sikkerhetskulturarbeidet i helsesektoren

41
Sikkerhetskulturarbeidet i helsesektoren Seniorrådgiver Jan Gunnar Broch, Helsedirektoratet

Upload: others

Post on 15-Nov-2021

3 views

Category:

Documents


0 download

TRANSCRIPT

Sikkerhetskulturarbeidet i helsesektoren

Seniorrådgiver Jan Gunnar Broch, Helsedirektoratet

12.06.2013 2

Overordnede mål

• Helsepersonell skal ha enkel og sikker tilgang til pasient- og brukeropplysninger

• Innbyggerne skal ha tilgang på enkle og sikre digitale tjenester

• Data skal være tilgjengelig for kvalitetsforbedring, helseovervåkning og forskning

2

http://www.alivecor.com/

https://skinvision.com/

Teknologi…

Trusler…

… og sikkerhetskulturen?

Det handler om tillit…

Co

lou

rbo

x.co

m

…til at helse- og omsorgstjenesten og forvaltningen behandler opplysninger på en sikker måte.

Nasjonale innsatsområder

Meldingsutbredelse Sikkert

helsenett

Standardisering Informasjonssikkerhet

(Strategi, NORMEN, PKI/eID,

HelseCSIRT)

Statlige felleskomponenter (ID-porten, Folkeregisteret osv)

Administrative registre

Kvalitetsindikatorer

Kjernejournal

helsenorge.no

E-resept

eSaks

«En journal»

Noen klipp fra andre strategier og meldinger

• tilgangsstyring og logging i sektoren skal styrkes, og sektoren skal påvirkes til å bidra mer positivt til dette

• individets mulighet til å ha oversikt og kontroll med opplysninger om seg selv skal styrkes, og det skal legges bedre til rette for at individet kan benytte sine rettigheter

12.06.2013 9

• Styrket samordning og felles situasjonsforståelse

• Robust og sikker IKT-infrastruktur i hele samfunnet

• Sterk evne til å håndtere uønskede IKT-hendelser

• Høy kompetanse og sikkerhetsbevissthet

• Personvern bør inkluderes i hele prosessen ved utvikling av nye systemer (såkalt «privacy by design»)

• Tilgang til systemer bør logges. Det skal settes ned et eget utvalg som skal utrede behovet for klientbasert logging og retten til innsyn i disse loggene i de større offentlige og private registrene

• Elektronisk innsyn for den registrerte i egne opplysninger bør vurderes

HVORDAN BYGGE SIKKERHETSKULTUR?

12.06.2013 11

Utfordringer for virksomhetene

• De teknologiske mulighetene utnyttes ikke

• Mange selvstendige aktører

• Mange systemer, lite integrasjon

Status og veien videre

Utfordringer for å nå ledere?

TILSYNSRAPPORT TILSYNSRAPPORT

Rapport fra tilsyn med Slagbehandling ved

Co

lou

rbo

x.co

m

Kjartan Olafsson, Legeforeningen, Normkonferansen 2012

Utfordringer for å nå helsepersonell?

Kjartan Olafsson, Legeforeningen, Normkonferansen 2012

Kjartan Olafsson, Legeforeningen, Normkonferansen 2012

Så, hva fungerer egentlig? • Forankring • Ambassadører og ildsjeler er viktig • Budskap tilpasset målgruppen

– Ledere – Helsepersonell – IKT-ansatte – …

• Ta utgangspunkt i verdier som helsepersonellet er opptatt av – Taushetsplikt – Pasientens stemme

• Eksempler og humor • Tidsbruk

EKSEMPEL # 1 PÅ SIKKERHETSKULTUR- BYGGER I SEKTOREN:

NORMEN

Eksempel: Normen

• Bransjenorm for helse-, omsorgs- og sosialsektoren

• Juridisk bindende ved avtale

• Arena for sikkerhetsarbeid i sektoren

• Fordeler – Brukermedvirkning/Forankring

– Fleksibilitet

– Utnytte tolkningsrommet

– Favne «hele» lovverket/detaljere

– Benytte sektorens språk

www.normen.no

Bransjenormer Tittel År

Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren

2006

Bransjenorm for behandling av personopplysninger i den norske inkassobransjen

2008

European code of conduct of FEDMA for the use of personaldata in direct marketing

2010

Bransjenorm for e-billettering

2011

Norm for idrettens databehandling

2011

12.06.2013 | 19

http://www.datatilsynet.no/verktoy-skjema/Publikasjoner/Bransjenormer/

Fra evaluering av Normen og Normarbeidet v/ PwC høsten 2012

«I sektoren tegnes det et entydig bilde av at en ikke ville hatt samme kvalitative informasjonssikkerhet uten Normen»

12.06.2013

20

[email protected] / www.normen.no

http://helsedirektoratet.no/Om/nyheter/Documents/evaluering-normen-sluttrapport.pdf

Datatilsynets oppfatning

12.06.2013

21

[email protected] / www.normen.no

Fra foredrag Normkonferansen 2012 Helge Veum, avd. dir, Datatilsynet

12.06.2013 | 22

Styringsgruppen

• Helsedirektoratet (leder + sekretariat)

• Den norske Legeforening

• Sykepleierforbundet

• Norges Apotekforening

• Den norske Tannlegeforening

• Den offentlige tannhelsetjeneste

• NAV

• Norsk Helsenett

• Private laboratorier

• Farmasøytene

• De regionale Helseforetak

• KS

• Fysioterapiforbundet

• Psykologforeningen

• DIFI (observatør)

• Datatilsynet (observatør)

• HOD (observatør)

Observatører har tale- og forslagsrett

12.06.2013 | 23

Normen:

Støttedokumenter:

Kursmateriell:

Veiledere / malverk Faktaark

Normen med støttedokumenter

www.normen.no

Juridisk bindende

ved avtale:

Veiledende:

Normen (”Code of conduct”) og en del faktaark / veiledere er oversatt til engelsk

Veiledere

• Veileder for apotek

• Veileder for fjernaksess

• Veileder for forskning

• Veileder for kommuner på helsenettet

• Veileder for kommuners helse- og sosialtjenester

• Veileder for legekontor

• Veileder for tannhelsetjenesten

• Veileder i bruk av sosiale medier i helse-, omsorgs- og sosialsektoren

12.06.2013 | 24

Veileder i bruk av sosiale medier i helse-, omsorgs- og sosialsektoren

Helsepersonell og sosiale medier

12.06.2013 | 26

http://www.sykepleien.no/Content/1011108/Sykepleiere.pdf

Bruk av veilederen • Ment å være praktisk verktøy når

virksomheten skal utforme retningslinjer for bruk av sosiale medier

• Tre deler: – Overordnede problemstillinger ledelsen må ta

stilling til

– Tekstforslag ”Råd for bruk av sosiale medier for deg som jobber i <virksomheten>”

– Tekstforslag ”Gode råd for bruk av sosiale medier for pasienter / brukere og deres pårørende”

12.06.2013 | 27

Tilpasses

den enkelte

virksomhet!

Under arbeid: Veileder video-, lyd- og bildeopptak av pasient / bruker

• Ulike formål, f.eks

– Dokumentasjon av helsehjelp

– Veiledning , undervisning

• Mal samtykkeskjema

• Informasjonssikkerhet

12.06.2013

28

[email protected] / www.normen.no

Co

lou

rbo

x.co

m

Faktaark

12.06.2013

| ISACA julemøte | Erfaringer med Normen

| 29

• Omhandler ulike temaer og angir forslag til løsninger

• Angir eksakte krav og veiledninger

12.06.2013 | 30

Utadrettet virksomhet

• Alle dokumenter på normen.no

• Nyhetsbrev

• Forslagskasse og svartjeneste

• Årlig normkonferanse

• Foredragsvirksomhet

[email protected]

12.06.2013 | 31

Kursvirksomhet

• Ca 200 av landets 430 kommuner har deltatt på instruktørkurs i Normen.

• 21 instruktører har kurset ca 3000 tannleger i Tannlegeforeningens lokalforeninger

• E-læring planlegges i regi av

• Apotekforeningen

• Legeforeningen

• Tannlegeforeningen

EKSEMPEL # 2 PÅ SIKKERHETSKULTUR- BYGGER I SEKTOREN:

KOMP-IS

Et felles tiltak for kompetanseheving innen informasjonssikkerhet: Komp-iS

• Programmet er utviklet og eies av Helse Sør Øst • Det er laget for helsepersonell, for å øke bevisstheten rundt

informasjonssikkerhet • KFE undersøkelse, før og etter gjennomført program

• Norsk Helsenett skal nasjonalt bre programmet ut til alle

kommunene – mål for 2013 = 200 kommuner

• Programmet består av verdifilm/ humorfilmer og åtte kjernebudskap. Det legges til rette for diskusjoner og refleksjoner på arbeidsplassen.

VERDIFILMEN

Kjernebudskap

Humorfilmer

«Skjer dette dette hos oss ? Vil vi ha det sånn? Eller…..?»

• Hvilke styrker og svakheter har du på arbeidsplassen, for å få til god informasjonssikkerhet

Har Komp-iS effekt ?

Kunnskap, forståelse og etterlevelse undersøkelse, ble gjennomført hos pilotkommunene. Før og etter gjennomføring av kompetanseprogrammet.

Kjennskap til regler

Aksept av regler

Evne til å utføre/ teknologi

Vilje til å etterleve

regler

Handling

ADFERD

Bunntekst

38

85 87 80 77

82 86

77 75

0

10

20

30

40

50

60

70

80

90

100

Jeg logger alltid av Mitt gode passord får du aldri Jeg vet hva jeg kan og ikke kan lese Jeg har full kontroll på alledokumenter

Projekt KPI

Samlet Etter Samlet Før

74 77 76 76

62

73 73 69

0

10

20

30

40

50

60

70

80

90

100

Jeg har aldri pasientinformasjon påminnepinner og

Hva og med hvem jeg kan deleinforma

Min e-post inneholder ikkepasientinformasjon

Jeg jobber i helsevesenet og vethvordan --- internett

Projekt KPI

Samlet Etter Samlet Før

På tross av høy viten og kunnskap, viste us at mange ansatte ikke følger seg forpliktet til å etterleve de regler som finnes……. Fordi: Det ikke er noen tydelig oppfattelse av kommunenes oppfølging og kontroll med sikkerhet/informasjonssikkerhet. Avvik har liten eller ingen konsekvenser……

Informasjon om programmet: www.nhn.no

SPØRSMÅL? C

olo

urb

ox.

com