Helse Sør- Øst- bærekraftig utvikling i tråd med oppdraget

Anne Marie Dalen Øverhaug

Kvalitetsregisterkonferansen

18. Juni 2010

Hvorfor fokus?

•Risiko- og sårbarhetsanalyser•Hendelser•Avvik•Tilsyn•Tilgang på tvers•Økt samhandling •Felles tjenester•Behov åpning mot nye samhandlingsarenaer•Nye forskrifter etter lovendring

Personvern -> Pasientsikkerhet

• Personvernet er viktig– For pasienten– For den ansattes integritet– For pasientens tillit til helsepersonell (personlig ansvar)– For pasientens tillit til helsevesenet (systemets ansvar)

• Personvern og informasjonssikkerhet er fastlagt i ulike lovkrav

• Godt personvern og informasjonssikkerhet sentral del av pasientsikkerheten

Informasjonssikkerhet

• Sikkerhetstjenester– Identitetsfederering– Sikker tilgang fra

eksterne nett– Sikkerhetsovervåking– Public Key Infrastructur

• Logganalyseverktøy / mønstergjenkjenning• Datalekkasjebeskyttelse• Identitets – og tilgangsstyring

– Rollestyrt– Beslutningsstyrt– Håndtering/Forvaltning

INFORMASJONS-SIKKERHET

Teknisksikkerhet

Rutiner og sikkerhets-organisasjon

Bevisste brukere

• Kompetanseprogram• Opplæring• Kunnskap • Holdninger• Adferd

• Styringssystem• Strategiske føringer• Risikostyring• Behandling pasient/personoppl.• Kontinuitets- og

beredskapsplanverk• Hendelseshåndtering

Informasjonssikkerhet -Lovkrav

Kvalitetsregistre må tilfredsstille lovkrav til informasjonssikkerhet:

• Personopplysningslov §13• Personopplysningsforskrift kapitel II• Helseregisterloven §16• Norm for informasjonssikkerhet i helsesektoren• Særlover og forskrifter som stiller krav til

informasjonssikkerhet

Informasjonssikkerhet –Hva betyr det?• Planlagte og systematiske og dokumenterte tiltak for å ivareta

tilfredsstillende informasjonssikkerhet• Etterlevelse tilligger den Databehandlingsansvarlige• Gjelder også ivaretakelse av lovens krav for de deler av behandlingen som

foregår hos databehandlere• Behandlingsgrunnlag og behandlingsansvarlig virksomhet• Formål med behandlingen• Konsesjon/Forskrift• Samtykke• Databehandlere har i tillegg en selvstendig plikt til å etterleve• Sikkerhetsbestemmelsene som følger av helseregisterlovens §16 må følges• Behandling av person- og helseopplysninger utover det som er avtalt med

den databehandlingsansvarlige er å anse som en ulovlig behandling• Nasjonale registre må avklares hvem som eier og drifter, ansvar må utredes

og klargjøres• Selvstendige krav til informasjonssikkerhet i forskrift• Beskrivelse av informasjonssikkerhetstiltak

Informasjonssikkerhet –Forhold som må være i orden

• Formål• Databehandleravtale – klare rolle og ansvarsavklaringer

Databehandlingsansvarlig/Databehandler• Tilgjengelighet• Konfidensialitet• Integritet• Taushetsplikt• Samtykke• Sporbarhet og logging• Risikovurderinger• Kontinuitet

Det er sannsynlig at det usannsynlige vil skje….Vi kan sikre oss ved å:• bygge robuste infrastruktur og systemer• sikre løsninger og redundans• med hjelp av holdningsskapende arbeid

Alle må bidra:• Ledere• Medarbeidere• IKT personell• Informasjonssikkerhetspersonell• Prosjektledere• Systemeiere

SAMMEN blir vi gode!