Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Transkript

1 Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

2 Området välfärdsteknologi Vilka typer av nya digitala lösningar används inom vård och omsorg i kommuner och landsting och vilka utmaningar finns för informationssäkerheten?

3 E-hemtjänst - hemtjänst på distans

4 ökad trygghet

5 aktivitet och delaktighet

6 ett självständigare liv

7 Samhällsekonomiskt lönsamt

8 Samhällsekonomiskt lönsamt

9 The Data of Buildings

10 Inbyggd teknik

11 Vad är målen?

12 Välfärdsteknik och vård på distans vad vill vi? Trygga och säkra lösningar Hög integritet och tillit Effektivitet för verksamheten Öka trygghet, delaktighet, självständighet och att bo kvar hemma

13 Vad är Informationssäkerhet? Information som är viktig för verksamheten Finns något som kan hota den? Skydda den Verksamhetens mål

14 Säkerhet som kvalitet För att lyckas att nå förväntade nyttoeffekter och verksamhetsmål behöver det systematiska säkerhetsarbetet integreras med kvalitetsarbetet Se till att det blir rätt från början det kan vara svårt och dyrt att rätta till misstag och man kan tappa förtroende Att hantera informationssäkerhet som en kvalitetsaspekt är en framgångsfaktor!

15 Vilka rättsliga frågor blir aktuella? SoL OSL PDL PuL ArkivL LSS

16 Sammanfattning: lagkrav på säkerhet All dokumentation och behandling av personuppgifter inom social omsorg och hälso- och sjukvård: - Regelverk om informationssäkerhet - Behörighetskontroll - Loggning - Säker överföring vid öppna nät (kryptering) - Säker åtkomst över öppna nät (autentisering) Kommande föreskrifter från Socialstyrelsen: - Krav på Ledningssystem för Informationssäkerhet - ISO serien

17 Ett exempel som utgångspunkt - Nattkamera: Leverantör Bildström via leverantören Uppgifter om kameror, användare (personal) med behörigheter och inloggningsuppgifter Loggar Trafikuppgifter Hemma hos en äldre som är beviljad hemtjänst med tillsyn på natten. En kamera Nattkamera fast installerad. Kommunikation via Internet Hemtjänstens kontor

18 Molntjänst? Sker lagring? Leverantör Kan leverantören titta? Bildström via leverantören Uppgifter om kameror, användare (personal) med behörigheter och inloggningsuppgifter Loggar Trafikuppgifter God kvalitet? Hemma hos en äldre som är beviljad hemtjänst med tillsyn på natten. En kamera Nattkamera fast installerad. Kommunikation via Internet Beviljad hemtjänst? Beslut? Demens? Vilka säkerhetskrav ställs? Vem ansvarar för Internet? Hemtjänstens kontor Behörighet och åtkomst?

19 Vad är Informationssäkerhet? Hur länge kan vi vara utan den? Tillgänglighet Vem har ändrat? Information Hur viktigt att den är rätt? Spårbarhet Riktighet Hur hemlig är den? Konfidentialitet

20 Definition Informationssäkerhet SIS-standard ISO Informationssäkerhet Flytta fokus från IT till verksamhet! Administrativ säkerhet Teknisk säkerhet Fysisk säkerhet IT-säkerhet Datasäkerhet Kommunikationssäkerhet

21 Fokus ska vara informationen inte IT-systemet Beskriv informationsprocessen Definiera och avgränsa Vilken typ av information hanteras? Ansökan om XYZ Skickas för beredning hos grupp B Beslut Överlämnande till C- myndigheten

22 Ansvar och roller Leverantörer Genomföra Följa avtal och instruktioner Verksamheten Ansvar Beställare /Kravställare Behov Personuppgifts-ansvar IT-Drift Genomföra Följa avtal och instruktioner Intern IT Förmedla krav Stödja verksamheten

23 Informationssäkerhet - Metoder och verktyg Ledningssystem för kvalitet Q LIS Ledningssystem för Informationssäkerhet RSA KLASSA Risk- och Sårbarhetsanalyser Informationsklassning

24 Informationsklassificering Besluta värdet på informationen Utgår från verksamhetens behov Blir en kravställning om önskat skydd Utgår ifrån Kriterierna: - Riktighet - Konfidentialitet - Tillgänglighet - Spårbarhet

25 Skyddsnivåer 4 Allvarlig konsekvens Mycket hög skyddsnivå 3 Betydande konsekvens Hög skyddsnivå 2 Måttlig konsekvens Normal skyddsnivå (grundnivå) 1 Obetydlig konsekvens för verksamheten Låg skyddsnivå

26

27 Klassning av Nattkamera Leverantör

28 KLASSA verktyg för informationsklassning Informationssäkerhetsklassa Riktighet Konfidentialitet Tillgänglighet Spårbarhet Handlingsplan Riktad mot verksamhet Riktad mot IT Upphandlingskrav Ger ett underlag

29 KLASSA Du hittar KLASSA här: onssakerhet/klassainformationsklassning.7558.html Film om KLASSA:

30 Riskhantering L Risk S K R 1. Risk att Risk att Risk om Risk att Fokusera inte för mycket på metoden det viktigaste är att risker hanteras!

31 Genomför workshop för klassning och/eller riskanalys: deltagare Leverantör Specialist IT-drift IT-systemförvaltare Verksamhet Intern IT Systemförvaltning IT-arkitekt Verksamhetschef Användare Informationssäkerhetssamordnare Jurist? Arkivarie?

32 Analys? Ta reda på, beskriv och analysera: - Beskriv hela informationskedjan - Vilka aktörer är inblandade? - Kommer personuppgifter /patientuppgifter att lagras? - Var lagras uppgifterna? - Finns uppkoppling till nätet från prylen? - Hur sker överföring av information? Tänk framåt vad gör vi nästa gång, nästa projekt? Krävs styrdokument, beslutade processer?

33 Kolla detta innan nya digitala lösningar införs: Skaffa kunskap om hela informationskedjan Vilka aktörer är inblandade? Kommer personuppgifter /patientuppgifter att lagras? Var lagras uppgifterna? Av vem? Finns uppkoppling till nätet från prylen? Hur sker överföring av information? Vilka risker finns?

34 Leverantörer Vad ska man tänka på i mötet med leverantörerna?

35 Goda råd: Bättre att göra något än inget! Sunt förnuft! Värna individernas tillit! Vi vill inte se svarta rubriker! Slarva inte med riskanalyser! Beställ kvalitet inte tid!