sikkerhetskulturarbeidet i helsesektoren
TRANSCRIPT
12.06.2013 2
Overordnede mål
• Helsepersonell skal ha enkel og sikker tilgang til pasient- og brukeropplysninger
• Innbyggerne skal ha tilgang på enkle og sikre digitale tjenester
• Data skal være tilgjengelig for kvalitetsforbedring, helseovervåkning og forskning
2
Det handler om tillit…
Co
lou
rbo
x.co
m
…til at helse- og omsorgstjenesten og forvaltningen behandler opplysninger på en sikker måte.
Nasjonale innsatsområder
Meldingsutbredelse Sikkert
helsenett
Standardisering Informasjonssikkerhet
(Strategi, NORMEN, PKI/eID,
HelseCSIRT)
Statlige felleskomponenter (ID-porten, Folkeregisteret osv)
Administrative registre
Kvalitetsindikatorer
Kjernejournal
helsenorge.no
E-resept
eSaks
«En journal»
Noen klipp fra andre strategier og meldinger
• tilgangsstyring og logging i sektoren skal styrkes, og sektoren skal påvirkes til å bidra mer positivt til dette
• individets mulighet til å ha oversikt og kontroll med opplysninger om seg selv skal styrkes, og det skal legges bedre til rette for at individet kan benytte sine rettigheter
12.06.2013 9
• Styrket samordning og felles situasjonsforståelse
• Robust og sikker IKT-infrastruktur i hele samfunnet
• Sterk evne til å håndtere uønskede IKT-hendelser
• Høy kompetanse og sikkerhetsbevissthet
• Personvern bør inkluderes i hele prosessen ved utvikling av nye systemer (såkalt «privacy by design»)
• Tilgang til systemer bør logges. Det skal settes ned et eget utvalg som skal utrede behovet for klientbasert logging og retten til innsyn i disse loggene i de større offentlige og private registrene
• Elektronisk innsyn for den registrerte i egne opplysninger bør vurderes
12.06.2013 11
Utfordringer for virksomhetene
• De teknologiske mulighetene utnyttes ikke
• Mange selvstendige aktører
• Mange systemer, lite integrasjon
Status og veien videre
Utfordringer for å nå ledere?
TILSYNSRAPPORT TILSYNSRAPPORT
Rapport fra tilsyn med Slagbehandling ved
Co
lou
rbo
x.co
m
Så, hva fungerer egentlig? • Forankring • Ambassadører og ildsjeler er viktig • Budskap tilpasset målgruppen
– Ledere – Helsepersonell – IKT-ansatte – …
• Ta utgangspunkt i verdier som helsepersonellet er opptatt av – Taushetsplikt – Pasientens stemme
• Eksempler og humor • Tidsbruk
Eksempel: Normen
• Bransjenorm for helse-, omsorgs- og sosialsektoren
• Juridisk bindende ved avtale
• Arena for sikkerhetsarbeid i sektoren
• Fordeler – Brukermedvirkning/Forankring
– Fleksibilitet
– Utnytte tolkningsrommet
– Favne «hele» lovverket/detaljere
– Benytte sektorens språk
www.normen.no
Bransjenormer Tittel År
Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren
2006
Bransjenorm for behandling av personopplysninger i den norske inkassobransjen
2008
European code of conduct of FEDMA for the use of personaldata in direct marketing
2010
Bransjenorm for e-billettering
2011
Norm for idrettens databehandling
2011
12.06.2013 | 19
http://www.datatilsynet.no/verktoy-skjema/Publikasjoner/Bransjenormer/
Fra evaluering av Normen og Normarbeidet v/ PwC høsten 2012
«I sektoren tegnes det et entydig bilde av at en ikke ville hatt samme kvalitative informasjonssikkerhet uten Normen»
12.06.2013
20
[email protected] / www.normen.no
http://helsedirektoratet.no/Om/nyheter/Documents/evaluering-normen-sluttrapport.pdf
Datatilsynets oppfatning
12.06.2013
21
[email protected] / www.normen.no
Fra foredrag Normkonferansen 2012 Helge Veum, avd. dir, Datatilsynet
12.06.2013 | 22
Styringsgruppen
• Helsedirektoratet (leder + sekretariat)
• Den norske Legeforening
• Sykepleierforbundet
• Norges Apotekforening
• Den norske Tannlegeforening
• Den offentlige tannhelsetjeneste
• NAV
• Norsk Helsenett
• Private laboratorier
• Farmasøytene
• De regionale Helseforetak
• KS
• Fysioterapiforbundet
• Psykologforeningen
• DIFI (observatør)
• Datatilsynet (observatør)
• HOD (observatør)
Observatører har tale- og forslagsrett
12.06.2013 | 23
Normen:
Støttedokumenter:
Kursmateriell:
Veiledere / malverk Faktaark
Normen med støttedokumenter
www.normen.no
Juridisk bindende
ved avtale:
Veiledende:
Normen (”Code of conduct”) og en del faktaark / veiledere er oversatt til engelsk
Veiledere
• Veileder for apotek
• Veileder for fjernaksess
• Veileder for forskning
• Veileder for kommuner på helsenettet
• Veileder for kommuners helse- og sosialtjenester
• Veileder for legekontor
• Veileder for tannhelsetjenesten
• Veileder i bruk av sosiale medier i helse-, omsorgs- og sosialsektoren
12.06.2013 | 24
Veileder i bruk av sosiale medier i helse-, omsorgs- og sosialsektoren
Helsepersonell og sosiale medier
12.06.2013 | 26
http://www.sykepleien.no/Content/1011108/Sykepleiere.pdf
Bruk av veilederen • Ment å være praktisk verktøy når
virksomheten skal utforme retningslinjer for bruk av sosiale medier
• Tre deler: – Overordnede problemstillinger ledelsen må ta
stilling til
– Tekstforslag ”Råd for bruk av sosiale medier for deg som jobber i <virksomheten>”
– Tekstforslag ”Gode råd for bruk av sosiale medier for pasienter / brukere og deres pårørende”
12.06.2013 | 27
Tilpasses
den enkelte
virksomhet!
Under arbeid: Veileder video-, lyd- og bildeopptak av pasient / bruker
• Ulike formål, f.eks
– Dokumentasjon av helsehjelp
– Veiledning , undervisning
• Mal samtykkeskjema
• Informasjonssikkerhet
12.06.2013
28
[email protected] / www.normen.no
Co
lou
rbo
x.co
m
Faktaark
12.06.2013
| ISACA julemøte | Erfaringer med Normen
| 29
• Omhandler ulike temaer og angir forslag til løsninger
• Angir eksakte krav og veiledninger
12.06.2013 | 30
Utadrettet virksomhet
• Alle dokumenter på normen.no
• Nyhetsbrev
• Forslagskasse og svartjeneste
• Årlig normkonferanse
• Foredragsvirksomhet
12.06.2013 | 31
Kursvirksomhet
• Ca 200 av landets 430 kommuner har deltatt på instruktørkurs i Normen.
• 21 instruktører har kurset ca 3000 tannleger i Tannlegeforeningens lokalforeninger
• E-læring planlegges i regi av
• Apotekforeningen
• Legeforeningen
• Tannlegeforeningen
Et felles tiltak for kompetanseheving innen informasjonssikkerhet: Komp-iS
• Programmet er utviklet og eies av Helse Sør Øst • Det er laget for helsepersonell, for å øke bevisstheten rundt
informasjonssikkerhet • KFE undersøkelse, før og etter gjennomført program
• Norsk Helsenett skal nasjonalt bre programmet ut til alle
kommunene – mål for 2013 = 200 kommuner
• Programmet består av verdifilm/ humorfilmer og åtte kjernebudskap. Det legges til rette for diskusjoner og refleksjoner på arbeidsplassen.
Humorfilmer
«Skjer dette dette hos oss ? Vil vi ha det sånn? Eller…..?»
• Hvilke styrker og svakheter har du på arbeidsplassen, for å få til god informasjonssikkerhet
Har Komp-iS effekt ?
Kunnskap, forståelse og etterlevelse undersøkelse, ble gjennomført hos pilotkommunene. Før og etter gjennomføring av kompetanseprogrammet.
Kjennskap til regler
Aksept av regler
Evne til å utføre/ teknologi
Vilje til å etterleve
regler
Handling
ADFERD
Bunntekst
38
85 87 80 77
82 86
77 75
0
10
20
30
40
50
60
70
80
90
100
Jeg logger alltid av Mitt gode passord får du aldri Jeg vet hva jeg kan og ikke kan lese Jeg har full kontroll på alledokumenter
Projekt KPI
Samlet Etter Samlet Før
74 77 76 76
62
73 73 69
0
10
20
30
40
50
60
70
80
90
100
Jeg har aldri pasientinformasjon påminnepinner og
Hva og med hvem jeg kan deleinforma
Min e-post inneholder ikkepasientinformasjon
Jeg jobber i helsevesenet og vethvordan --- internett
Projekt KPI
Samlet Etter Samlet Før
På tross av høy viten og kunnskap, viste us at mange ansatte ikke følger seg forpliktet til å etterleve de regler som finnes……. Fordi: Det ikke er noen tydelig oppfattelse av kommunenes oppfølging og kontroll med sikkerhet/informasjonssikkerhet. Avvik har liten eller ingen konsekvenser……