruk av skytjenester til behandling av helse- og personopplysninger

Veileder sosiale medier

Litt mer om følgende faktaark: Faktaark 6b (Sjekkliste revisjon)

Faktaark 27 (Retningslinjer for daglig informasjonssikkerhet)

Utredning: Medisinsk avstandsoppfølging

Side 2

Side 3

Oppdatert veiledningsmateriell

Side 4

Nye publiserte versjoner: 6b – Sikkerhetsrevisjoner – sjekklister for å ivareta kravene i Normen (samt oppdatert

engelsk versjon)

10 – Bruk av databehandler

24 – Kommunikasjon over åpne nett

8 – Avviksbehandling

13 – Oversikt over behandlinger av helse- og personopplysninger med vedlegg

35 – Personvernombud

38 – Sikkerhetskrav i systemer (samt oppdatert engelsk versjon )

Revideringer som pågår

Veileder for små virksomheter

Veileder for medisinsk utstyr

Normen.no

Side 5

Normens veiledningsmateriell

Side 6

Krav til meldingsutveksling

Veileder for fjernaksess

Veileder for forskning

Veileder for helse- og omsorgstjenester i kommuner

Veileder for apotek

Veileder for legekontor

Veileder for psykologer, fysioterapeuter, manuellterapeuter og kiropraktorer

Veileder for tannhelsetjenesten

Veileder i bruk av portalløsninger, SMS og e-post

Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi

Veileder med avtaleeksempler ved samarbeid om felles journal


Veileder i personvern og informasjonssikkerhet ved tilgang til helseopplysninger mellom virksomheter

Veileder video-, lyd og bildeopptak i helse- og omsorgssektoren


Veileder i personvern og informasjonssikkerhet -medisinsk utstyr

Med maler for

styringssystem

tilpasset virksomhetstypen

Innhold i faktaark – tematisk inndelt

Side 7

Styringssystem01 - Ansvar og organisering

02 - Styringssystem for

informasjonssikkerhet

03 - Dokumenter i styringssystemet

04 - Kartlegge og klassifisere systemer

05 - Fastsette nivå for akseptabel risiko

06 / 6b - Sikkerhetsrevisjon

07 - Risikovurdering

08 - Avviksbehandling

13 - Oversikt over behandling av helse- og

personopplysninger i virksomheten

37 - Sikkerhetskrav og

sikkerhetsdokumentasjon i IKT-prosjekter

51 - Innsyn i den ansattes e-postkasse mv

Behandling av helse- og personopplysninger

Databehandler/ leverandør


Side 8

Fysisk/ teknisk

sikkerhet 17 - Fysisk sikring av områder og utstyr

18 - Sikring av bærbart utstyr

19 - Tiltak for å hindre ondsinnet

programvare

29 - Hjemmekontor

30 - Sikring av mobilt utstyr utenfor

virksomheten

31 - Passord og passordhåndtering

34 - Håndtering av lagringsmedia

52 - Krav til teknisk løsning ved bruk av

betalingsterminal

Tilgjengelighet

og integritet

Arkitektur og

kommunikasjon


Side 9

Forskning23 - Avtaler og tillatelser

vedrørende forskning

35 - Personvernombud

40 - Informasjonssikkerhet i

forskningsprosjekter

Brukerrettet

sikkerhet 09 - Opplæring av ledere og

medarbeidere

27 - Retningslinjer for daglig


Test43 - Bruk av testdata i

systemer som inneholder

helse- og

personopplysninger

48 - Informasjonssikkerhet

ved utførelse av testing

For kommuner44 - Personvern og informasjonssikkerhet i helse- og sosialtjenesten - kortfattet oversikt for kommuneledelsen

45 - Personvern og informasjonssikkerhet - en kort orientering for det enkelte helse-og sosialpersonell i kommuner

46 - Databehandlingsansvar og avtaler i forbindelse med tjenesteutsetting

Veileder velferdsteknologi

Versjon 2.0

Versjon 2.0 av veilederen med følgende endringer: Behandler kun informasjonssikkerhet som er spesielt for velferdsteknologi.

Personvern er tatt ut

Veilederen dekker ikke veiledning i juridiske problemstillinger (dokumentasjon, samtykke, helsehjelp

eller ikke, hjemmel mv.)

Veilederen er strukturert som en tenkt prosess fra ide til anskaffelse i kap. 2

Tekst er skrevet om for å rendyrke det som er spesielt for velferdsteknologi og gi referanser til mer

informasjon i faktaark og veiledere

Risikovurdering er framhevet

Personvernforordningen

I gang med revidering i samarbeid med Nasjonalt velferdsteknologiprogram

Side 11

Behovskartlegging

Juridisk

Helsehjelp eller ikke? Vedtak?

Samtykke

Dokumentasjon

Dataflyt - bevissthet

Risikostyring – vurdering og håndtering

Varierende kompetanse og bevissthet hos aktørene (både kommune og leverandør)

Ulike roller

Anskaffelser og krav – leverandøroppfølging

Tilgangsstyring og brukerautentisering

Medisinsk utstyr – behandlingshjelpemidler

Side 12

Risikovurdering

All behandling av helse – og personopplysninger skal risikovurderes.

Det er risikovurderingen som ligger til grunn for alle de videre vurderingene og

beslutningene; blant annet om man vil ta i bruk en velferdsteknologisk løsning, for

hvordan behandlingen av opplysningene skal foregå og hvilke tiltak som settes i verk

Eksempler på områder som kan inngå i risikovurderingen av velferdsteknologi:

Personvernkonsekvensvurdering – Personvernforordningen (GDPR)

Side 13

Konfidensialitet

• Tilgangsstyring hos bruker (f.eks. nettbrettet,

rapporteringsløsninger, dørlåser, mv.)

• Leverandørs løsning for fjernaksess

Prosessorientert

Side 14

Utprøving

Side 15

Side 16

Anskaffelser

Anbefalte krav til bruk ved kjøp av utstyr og tjenester

Tjenester i sky, nb!

Risikovurdering

Databehandleravtaler

Side 17

Drift

Side 18

Drift – Oppdatere styringssystem (rutiner) og behandlingsoversikt

Eksempel på rutiner Håndtering av velferdsteknologien på mobilt

datautstyr Autorisasjon av bruker og pårørende Prosedyre for sletting av data Håndtering og sletting av overskuddsinformasjon Tilbakestilling til fabrikkinnstillinger ”Enkle driftsrutiner” for bruker (ladning, batteri,

kabler, koblinger, reset, osv) Avklare hvilke rutiner databehandler ivaretar (i og

med at dette er komplekst vil det være nyttig at databehandlingsansvarlig vet hvilke rutiner databehandler ivaretar i den komplette løsningen)

Håndtering av feilmeldinger fra bruker Driftsrutiner teknisk løsning (mange rutiner) Opplæring av pårørede

Side 19

Eksempler og anbefalinger

Side 20

Privat bruk

4 eksempler

Velferdsteknologiens ABC

Nr. Problemstilling Antatt risiko

Forslag til tiltak

1. Medarbeider i responssenteret er ikke kjent med når kan de kan gå inn og sjekke koordinatene

Lav Opplæring av medarbeiderne i korrekt uthenting av koordinater

1. Hvem skal sjekke koordinatene?

Middels Definer roller i responssenteret og før rollene opp i autorisasjonsregisteret

1. Koordinatdata lagres til all tid Høy Erfaring tilsier at koordinater skal slettes etter 30 dager

Vedlegg - Anbefaling til autentisering fra

Nasjonalt velferdsteknologiprogram Alternativ 1- Sikkerhetsnivå ¾

Alternativ 2 – Brukernavn/passord og

offentlig/privat nøkkel

Alternativ 3 – Unik identifikator på utstyr

21

Deling av helseopplysninger

Felles journalRettslig grunnlag for felles journal – pasientjournalloven § 9

Åpner for samarbeid mellom virksomheter om felles journal

Krav om avtale Hva samarbeidet omfatter

Hvordan pasientens rettigheter skal ivaretas

Hvordan helseopplysninger behandles og sikres – også ved endring/opphør

Dataansvar

Samme ansvar for behandling av helseopplysninger for de virksomhetene som deltar i samarbeidet

Hver virksomhet har selvstendig plikt til å oppfylle lovkravene dataansvaret kan ikke fordeles – ligger hos hver

deltakende virksomhet

Side 22

Tilgang på tvers - §19

§ 19.Helseopplysninger ved helsehjelp

Den dataansvarlige bestemmer på hvilken måte opplysningene skal gjøres

tilgjengelige. Opplysningene skal gjøres tilgjengelige på en måte som ivaretar

informasjonssikkerheten.

Forskrift

Forslag til avtaletekst

Eksempler på behov som kan være aktuelle å vurdere:

Pasienter med forløp og overganger mellom spesialisthelsetjenesten, fastlege og den øvrige delen av

den kommunale helse- og omsorgstjenesten

Pasienter som mottar helsehjelp ved flere virksomheter

Pasienter som mottar helsetjenester fra flere nivåer og over lengre tid

Akuttoppmøte av pasienten på legevakt hvor ordinær utredning og behandling er pågående i en

annen virksomhet

Side 23

24

Annet nyttig veiledningsmateriell


Side 25

Faktaark 10 – Bruk av databehandler

Side 26

Faktaark 6b – Sjekkliste for å ivareta kravene i Normen

208 krav med referanse til Normen

Tematisk inndeling

Administrativ og organisatorisk

sikkerhet

EPJ / fagsystem

Fysisk sikring

Teknisk løsning

Angivelse av om kravet kan oppfylles

av databehandlingsansvarlig,

databehandler, eller begge.

Ny versjon publisert!

Side 27

Krav til programvare

Faktaark 38 - Sikkerhetskrav for systemer

(med referanse til Normen)

Tilhørende selvdeklareringsdokumenter

Side 28

https://ehelse.no/faktaark-38-sikkerhetskrav-for-systemer

Faktaark 27 – Retningslinjer for daglig informasjonssikkerhet

Kjøreregler for informasjonssikkerhet i praksis: Passord

Tilgang til og bruk av pasientjournal

Logge av / låse pc

Pasientopplysninger på minnepinner o.l.

Kontroll på dokumenter

Du vet hva du kan og ikke kan lese

Mal for sikkerhetsinstruks Deling av pasientinformasjon

Pasientinformasjon på SMS eller på e-post

Sosiale medier

Avvik

Nettvett:Lenker og innhold i e post

Side 29


Praktisk verktøy når virksomheten skal utforme retningslinjer for bruk av sosiale medier

Tre deler: Overordnede problemstillinger

ledelsen må ta stilling til

Tekstforslag ”Råd for bruk av sosiale medier for deg som jobber i <virksomheten>”

Tekstforslag ”Gode råd for bruk av sosiale medier for pasienter / brukere og deres pårørende”

Side 30

SPØRSMÅL?

Side 31

Medisinsk avstandsoppfølging - bruk av teknologi for å levere helsetjenester på nye måter

Informasjonsflyt, personvern og


NHSP: Hvordan realisere pasientens helsetjeneste på en bærekraftig måte?

Teknologisk utvikling innebærer at stadig flere tjenester kan ytes til pasientene utenfor

sykehus og kommunal helsetjeneste

For mange pasienter vil dette gi et bedre tjenestetilbud samtidig som det kan bidra til en mer

bærekraftig utvikling av helsetjenesten.

Utredningsoppdraget medisinsk avstandsoppfølging (NHSP)

Side 34

Helsedirektoratet, Direktoratet for e-helse og Statens Legemiddelverk har fått i oppgave av

HOD om å leverer en felles plan for å utrede og implementere nødvendige tilpasninger i

nasjonale rammer og virkemidler for å muliggjøre økt bruk av medisinsk avstandsoppfølging.

Helsedirektoratet har koordinerende ansvar.

Oppdrag –September 2018

L1 – Desember 2018

• Plan for utredning

L2 – April 2019

• Konkretisering av plan

• Arbeidspakker

L3 – Juni 2019

• Statusrapport på utredningen

• Prioritering

L4 – Desember 2019

• Sluttrapport

• Vesentlig å sikre kommunenes involvering/bidrag

• Involvert Sikkerhetsfaglig råd (Helse Sør-Øst), Regionalt InformasjonssikkerhetsForum (Helse-

Midt), Fagråd for Informasjonssikkerhet (Helse-Nord)

Spesifikt ansvar Direktoratet for e-helse

Direktoratet for e-helse utreder:

Hvilke tekniske forutsetninger som kreves for å understøtte medisinsk

avstandsoppfølging; herunder IKT-infrastrukturer, arkitekturer, felleskomponenter, tekniske

standarder etc. Denne vurderingen skal ta utgangspunkt i planer/behov som RHF og

kommuner har for innføring av medisinsk avstandsoppfølging på kort og lang sikt.

Hvilke eventuelle endringer i dagens regelverk som er nødvendige for å understøtte

innføring og bruk av medisinsk avstandsoppfølging i helse- og omsorgssektoren.

Hvordan krav til informasjonssikkerhet og personvern ifm. anskaffelse og bruk av

løsninger for medisinsk avstandsoppfølging bør ivaretas. Dette gjelder særlig behovet for

nasjonal veiledning til virksomheter og leverandører, jf. blant annet Norm for personvern

og informasjonssikkerhet i helse- og omsorgstjenesten. Andre virkemidler for å ivareta

informasjonssikkerhet og personvern bør også vurderes.

Side 35

Arbeidspakker

1. Arbeidsdeling og samhandling

2. Informasjonsflyt og personvern

3. Informasjonssikkerhet og personvern i tekniske løsninger

4. Tekniske løsninger

5. Digital deling av helseopplysninger med helsetjenesten utenfor et pågående

behandlingsforløp – fra teknisk utstyr anskaffet av pasienten selv.

6. Finansieringsmekanismer

7. Mulighetsanalyse og realisering av medisinsk avstandsoppfølging

Side 36

Arbeidspakke informasjonssikkerhet

Risiko i MU og applikasjoner i pasientens hjem

Praktisk implementering av sikkerhetstiltak

Gjennomføring av gode og dekkende risikovurderinger

«ROS bank» basert på typiske bruksscenarier for avstandsoppfølging

Anskaffelse og kravspesifisering

Bruk av skytjenester -

Innebygd personvern

Side 38

Arbeidspakke informasjonsflyt

Pasientens bruk av helsetjenester – digitale tjenester

Helsetjenestens behov – digitale tjenester

Tilgjengelighetsbehov (tilgang til stabilt nett og drift)

Behov knyttet til skytjenester og medisinsk utstyr - samspill mellom klinikk og IKT-

forvaltning

Behov knyttet til felleskomponenter og felles byggeklosser

Side 39

MINI-RISKOVURDERING

AV

AVSTANDSOPPFØLGING

Side 41

• Den dataansvarlige har ansvaret

• Den dataansvarlige har kontrollen(i hvert fall i samarbeid med sin IKT-leverandør)

• Usikker infrastruktur i pasientens hjem(både konfidensialitet og tilgjengelighet)

• Sikker autentisering• Av «bokser»• Av pasient / bruker (kognitiv svikt?)

• Overskuddsinformasjon• Dokumentasjonsplikt• Sletting• Samtykke

• Hva skal logges?

Medisinsk utstyr og informasjonssikkerhet – hva er problemet?

Utstyret er ofte gammelt

Utstyret er dårlig sikret

Kjente sårbarheter eksisterer

Ikke alltid utstyret i seg selv som er målet for en

angriper

Side 45

Side 46

30.04.18

• Skylagring• Databehandleravtaler• Sletting• Underleverandører• …

Leverandør(f.eks utstyrsprodusent)

MellomlagringPre-prosessering

Leverandør(f.eks utstyrsprodusent)

• Omfattende brukervilkår(i gjennomsnitt 14 sider)

• Overføring til andre formål / til tredjepart

• Manglende sletting• Krav til brukerkontor for lagringKilde: Forbrukerrådet 2017: Helsedata til salgs?

Pasiententar i bruk tilleggsfunksjonalitetsom tilbys av f.eks utstyrsleverandør

Ny teknologi - nye utfordringer

Side 49

Skyen, apper, bigdata…

Lange og komplekse digitale verdikjeder Der også pasientens / brukerens eget

utstyr /apper inngår

Deling av data

Vanskelige risikovurderinger

Hvem har ansvar for hva?

Forventninger fra pasienter og pårørende

Takk for meg!

Petter Ludvig AndersenRådgiver Sekretariatet for NormenDirektoratet for e-helse

[email protected]@ehelse.no

Side 50

mailto:[email protected]

mailto:[email protected]

Documents

Noen utvalgte faktaark og veiledere, og medisinsk ......Nettvett: Lenker og innhold i e post Side 29 Veileder sosiale medier Praktisk verktøy når virksomheten skal utforme retningslinjer