Datasikkerhet interntpå sykehuset

InformasjonssikkerhetslederJan Gunnar Broch

Sykehuset Innlandet HF

DRG Konferansen 11. mars 2009

Agenda• Informasjonssikkerhet; Hva, hvorfor og

hvordan• Hvordan håndterer helseforetaket

tilgang til pasientdata? • Hvilke krav må stilles

til verktøy som håndterer analyse og rapportering av pasientdata?

Informasjonssikkerhet -Hva, Hvorfor og Hvordan

Hva er informasjonssikkerhet?• Tilgjengelighet

Har du tjenstlig behov, skal også opplysningene være tilgjengelig til rett tid og sted

• KonfidensialitetOpplysningene skal være skjult for uvedkommende

• IntegritetOpplysningene skal være sikret mot utilsiktet/ uautorisert retting eller sletting

• KvalitetKorrekte, oppdaterte, relevante og tilstrekkelige opplysninger

Drivere for høyere sikkerhetsnivå• Avhengigheten av

tilgjengelige IT-systemer øker

• Nye, flere og farligere trusler

• Eksterne krav– Tilsyns-

myndigheter• Større enheter –

større eksponeringsflate

”Antallet forsøk påkartlegging og spionering på norske datamaskiner er tidoblet fra 1. januar 2007 til 1. januar i år.”

”I fjor registrerte NSM til sammen 3049 «hendelser» i form av organiserte dataangrep, innbrudd eller virusutbrudd”

”6 av 10 datamaskiner i Norge utsatt for dataangrep”

”Norge har høy båndbredde og mange PC-er med høy kvalitet og vi er et attraktivt mål”

…mens brukerne vil haflere tjenester…

• Helsepersonell krever bedre tilgang til internett– Kunnskapsbasert praksis– De mest innovative vil heller

bruke Google Docs enn Word, og snakker entusiastisk om Web 2.0…

• Helsepersonell krever åarbeide mobilt– Antall bærbare pc’er med

VPN i SI: ca 1000

• Pasientrettede tjenester påinternett

Informasjonsbehandling og taushetsplikt i helseforetak:

• Lov 02-07-1999 nr. 63: Lov om pasientrettigheter• Lov 02-07-1999 nr. 64: Lov om helsepersonell• LOV 1999-07-02 nr 61: Lov om spesialisthelsetjenesten m.m. • Lov 18-05-2001 nr. 24: Lov om helseregistre og behandling av

helseopplysninger• Lov 14-04-2000 nr. 31: Lov om behandling av

personopplysninger

• + forskrifter: – Journalforskriften– Forskrift til personopplysningsloven

(Kap 2)

Norm for informasjonssikkerhet i helsesektoren

• Beskriver krav til informasjonssikkerhet for alle aktører i helsesektoren, også private aktører

• Samler krav fra et stort antall lover og forskrifter i et dokument

• Tilslutning er inngangsbillett til Norsk Helsenett

• I tillegg til Normen er faktaark utarbeidet

INFORMASJONS-SIKKERHET

Teknisksikkerhet

Rutiner og sikkerhets-organisasjon

Bevisste brukere

En dag på avdelingen: Hvorfor bevisste brukere er viktig

Hei,Det er fra IT-

avdelingen. Vi har oppdaget en

feil i DIPS oppsettet ditt!

Hallo, medisinsk sengepost, Det er

Hanne?

Uffda, hva gjør jeg med det?

Jeg må få vite brukernavnet og passordet ditt, så skal jeg

fikse problemet for deg.

OK. Brukenavnet er hanne, og passordet er

abba123Takk skal du ha!

Litt av det brukerne må minnes på (1)…

• Pasientopplysninger skal ikke sendes via e-post

• Logg ut, eller lås pc’en når du forlater den

• Ikke skriv ned passordet i nærheten av pc’en

Litt av det brukerne må minnes på (2)…

• Bruk av bærbare pc’er– tenk om pc’en blir stjålet

• Bruk av minnepenner– Virus– Sensitive data på

avveie• Journalsnoking kan

oppdages gjennom logging

Ny bestemmelse i Helsepersonelloven:

§ 21. Hovedregel om taushetspliktHelsepersonell skal hindre at andre får adgang eller kjennskap til

opplysninger om folks legems- eller sykdomsforhold eller andre personlige forhold som de får vite om i egenskap av å være helsepersonell.

§ 21a. Forbud mot urettmessig tilegnelse av taushetsbelagte opplysningerDet er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte opplysninger som nevnt i § 21 uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift.

Tilføyd ved lov 9 mai 2008 nr. 34 (i kraft 9 mai 2008 iflg. res. 9 mai 2008 nr. 442).

INFORMASJONS-SIKKERHET

Teknisksikkerhet

Rutiner og sikkerhets-organisasjon

Bevisste brukere

Lovpålagt internkontroll for informasjonssikkerhet

Ledelsens gjennomgang• Risikovurderinger• Sikkerhetsrevisjon• Avvik

OppfølgingsaktiviteterStyrende dokumentasjonSI/14 Informasjonssikkerhet

SI/14.01 Overordnet informasjonssikkerhetspolicy og sikkerhet i organisasjonen

SI/14.01-01 Overordnet informasjonssikkerhetspolicy SI/14.02 Ledelsens ansvar

SI/14.02-01 Lovpålagte administrative oppgaver knyttet til informasjonssikkerhet

SI/14.03 Klassifisering av og tilgang til personopplysninger SI/14.03-01 Policy for tilgang til elektroniske pasientopplysninger SI/14.03-02 Tilgangsadministrasjon SI/14.03-03 Sikkerhets- og taushetserklæring SI/14.03-04 Autorisasjonskontroll nyansatte SI/14.03-05 Opprettelse av personregistre SI/14.03-06 Skjema opprettelse av personregistre SI/14.03-07 Behandling av personopplysninger ved forskning SI/14.03-08 Opprettelse/endring av brukerkonto SI/14.03-09 Meldeskjema for forsknings- og studentprosjekt

SI/14.04 Allmenne sikkerhetstiltak SI/14.04-01 Fysisk adgangskontroll SI/14.04-02 Plassering og sikring av utstyr SI/14.04-03 Bruk av telefax SI/14.04-04 Sikkerhetsregelverk for IT-brukere SI/14.04-05 Datavirus - alle brukere SI/14.04-06 Retningslinjer for bærbart IT-utstyr SI/14.04-07 Brukeravtale bærbart utstyr SI/14.04-08 Kontroll, sikkerhet og taushetsplikt hos leverandører SI/14.04-09 Sikkerhets og taushetserklæring leverandører

SI/14.05 Avbruddshåndtering SI/14.05-01 Kontinuitetsplanlegging SI/14.05-02 Varsling driftsavbrudd

Hvordan håndterer helseforetaket

tilgang til pasientdata?

Tilgang etter behov• Somatiske leger• Sykepleiere i sengepost• Bioingeniører• Radiografer• Logopeder• Miljøarbeidere• Miljøterapeuter• Hjelpepleiere• Hjelpepleiere som jobber på

sengepost uten døgnkontinuerlig sykepleierdekning

• Ergoterapeuter i rehab team trenger tilgang til røntgenbeskrivelse i journalen

• Dialyse sykepleiere vil ha tilgang til sengepostlista ved de enhetene de har pasienter

• Sykepleier ved akutt psykavd.trenger tilgang til pasienten før innleggelse

Vurderingav

behov

Rutiner for tildeling av tilganger

Nærmesteleder rekvirer

tilgangbasert på rolle

Ny bruker

IT-avd/ system-ansvarlige

Systempolicyer

Tilganger gis i hhtpolicyer basert på rolle

Avvik fra rolle/tilgangbesluttes av systemeier

Systemeier

Bruker tildelesbrukerkonto

Bruker signererbrukerkontrakt

SI/14.03-01 Policy for tilgang til elektroniske pasientopplysningerSI/14.03-02 TilgangsadministrasjonSI/06.15-04 Systempolicy DipsSI/06.15-05 Tilgang journalgrupperSI/14.03-03 Sikkerhets- og taushetserklæringElektronisk skjema for Opprettelse, endring og sletting av brukerkonto

Journaldatabase

Avdeling for analyseog DRG rapportering

DivisjonscontrollereLedelse…

Hvilke krav må stillestil verktøy som håndterer analyse og rapportering av pasientdata?

Tilgangskontroll (1)• Sikre at tilgangene

i systemet er i tråd med tjenstlig behov

• Tilgang kan gis ut i fra• Brukerens funksjon• Plassering i

organisasjonen• Pasientens

kontaktstatus• Beslutningsstyrt tilgang

(aktualisering)

Tilgangskontroll (2)

Autentisering• Pålogging• Passordstyrke• Antall forsøk• Levetid for

passord• AD integrasjon

Autorisering•Administrativerutiner for tildeling,endring og fjerningav tilgang•Roller og differensieringav tilgang•Beslutningsstyrt tilgang

Logging• All autorisert bruk og

forsøk på uautorisertbruk av informasjons-systemene skal registreres

• Skal omfatte oppslag, utskrifter, endring, retting, og sletting av helse- og personopplysninger

• Logger skal sikres mot endring og sletting av uautorisert personell

Bruk av innsamlede data på tvers av formål…

Oppsummering• La ikke analyse- og

rapporteringsverktøyutgjøre en kortslutningav sikkerheten rundt EPJ