Nationella auditeringskrav för organisationer inom hälso- och sjukvården (berör elektroniska recepts funktionalitet)

Transkript

1 Nationella auditeringskrav för organisationer inom hälso- och sjukvården (berör elektroniska recepts funktionalitet) Krav som gäller verksamheten # Kriterium/kontrollmål Krav/control Kontroll av överensstämmelse/auditering Anmärkning Organisatoriska krav 1 Internt beslut om anslutning Det har inom organisationen fattats ett administrativt beslut om att organisationen ansluter sig till ereceptcentralen och KanTatjänsten. 2 Auditerat system Organisationen använder ett auditerat system som är färdigt för erecept och parametrerat i enlighet med erecept-kraven. 3 Informationssäkerhetspolicy Organisationen har utarbetat och infört en datasäkerhetspolicy 4 Utsett dataskyddsansvarig En dataskyddsansvarig har utnämnts för organisationen och hans/hennes befattningsbeskrivning har definierats. Kontrolleras att organisationen har fattat ett internt administrativt beslut om att ansluta sig till Receptcentralen och KanTa-tjänsten. T.ex. ett åtagande att inleda ett projekt för införing av systemen om vilket hälsonämnden informeras. Kontrolleras att organisationen har i bruk ett system som genomgått auditering. Kontrolleras att organisationen har en gällande and tidsenlig datasäkerhetspolicy. Ur policyn skall framgå bl.a. hur policyn kontrolleras och utvecklas samt hur ansvarförhållanden och organiseringen av datasäkerheten har definierats i policyn så att de möter organisationens målsättningar och uppfyller de nationella kraven. Det kontrolleras att en dataskyddsansvarig har utnämnts för organisationen och hans/hennes befattningsbeskrivning har definierats. Nationella auditeringskrav för organisationer inom hälso- och sjukvården 1

2 # Kriterium/kontrollmål Krav/control Kontroll av överensstämmelse/auditering Anmärkning Rev Anvisningar om behandling av patientuppgifter Organisationen har tagit i bruk skriftliga anvisningar för personalen om behandlingen av patientuppgifterna och har ansvarat för personalens utbildning och kunnande beträffande hantering av patientuppgifter. Det kontrolleras att organisationen har tagit i bruk skriftliga anvisningar för personalen om behandling av patientuppgifterna och sett till att personalen erhållit utbildning och kompetens för att hantera patientuppgifter. 6 Personalutbildning Organisationen har utbildad personalen i införandet av den nya erecept - verksamhetsmodellen till den del som modellen tas i bruk vid verksamhetsenheten. Det kontrolleras att organisationen har utbildad personalen i införandet av den nya verksamhetsmodellen (t.ex. förnyande av recept, samtyckeförfaranden). 7 Övervakning av dataskyddet Organisationen har utarbetat en uppföljnings- och övervakningsplan för dataskyddet eller tagit i bruk den av FPA utarbetad anvisning om dataskydd. Utbildningen kan ha baserats på t.ex. de detaljerade verksamhetsmodeller som finns i den nationella anvisningen: "ereseptin toimintamallit". Det kontrolleras att organisationen har en uppföljnings- och övervakningsplan för dataskyddet i enlighet med FPA:s anvisning (Reseptikeskuksen tietojen käsittelyn seuranta ja valvontaohje terveydenhuollossa ja apteekeissa). Planen behandlar t.ex. på vilket sätt man regelbundet uppföljer användningen av personuppgifter och på vilket sätt man ska agera om missbruk förekommer. Nationella auditeringskrav för organisationer inom hälso- och sjukvården 2

3 # Kriterium/kontrollmål Krav/control Kontroll av överensstämmelse/auditering Anmärkning Rev Verksamhetsenheternas och yrkesutövarnas ansvar vid privata läkarstationer Organisationen har en verksamhetsmodell för inbördes ansvarsfördelning mellan de egna verksamhetsenheter och eventuella externa yrkesutövare som använder organisationens system. När en privat läkarstation ansluter sig till erecept ska man dessutom skriftligt avtala om verksamhetsmodellen, dvs. om hur verksamhetsenheter eller yrkesutövare som eventuellt använder systemen ansluter sig till dem och om det finns avtal om inbördes ansvar mellan läkarstationen och personer som är verksamma där. Nationella auditeringskrav för organisationer inom hälso- och sjukvården 3

4 Tekniska krav 9 Avtal och lagstiftning gällande meddelandeförmedling 10 Teleförbindelser och samarbete med teleoperatörer Krav- och ansvarsdefinitioner gällande dataskydd vid meddelandeförmedling/telekommunikation ska vara en del av avtalet mellan organisationen och operatören för kommunikationstjänster. Om meddelandeförmedlingen/telekommunikationen har utlokaliserats till ett utländskt företag ska den följa lagstiftningen i Finland. Om underleverantören eller utföraren av meddelandeförmedling /telekommunikation är ett dotterbolag till ett amerikanskt bolag ska det säkerställas att det inte skapas någon möjlighet för myndigheterna i Förenta Staterna att få tillgång till kommunikationen och uppgifterna om den. Dataskyddet för de teleförbindelser som används ska vara förverkligat på ett sätt som motsvarar datasäkerhetspolicyn inom organisationen och uppfyller de krav som ställs i organisationens egen datasäkerhetspolicy, i den av FPA utarbetad anvisning om informationssäkerhet i KanTateleförbindelser och i de här kriterierna. Genomförandet av detta ska också säkerställas genom avtal. Ur avtalen skall framgå vilka åtgärder parterna vidtar om det uppstår brister, problem eller risk i informationssäkerheten. Granskas att i avtalen mellan organisationerna har beaktats de krav som berör konfidentiell kommunikation (de krav som avser detta auditeringspappers kryptering av datatrafik och konfidentialitet) och i ulokaliseringsfall den lagstiftning som bör följas. Avseende Förenta Staterna kan kravet i praktiken genomföras endast genom att på ett pålitligt sätt kryptera all information som eventuellt överförs till systemen. Kontrolleras att avtal om teleförbindelserna beaktar de krav som ställs i datasäkerhetspolicyn och de krav som detta auditeringsdokument kräver. 11 Krypteringsnycklarna Systemen i organisationen ska stöda kontroll av Dokumentering i samband med förvaltning Nationella auditeringskrav för organisationer inom hälso- och sjukvården 4

5 används endast av därtill berättigade aktörer 12 Kontroll av behörigheter (beslut om att ge en användare rättigheter i fråga om elektroniska recept samt kontroll av rättigheter och begränsningar) 13 Fördelning och kontroll av behörigheter krypteringsnycklar och certifikat i enlighet med god praxis. Kontrollen ska omfatta a) Skapande (eller överföring till systemet) av nycklar/certifikat b) Lagring av nycklar/certifikat c) Användning av nycklar/certifikat d) Förstöring/arkivering/borttagning av nycklar/certifikat Ett informationssystem inom hälso- och sjukvården ska administrera användarnas behörigheter att använda erecept-relaterade funktioner och uppgifterna i receptcentret, eller dessa krav ska genomföras genom ett externt system, såsom systemet för administrering av behörigheter (IAM). Det ska föras bok/logg över behörigheterna och ändringarna i dem. En verksamhetsenhet för hälso- och sjukvård ska för sin del följa och övervaka att uppgifterna i receptcentret kan läsas och behandlas endast av behöriga personer. Systemen hindrar icke-behörig användning då det är tekniskt möjligt. Organisationens anvisningar och verksamhetssätt handleder till rätt handling och behandling. Beviljandet av behörigheter och processerna för administreringen av behörigheter ska grundas på rollbaserade behörigheter. Avvikelser i rollbaserade behörigheter ska godkännas och dokumenteras på ett korrekt sätt. De personer/roller som har rätt att godkänna behörighetsbegäran ska dokumenteras. av krypteringsnycklar: det kontrolleras att punkterna a d förverkligas. Det kontrolleras att det finns elektronisk eller annan bokföring som kan användas för att bevisa ansökta, godkända, implementerade, avlagda, osv. behörigheter. Processerna/metoderna för administreringen av behörigheterna kontrolleras: Var och hur dokumenteras de ansökta, beviljade och gällande behörigheterna? Var kan riktigheten av behörigheterna kontrolleras? Organisationens anvisningar i fråga om behandling av uppgifter i receptcentret ses över och det kontrolleras att det finns uppföljning och övervakning, t.ex. genom att kontrollera att det finns en övervakningsplan. Definieringen och beskrivningen av administreringen av behörigheterna kontrolleras. Nationella auditeringskrav för organisationer inom hälso- och sjukvården 5

6 Det ska finnas dokumentation över behörigheterna och eventuella begränsningar i dem. Det kontrolleras att det har definierats vilka personer/roller som kan godkänna behörigheter. 14 Definition av ansvar Alla parters ansvar (verksamhetsenheter för hälsooch sjukvård, apotek, självständiga yrkesutövare, mjukvaruföretag och teleoperatörer) ska tydligt definieras i fråga om funktionalitet, informationssäkerhet och samverkan. Med detta kan avses sådana ansvarsdefinitioner som t.ex. existerande avtal på trepartsbasis (hälso- och sjukvårdsorganisation/teleoperatör/systemleverantör). För informationssäkerhetens del definieras ansvaren i uppdrags- eller andra avtal mellan partnerna eller i bilagor till sådana avtal. Obs! Det finns nödvändigtvis inte gemensamma avtal mellan alla de ovannämnda parterna. Då ska ansvaret vara definierat genom servicebeskrivningar som parter erbjuder eller genom motsvarande förfaranden. Tydligt datassäkerhetsansvar skall även beröra underleveratörerna och eventuella övriga avtalspartners. Kontrolleras att det i avtal mellan parterna har tydligt definierats ansvar gällande operabilitet, informationssäkerhet och interoperabilitet. Olika parters servicebeskrivningar i fråga kontrolleras. Organisationen + ADBtekniskt 15 Ändringshanteringsprocess Det ska finnas en formbunden ändringshanteringsprocess som omfattar version- och Nationella auditeringskrav för organisationer inom hälso- och sjukvården 6 Ändringshanteringsprocess som gäller systemet/systemen i fråga kontrolleras.

7 korrigeringsuppdateringar samt även mindre operationella och andra motsvarande ändringar. Ändringshanteringsprocessen ska innehålla åtminstone: testningspraxis praxis för godkännande dokumentering av ändringar Det kontrolleras att ändringarna är planerade, godkända, testade och dokumenterade. Detta specificeras i och med att anvisningar som gäller KanTa-service blir färdiga. Åtgärder för att återställa situationen innan ändringar om ändringen inte skedde på väntat sätt. 16 Observation av datasäkerhetsproblem och kontroll av användningen av informationssystem Organisationen ska ha en fungerande process och praxis för de följande delområden som är av vikt för informationssäkerheten: Observation och eskalering av datassäkerhetsavvikelser (incident management) Uppföljning av användning av informationssystem (procedurer för logganalys) Det kontrolleras att de processer och verksamhetssätt som krävs finns (och har dokumenterats) och att personalen känner till dem och agerar i enlighet med dem. Detta specificeras i och med att anvisningar som gäller KanTa-service blir färdiga. Organisationen ADB-tekniskt 17 Kontroll av problemsituationer Det ska finnas en dokumenterad och testad handlingsplan (återhämtningsplan) för fel- och undantagssituationer. Organisationen (och FPA) ska ha en gemensamt fastställd och dokumenterad verksamhetssätt inför olika undantagssituationer. [Precisering: FPA-kravet gäller inte för apotek] Det kontrolleras att det finns återhämtningsplaner. Det kontrolleras hur man övervakar systemens operabilitet och upptäcker undantags- och felsituationer. Det kontrolleras att organisationerna (och FPA) har tillsammans avtalat om hur undantagssituationer hanteras. Organisationen ADB-tekniskt. Detta specificeras i och med att anvisningar som gäller KanTa-service blir färdiga. Nationella auditeringskrav för organisationer inom hälso- och sjukvården 7

8 18 Logguppgifternas oförvanskade form Processerna för skapande och behandling av loggupgifter ska säkerställa att de nödvändiga loggarna både genereras och bevaras oförändrade och beviskraftiga. T.ex. Vahti 3/2009 Det kontrolleras hur loggning i systemet har genomförts (t.ex. genom en separat loggserver). Det kontrolleras hur logguppgifterna skyddas genom behörigheter eller på annat sätt. Det säkerställs att systemunderhållare och andra aktörer med starka rättigheter inte kan radera eller ändra loggarna. 19 Individuella användar-id Det får inte finnas gemensamma användar-id avseende funktioner som berör elektroniska recept. Kravet gäller även underhållet och andra motsvarande starka behörigheter. Det kontrolleras att det endast finns individuella användar-id i bruk. 20 Säkring av nätförbindelsen Systemen vid en anslutande organisation ska vara skyddade med brandvägg. Det kan handla om antingen en SPI-brandvägg eller separata proxybrandväggar. Om det vid organisationen finns flera förbindelser till receptcentret/arkivet räcker det med en brandvägg. Det tidsenliga nätverksdiagrammet med uppgifter om systemen och om hur systemen har placerats i intranätet kontrolleras. De anslutande systemen ska vara skyddade med en gemensam brandvägg eller flera brandväggar. Nationella auditeringskrav för organisationer inom hälso- och sjukvården 8

9 21 Kontrollförbindelserna till systemet Om det i systemet på grund av uppehåll eller andra orsaker tillåts fjärrkontakt ska kontakterna till systemet genomföras på ett säkert sätt. Därtill ska de som använder fjärrkontakt identifieras med en strak identifieringsmetod. Det utreds hur eventuella fjärrkontakter till systemet har genomförts. 22 Systemunderhåll Det får inte finnas några extra tjänster eller program i systemen. Det får inte vara några aktiva standard-id i systemen eller andra standardinställningar som inte är bra för informationssäkerheten. Det kontrolleras hur systemen definieras och testas innan de tas i bruk. Om möjligt skannas tjänsterna/kontrolleras konfigureringsinställingarna. De servrar som används av systemen ska vara skyddade mot skadliga program, och de blockeringsprogram som används mot skadliga program ska uppdateras automatiskt (om det finns blockeringsprogramvara för den miljö som används). Det ska finnas en regelbunden process för installeringen av datasäkerhetsuppdateringar för servrar. I enlighet med processen uppskattas det om uppdateringar är kritiska och behövliga och uppdateringarna testas i en separat miljö innan de installeras i produktionsmiljön. Systemen och programmen ska vara skyddade mot de mest typiska datasäkerhetsbrister och mot sårbarheten i www-program (t.ex. OWASP top 10). Nationella auditeringskrav för organisationer inom hälso- och sjukvården 9

10 23 Inloggning i system När det gäller utnyttjandet av funktionaliteten vid elektroniska recept ska inloggningen i systemen vara möjlig endast med hjälp av en stark identifieringsmekanism eller genom att använda ett ovanligt starkt lösenord. Autenticeringsmekanismerna kontrolleras (antingen stark identifiering genom ett certifikatkort eller starkt lösenord). Motiveringen för användning av lösenord kontrolleras. Nationella auditeringskrav för organisationer inom hälso- och sjukvården 10