Helse Sør- Øst - bærekraftig utvikling i tråd med oppdraget
description
Transcript of Helse Sør- Øst - bærekraftig utvikling i tråd med oppdraget
Helse Sør- Øst- bærekraftig utvikling i tråd med oppdraget
Anne Marie Dalen Øverhaug
Kvalitetsregisterkonferansen
18. Juni 2010
Hvorfor fokus?
•Risiko- og sårbarhetsanalyser•Hendelser•Avvik•Tilsyn•Tilgang på tvers•Økt samhandling •Felles tjenester•Behov åpning mot nye samhandlingsarenaer•Nye forskrifter etter lovendring
Personvern -> Pasientsikkerhet
• Personvernet er viktig– For pasienten– For den ansattes integritet– For pasientens tillit til helsepersonell (personlig ansvar)– For pasientens tillit til helsevesenet (systemets ansvar)
• Personvern og informasjonssikkerhet er fastlagt i ulike lovkrav
• Godt personvern og informasjonssikkerhet sentral del av pasientsikkerheten
Informasjonssikkerhet
• Sikkerhetstjenester– Identitetsfederering– Sikker tilgang fra
eksterne nett– Sikkerhetsovervåking– Public Key Infrastructur
• Logganalyseverktøy / mønstergjenkjenning• Datalekkasjebeskyttelse• Identitets – og tilgangsstyring
– Rollestyrt– Beslutningsstyrt– Håndtering/Forvaltning
INFORMASJONS-SIKKERHET
Teknisksikkerhet
Rutiner og sikkerhets-organisasjon
Bevisste brukere
• Kompetanseprogram• Opplæring• Kunnskap • Holdninger• Adferd
• Styringssystem• Strategiske føringer• Risikostyring• Behandling pasient/personoppl.• Kontinuitets- og
beredskapsplanverk• Hendelseshåndtering
Informasjonssikkerhet -Lovkrav
Kvalitetsregistre må tilfredsstille lovkrav til informasjonssikkerhet:
• Personopplysningslov §13• Personopplysningsforskrift kapitel II• Helseregisterloven §16• Norm for informasjonssikkerhet i helsesektoren• Særlover og forskrifter som stiller krav til
informasjonssikkerhet
Informasjonssikkerhet –Hva betyr det?• Planlagte og systematiske og dokumenterte tiltak for å ivareta
tilfredsstillende informasjonssikkerhet• Etterlevelse tilligger den Databehandlingsansvarlige• Gjelder også ivaretakelse av lovens krav for de deler av behandlingen som
foregår hos databehandlere• Behandlingsgrunnlag og behandlingsansvarlig virksomhet• Formål med behandlingen• Konsesjon/Forskrift• Samtykke• Databehandlere har i tillegg en selvstendig plikt til å etterleve• Sikkerhetsbestemmelsene som følger av helseregisterlovens §16 må følges• Behandling av person- og helseopplysninger utover det som er avtalt med
den databehandlingsansvarlige er å anse som en ulovlig behandling• Nasjonale registre må avklares hvem som eier og drifter, ansvar må utredes
og klargjøres• Selvstendige krav til informasjonssikkerhet i forskrift• Beskrivelse av informasjonssikkerhetstiltak
Informasjonssikkerhet –Forhold som må være i orden
• Formål• Databehandleravtale – klare rolle og ansvarsavklaringer
Databehandlingsansvarlig/Databehandler• Tilgjengelighet• Konfidensialitet• Integritet• Taushetsplikt• Samtykke• Sporbarhet og logging• Risikovurderinger• Kontinuitet
Det er sannsynlig at det usannsynlige vil skje….Vi kan sikre oss ved å:• bygge robuste infrastruktur og systemer• sikre løsninger og redundans• med hjelp av holdningsskapende arbeid
Alle må bidra:• Ledere• Medarbeidere• IKT personell• Informasjonssikkerhetspersonell• Prosjektledere• Systemeiere
SAMMEN blir vi gode!