Helse Sør- Øst - bærekraftig utvikling i tråd med oppdraget

1. Helse Sør- Øst- bærekraftig utvikling i tråd med oppdraget Anne Marie Dalen Øverhaug Kvalitetsregisterkonferansen 18. Juni 2010

2. Hvorfor fokus? • Risiko- og sårbarhetsanalyser • Hendelser • Avvik • Tilsyn • Tilgang på tvers • Økt samhandling • Felles tjenester • Behov åpning mot nye samhandlingsarenaer • Nye forskrifter etter lovendring

3. Personvern -> Pasientsikkerhet • Personvernet er viktig • For pasienten • For den ansattes integritet • For pasientens tillit til helsepersonell (personlig ansvar) • For pasientens tillit til helsevesenet (systemets ansvar) • Personvern og informasjonssikkerhet er fastlagt i ulike lovkrav • Godt personvern og informasjonssikkerhet sentral del av pasientsikkerheten

4. Informasjonssikkerhet • Kompetanseprogram • Opplæring • Kunnskap • Holdninger • Adferd Bevisste brukere INFORMASJONS-SIKKERHET • Styringssystem • Strategiske føringer • Risikostyring • Behandling pasient/personoppl. • Kontinuitets- og beredskapsplanverk • Hendelseshåndtering Rutiner og sikkerhets-organisasjon Teknisksikkerhet • Sikkerhetstjenester • Identitetsfederering • Sikker tilgang fra eksterne nett • Sikkerhetsovervåking • Public Key Infrastructur • Logganalyseverktøy / mønstergjenkjenning • Datalekkasjebeskyttelse • Identitets – og tilgangsstyring • Rollestyrt • Beslutningsstyrt • Håndtering/Forvaltning

5. Informasjonssikkerhet -Lovkrav Kvalitetsregistre må tilfredsstille lovkrav til informasjonssikkerhet: • Personopplysningslov §13 • Personopplysningsforskrift kapitel II • Helseregisterloven §16 • Norm for informasjonssikkerhet i helsesektoren • Særlover og forskrifter som stiller krav til informasjonssikkerhet

6. Informasjonssikkerhet –Hva betyr det? • Planlagte og systematiske og dokumenterte tiltak for å ivareta tilfredsstillende informasjonssikkerhet • Etterlevelse tilligger den Databehandlingsansvarlige • Gjelder også ivaretakelse av lovens krav for de deler av behandlingen som foregår hos databehandlere • Behandlingsgrunnlag og behandlingsansvarlig virksomhet • Formål med behandlingen • Konsesjon/Forskrift • Samtykke • Databehandlere har i tillegg en selvstendig plikt til å etterleve • Sikkerhetsbestemmelsene som følger av helseregisterlovens §16 må følges • Behandling av person- og helseopplysninger utover det som er avtalt med den databehandlingsansvarlige er å anse som en ulovlig behandling • Nasjonale registre må avklares hvem som eier og drifter, ansvar må utredes og klargjøres • Selvstendige krav til informasjonssikkerhet i forskrift • Beskrivelse av informasjonssikkerhetstiltak

7. Informasjonssikkerhet –Forhold som må være i orden • Formål • Databehandleravtale – klare rolle og ansvarsavklaringer Databehandlingsansvarlig/Databehandler • Tilgjengelighet • Konfidensialitet • Integritet • Taushetsplikt • Samtykke • Sporbarhet og logging • Risikovurderinger • Kontinuitet

8. Det er sannsynlig at det usannsynlige vil skje…. Vi kan sikre oss ved å: • bygge robuste infrastruktur og systemer • sikre løsninger og redundans • med hjelp av holdningsskapende arbeid Alle må bidra: • Ledere • Medarbeidere • IKT personell • Informasjonssikkerhetspersonell • Prosjektledere • Systemeiere SAMMEN blir vi gode!