1 / 32

Normen i SiO - forpliktelser og lederforankring

Normen i SiO - forpliktelser og lederforankring. v. Asle Brustad p rosjektleder - eMeldinger Juli – august 2012. Bakgrunn for møtet. Prosjekt eMeldinger er et delprosjekt i SiO Tidsavgrenset fra 01.02. – 31.12.2012 Fra prosjektplanen: Mål:

arich
Download Presentation

Normen i SiO - forpliktelser og lederforankring

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Normen i SiO- forpliktelser og lederforankring v. Asle Brustad prosjektleder - eMeldinger Juli – august 2012

  2. Bakgrunn for møtet • Prosjekt eMeldinger er et delprosjekt i SiO • Tidsavgrenset fra 01.02. – 31.12.2012 Fra prosjektplanen: Mål: • «Implementere og ta i bruk de elektroniske meldingene som kommunenes representanter velger» • …. • «Sørge for at dette skjer innenfor de rammer som settes i Normen» Prosjektet skal: • «Utrede forholdet til Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren (Normen) og sette opp tiltaksplan der det er nødvendig.»

  3. Hva vi bidrar med fra prosjekt eMeldinger • I en større prosjektsamling som oppstart av prosjekt eMeldinger den 27. februar 2012 ble det sagt at «Alle ønsker at SiO organiserer et felles opplæringsopplegg for alle SiO-kommuner omkring Normen.» • Vi har etablert egen arbeidsgruppe • 4 medlemmer med erfaring fra - og interesse for området(Hitra, Meldal, Surnadal og SiO) • Vi utarbeider kursopplegg for sentrale personer i kommunene • Målgruppe 1 er primært rådmann, kommunalsjef helse- og omsorg (eller tilsvarende) og kommuneoverlege. • Målgruppe 2 er primært enhetsledere helse. (samlinger 17. september og 1. oktober) • Målgruppe 3 er primært IKT-ansvarlige og systemansvarlige for pleie- og omsorgssystemer. • Undertegnede har fått ansvar for målgruppe 1.

  4. Agenda • Bakteppe – det store bildet • Kjerneprosessen - HPH • Bruk av eMeldinger skaper nye muligheter – og noen utfordringer • Hva er Normen? Oppbygging og innhold • Hva kreves av oss? • Normens veiledere og faktaark • Hvordan gå frem for å ivareta kravene i Normen? • Samhandling mellom HPH-prosessen kommune - legekontor • Anbefalinger til videre arbeid

  5. Bakteppe

  6. DET STORE BILDET Formål Effektive og sikre helsetjenester til kommunenes innbyggere Middel HPH-prosessen Behov Tilgang til relevant informasjon til rett tid på rett sted og til rett person Støtteverktøy eMeldinger Suksesskriterier Fungerende teknologi Opplæring i bruk av systemer Holdninger til sikkerhet (Normen) Vilje og lojalitet ift. bruk i hverdagen (gjennom organisasjonsutvikling)

  7. Kjerneprosessen HPH HPH - Helhetlig pasientforløp i hjemmet - er kjerneprosessen som bruk av eMeldinger skal understøtte

  8. Samhandlingskjeden: Helhetlig pasientforløp i hjemmet (HPH) Ny episode Daglig observasjon og tjenesteyting Daglig observasjon og tjenesteyting Pasienten blir dårligere Hjem: Bruker/pårørende Primær-kontakt/-sykepleier Besøk av sykepleier innen 3 dager 4 ukers samtale med primærkontakt Forsterket hjemmetjeneste Hjemmetjeneste Nettverks-møte Kontakt-person Innleggelse kortidsopphold Innleggelse kortidsopphold Sykehjem Trening og opplæring Trening og opplæring Fysio-/ergoterapi LV-sentral Lege-vakt Fastlege Besøk hos fastlege etter 2 uker Oppfølging fastlege Fastlege Legevakt Bestillerkontor Møte sykehus kommune Vedtak Poliklinikk Akutt poliklinikk Observasjon Mottak i sykehus Pasienten vurderes utreiseklar Sykehus Utredning/behandling, avdeling Start

  9. Samhandlingskjeden: Helhetlig pasientforløp i hjemmet (HPH) – Bruk av ELIN-meldinger ELIN - meldinger Ny episode Daglig observasjon og tjenesteyting Daglig observasjon og tjenesteyting Pasienten blir dårligere Melding om innlagt pasient 1 Hjem: Bruker/pårørende Helseopplysninger ved søknad 2 Primær-kontakt/-sykepleier Besøk av sykepleier innen 3 dager 4 ukers samtale med primærkontakt Melding utskrivningsklar pas. 3 Nettverks-møte Kontakt-person Hjemmetjeneste Melding om utskrevet pasient 4 Innleggelse kortidsopphold 6 Utskrivningsrapport 5 Innleggelse kortidsopphold Sykehjem 13 7 11 6 Forespørsel om time 6 8 10 8 Trening og opplæring Fysio-/ergoterapi 11 9 Orientering om tjenestetilbud 7 11 11 Fastlege Besøk hos fastlege etter 2 uker Oppfølging fastlege Helseopplysninger til lege 8 6 Fastlege LV-sentral Lege-vakt 5 4 Overføring legemiddeloppl 9 Legevakt 3 Medisinske opplysninger 10 11 2 12 Bestillerkontor Spørsmål og svar - forespørsel 11 1 13 Poliklinikk Innleggelsesrapport 12 Mottak i sykehus Pasienten vurderes utreiseklar Henvisning 13 Sykehus Utredning/behandling, avdeling Start

  10. Eksempel fra pågående prosjekt Meldinger slik de er beskrevet av Tieto i Gerica-prosjekter som pågår i 8 av SiO-kommunene

  11. 3.3 - PLO-meldinger, fastlege

  12. 3.3 – PLO-meldinger, sykehus (2013 )

  13. Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren - Normen Normen… • (42 sider) er utarbeidet av representanter for sektoren, blant annet Legeforeningen, Sykepleierforbundet, Tannlegeforeningen, KS, Apotekerforeningen og regionale helseforetak. • Alle aktører i sektoren som er tilknyttet Norsk Helsenett er avtalerettslig forpliktettil å følge Normen.

  14. Lovgrunnlag, Normen • «Normen er først og fremst basert på personvern og helselovgivningens krav til å etablere tilfredsstillende informasjonssikkerhet for systemer inneholdende helse og personopplysninger, jf. personopplysningsloven § 13, helseregisterloven § 16 og personopplysningsforskriftenkapittel 2.» • Lovgrunnlaget er altså ikke noe nytt, men forpliktelser som har ligget der gjennom tiår.

  15. Målgruppe – hvem Normen gjelder for • Normen gjelder for enhver virksomhet i sektoren som ved avtale har forpliktet seg til å følge Normen, herunder • legevirksomheter, • helseforetak, • Arbeids og velferdsforvaltningen (NAV), • tannklinikker, • sykehus, • apotek, apotekkjeder, • kommuner , • fylkeskommuner, • Frittstående laboratorier, røntgeninstitutter, psykologpraksis, fysioterapiinstitutter, bandasjistvirksomheter, • rehabiliteringsinstitusjoner, o.a., • samt de nevnte virksomheters leverandører og andre i den grad de behandler helse og personopplysninger og de ved avtale har forpliktet seg til å følge Normen.

  16. «Normen – hvordan skal den brukes,sentrale elementer» Gjennomgang av presentasjon utarbeidet av Jan Gunnar Broch, seniorrådgiver i avd. e-helse

  17. Er dere der – eller gjenstår det noe som må tas tak i?

  18. Faktaark 6, sikkerhetsrevisjon Dette er hva en kommune kan måtte stå til rette for ved et tilsyn: • Faktaark 6, sikkerhetsrevisjon8- punkts sjekkliste, minimumskravtil en sikkerhetsrevisjon • Dette var kortformen. Fullversjonen ser vi her: • Faktaark: 6b • 157 punkter!

  19. Veiledere Koblet til kommunal virksomhet på hjemmesidene til Normen: • Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet • Veileder for fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet • Personvern og informasjonssikkerhet for legekontorer(NB: egen mal for internkontroll finnes også) • Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner

  20. Forankring i ledelsen i kommunen • Strenge krav til at arbeidet med Normen har en forankring i ledelsen • Noen klipp fra «virksomhetsleders ansvar»(faktaark 1 og 2): «Virksomhetens leder skal påse at informasjons-behandlingen og informasjonssikkerheten organiseres slik at det er tydelig hvem som har ansvar for de ulike deler av informasjonsbehandlingen.» «Virksomhetens ledelse er ansvarlig for å etablere og innføre et styringssystem for informasjonssikkerhet.»

  21. Fra Normen 3.1 Ansvar Det er virksomheten ved ledelsen som har ansvar for å etablere og opprettholde tilfredsstillende informasjonssikkerhet. Dette er blant forpliktelsene til databehandlingsansvarlig . Det skal angis i melding/konsesjonssøknad til Datatilsynet hvilken stilling som har det daglige ansvaret for oppfyllelse av virksomhetens plikter, herunder for informasjonssikkerheten. Det daglige ansvaret tilligger som oftest daglig leder i virksomheten. Den som har det daglige ansvaret for informasjonssikkerheten, kan overføre oppgaver til egne ansatte. Oppgaver kan også overføres til eksterne, f.eks. kan man delegere oppgaver til leverandører . Dette må gjøres i form av skriftlige avtaler. Uansett om oppgaver er delegert eller ikke, ligger det juridiske ansvaret hos databehandlingsansvarlig. Arbeidet med informasjonssikkerhet må omfatte styring, gjennomføring og kontroll. Kapitlene 4 til 6 i Del II er bygget opp etter denne strukturen med en styrende del, en gjennomførende del og en kontrollerende del.

  22. Dedikerte ressurser og legitimitet • Gjennomgangen viser at dette er en omfattende oppgave • Ansvar for den daglige driften bør delegeres til en bestemt person • Denne bør rapportere direkte til – og opptre på vegne av Rådmannen • Den/de som har/får/tar ansvar for dette trenger støtte og forankring hos Rådmannen for å ha relevant legitimitet i organisasjonen for sitt arbeid • Det kreves at det avsettes ressurser om man skal klare å etterleve disse kravene

  23. Legekontor • Det varierer om legekontorene er kommunale eller privat. I SiO-regionen er det både kommunale og private legekontorer. • Egen veileder for legekontor: veileder • 34 (av i alt 54) faktaark relateres til legekontor, se faktaark

  24. Målgruppe 1.3 Målgruppe Målgruppen for veilederen er alle legekontorer. Denne veilederen er primært rettet mot personell med ansvar, oppgaver og roller i forbindelse med personvern og informasjonssikkerhet ved legekontoret. Eksempler på slikt personell er: Innen det private - Lederen for den enkelte legekontor (den ansvarlige eieren av virksomheten) Innen det offentlige - Ordfører, rådmann (som overordnet ansvarlig for den kommunale helsetjenesten) - Ledere innen den kommunale helsetjenesten (Kommuneoverlege er ikke nevnt eksplisitt)

  25. Samhandling mellom HPH-prosessen kommune - legekontor • Har forsøkt å kartlegge hvilke systemer legekontorene bruker • Ser ut til at 10 kommuner bruker Winmed • Surnadal bruker System X • Halsa har begge deler • Orkdal har jeg ikke oversikt over pt. • SiO kan ta en avsjekk md leverandørene mht. støtte for PLO-meldinger om vi får en oversikt fra legekontorene på systemer og versjoner • Ha vært i kontakt med Comp Group Medical Norway AS og fått muntlig – men ikke skriftlig – bekreftelse på dette • Har pt. ikke vært i kontakt med Hove Medical systems ang. System X

  26. Winmed v. 3(Compu Group Medical Norge AS) • Ved sjekk på KITH sine sider 20.08 er status slik for Winmed 3:

  27. System X(Hove Medical Systems)

  28. Videre aksjon mot disse? • Ønsker kommunene at det skal tas en aksjon overfor disse leverandørene fra SiO for å sikre at de legekontorene vi skal kommunisere med har systemer som tilfredsstiller kravene til sertifisering? • Hvordan bør vi i så fall involvere legekontorene i arbeidet for ikke å «tråkke i andres bed»?

  29. Anbefalt fokus videre i kommunen • Sørg for at en navngitt person får rollen som «Personvernansvarlig» • Sørg for at denne «frikjøpes» i en gitt stillingsandel og knyttes direkte opp mot Rådmannen. (Bør ha innpass i ledergruppen.) • Sørg for at Rådmannen gir funksjonen legitimitet i organisasjonen, informer om at pv-ansvarlig har delegert myndighet som (data)behandlingsansvarlig på vegne av Rådmannen • Start så prosessen med å kartlegge hvor i kommunen det behandles personopplysninger og hva som er formålet med behandlingen. Følg deretter retningslinjene for styringssystem i Normen. (Prinsippene er de samme for andre personopplysninger som for helseopplysninger.) Mine personlige råd – ut fra egne erfaringer fra 10 år som Info.sikkerhetsansvarlig og personvernombud i Sør-Trøndelag fylkeskommune: • Ikke isoler dette til å bare gjelde helse, men ta inn alle områder som behandler personopplysninger (administrasjon/personal, skoler osv.) og gjør det til en integrert del av kommunens kvalitetssystem • Meld pv-ansvarlig som Personvernombud til Datatilsynet. Det gir bl.a. fordeler som innpass i DT og tilbud om kursing 1-2 ganger i året, og det gir mulighet for å skaffe seg nettverk på området. Informasjon om ordningen finnes her: http://www.datatilsynet.no/Personvernombud/ • Unngå å plassere funksjonen i IKT-avdelingen - for å unngå et ensidig teknologifokus. Det hjelper lite med tekniske sikkerhetsløsninger i dyre dommer hvis brukerne har brukernavn og passord på gule lapper under tastaturet… Det meste av sikkerhet sitter i hodet på folk!

  30. Mulig organisering?(eksempel fra STFK)

  31. Anbefalinger regionalt • Etabler et interkommunalt fagforum for alle SiO-kommunene rundt Normen • Finn noen som kan/vil ta et koordineringsansvarfor forumet • Benytt mulighetene som ligger i erfaringsdeling- og utveksling via digitale løsninger som f.eks. www.siohelse.no , bruk samhandlingsverktøy som f.eks. Skype (gir mulighet for gruppemøter med lyd og evt. video) osv. • Vurder også gjerne å gå sammen om et felles kvalitetssystem. Mange problemstillinger her kan løses i felleskap – i stedet for å løse samme utfordring på 12 steder. (Det finnes kommunesamarbeider i SiO-regionen som er på gang og som sikkert kan tilby denne type tjenester til alle kommunene.) • Vurder å oppnevne felles personvernombud for SiO-kommunen. Det kan være mer effektivt, og vil gi bedre kontinuitet og fokus på oppgaven. • Men husk at det juridiske ansvaretfortsatt vil ligge hos virksomhetens daglige leder (les: rådmannen) lokalt i den enkelte kommune

  32. Takk for meg! Og lykke til med det videre arbeidet!

More Related