Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 1(36)

Transkript

1 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 1(36) SSSS CCCC EEEEEE N N AAAA RRRRR II EEEEEE RRRRR S S C C E NN N A A R R II E R R S C E N N N A A R R II E R R SSSS C EEEE N N N AAAAAA RRRRR II EEEE RRRRR S C E N N N A A R R II E R R S S C C E N NN A A R R II E R R SSSS CCCC EEEEEE N N A A R R II EEEEEE R R *********************************************************************** *********************************************************************** Hot- och riskanalys scenarier avseende objektet Landstinget Västernorrland SYSteam Cross *********************************************************************** ***********************************************************************

2 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 2(36) 1 Systemfel i läkemedelslista. Överdosering är möjlig då spärrar och fungerande kontroller saknas. Ordinationer hamnar i olika system och förskrivningen blir svår att överblicka. Även slarv förekommer. Brister i teknik och design. Brister i kompetens. Brister i återrapportering till verksamheten (SUSSA). Hot mot riktighet och tillgänglighet i SCs information. Felaktig medicinering. Fördröjning. Patient kan skadas. Ekonomiska förluster. Ekonomiska förluster. Förtroendeförslust. Översyn av teknisk lösning och design, översyn av rutiner, utbildning av personal, Översyn av ändringsrutin, förbättra rapportering till verksamhet/förvaltningsorganisation från SUSSA.

3 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 3(36) 2 Ri Spärrar och rimlighetstester saknas vid medicinförskrivning och formulärinmatning. Jfr hot nr 1. Brister i teknisk lösning och design. Brister i ändringsrutin. Hot mot riktighet i SCs information. Felaktig medicinering. Patient kan skadas. Ekonomiska förluster. Förtroendeförlust. Översyn av teknisk lösning, införa lämpliga rimlighetstester samt översyn av rutiner. Översyn av ändringsrutin, förbättra rapportering till verksamhet/förvaltningsorganisation från SUSSA.

4 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 4(36) 3 Ri Felaktig integration med folkbokföringsregister. Avser kopplingen till Folke. Brister i teknisk lösning. Hot mot riktighet i SCs information. Felmedicinering/-behandling kan ske. Felaktiga besked till patienter kan ges. Förtroendeförlust. Ekonomisk förlust. Översyn av befintlig teknisk lösning. Kommentar. Lösning för hotreducering är framtagen, den är dock ej ännu produktionssatt.

5 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 5(36) 4 Remissbeställning och remissvar matchar inte varandra. Remisshantering inom laboratoriemedicin har egen nummerserie men resten av landstinget annan. Vid svar erhålls ingen matchning. Brister i teknik och rutiner. SC och labsystem kan ej kommunicera. Brister i handhavande. Hot mot riktighet och tillgänglighet i SCs information. Felmedicinering kan ske, behandling fördröjs. Patient kan skadas eller avlida. Förtroendeförlust. Ekonomisk förlust. Översyn av rutiner och utreda teknisk lösning så att kommunikation mellan SC och labsystem erhålls. Utbildning av och information till verksamhet.

6 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 6(36) 5 Se Journalinformation skrivs ut på fel skrivare. Brister i rutin och teknisk lösning. Hot mot sekretess i SCs information. Känslig information kan komma obehörig till del. Lagbrott. Patient kan skadas. Förtroendeförlust. Möjliga skadeståndskrav Översyn av rutiner och teknisk lösning. Utbildning av personal rörande hantering av sekretess.

7 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 7(36) 6 Se Skyddad information röjs. I detta fall avses att landstingets personal inte följer gällande rutiner eller att rutiner saknas vid användande av SC. Bristande utbildning, brister i rutiner. Hot mot sekretess i SCs information. Känslig information kommer obehörig till del. Lagbrott Patient kan skadas. Förtroendeförlust. Ekonomiska förluster Utbildning av personal rörande hantering av sekretess, uppföljning och kontroll.

8 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 8(36) 7 Mycket långa ledtider vid beställningar om förändringar i systemet SC. Brister i rutiner. Brister i förändringsprocess. Brister i information. Hot mot sekretess, riktighet och tillgänglighet i SCs information. Störningar i produktionen (vården), irritation. Merkostnader. Förtroendeförlust gentemot LVNs leveransorganisationen. Översyn av rutiner och processen kring beställning av systemförändringar. Förbättrad information till verksamhet och förvaltningsorganisation.

9 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 9(36) 8 Felkonsturerad lablista kan leda till felbehandlingar. Jfr hot 1, 2 och 4. Brister i teknisk lösning. Hot mot riktighet och tillgänglighet i SCs information. Felmedicinering och felbehandling. Fördröjning. Merarbete. Patient kan komma att skadas. Förtroendeförlust. Ekonomiska förluster. Översyn av teknisk lösning, översyn av rutiner, utbildning av personal, Översyn av ändringsrutin, förbättra information till verksamhet/förvaltningsorganisation från SUSSA. Kommentar: Bristen har varit svår att simulera och beskriva tekniskt vilket man nyligen lyckats med. Bristen är beskriven på teknisk nivå till leverantör.

10 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 10(36) 9 Administratör kan stänga av loggar i SC. En person med administrationsrättigheter har obegränsade möjligheter att läsa, ändra och kopiera information i SC utan att upptäckas. Brister i teknisk lösning och rutiner. Hot mot sekretess, riktighet och tillgänglighet i SCs information. Information kan komma obehörig till del. Patient kan skadas. Lagbrott. Oöverskådliga. Oöverskådliga. Införa en fristående övervakning med loggadministratör som är åtskild från systemadministrationen. På kort sikt måste en lösning tas fram som hindrar administratörer att slå av loggfunktionen.

11 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 11(36) 10 Funktionalitet ej fullständig vad gäller sammanhållen journalföring. Brister i teknisk lösning. Hot mot sekretess, riktighet och tillgänglighet i SCs information. Felmedicinering och felbehandling kan ske. Fördröjning i vårdkedjan. Patient kan komma att skadas. Förtroendeförlust. Skadeståndskrav. Översyn av teknisk lösning, översyn av rutiner.

12 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 12(36) 11 SC har ingen fungerande kontexthantering. Brister i teknisk lösning (integrationsdelen). Förväxling av remisser, felaktig behandling, fel patient kan operereras. Hot mot riktighet och tillgänglighet i SCs information. Patient kan komma att skadas. Förtroendeförlust. Ekonomiska förluster. Översyn av och teknisk lösning och sammanhängande rutiner. Översyn av ändringsrutin, förbättra rapportering till verksamhet/förvaltningsorganisation från SUSSA.

13 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 13(36) 12 Se Behörighetstilldelning ej fullständig enligt PDL. Detta hot avser rutiner kopplade till behörighetsrutiner. Personal kan få felaktig behörighet. Brister i rutiner. Hot mot sekretess i SCs information. Känslig information kan komma obehörig till del. Lagbrott. Patient kan komma att skadas. Förtroendeförlust. Merkostnader. Skadeståndskrav. Översyn av rutiner.

14 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 14(36) 13 Gruppering av laboratorieprover felaktig. Jfr hot nr 1, 2, 4 och 8. Journalsystemets konstruktion gör det svårt att få överblick över vårdförloppet Brister i teknisk lösning. Hot mot riktighet och tillgänglighet i SCs information. Felmedicinering och felbehandling. Fördröjning Patient kan komma att skadas. Förtroendeförlust. Merkostnader Översyn av teknisk lösning. Kommentar: Bristen är under åtgärdande. Kontroll att hotet ej kvarstår efter åtgärd ska genomföras.

15 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 15(36) 14 Felaktig information (indata) från tredje part. Oavsiktliga fel i leverans från parter i nationella projekt. Brister i rutiner. Hot mot riktighet och tillgänglighet i SCs information. Oöverskådliga. Oöverskådliga. Oöverskådliga. Förtroendeförlust. Översyn av rutiner.

16 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 16(36) 15 Se Personuppgifter kan röjas vid kommunikation då dessa sänds i klartext. Jfr hot 6. Brister i teknisk lösning och rutiner. Hot mot sekretess i SCs information. Information kommer obehörig till del. Lagbrott. Patient kan komma att skadas. Förtroendeförlust. Merkostnader. Skadeståndskrav Inför lösning så att krypterad kommunikation sker.

17 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 17(36) 16 Felaktig behörighet leder till felbehandling. Jfr hot nr 12. Tilldelningen av behörigheter som här avses innebär att personal kan tilldelas en behörighet som är lägre än vad personalen egentligen ska ha. Detta leder till att personalen, utan att veta om det, inte kan utnyttja SCs funktionalitet fullt ut. Brister i rutiner. Brister i kunskap om SC. Hot mot riktighet och tillgänglighet i SCs information. Felmedicinering och felbehandlingar. Patient kan komma att skadas. Oöverskådliga. Oöverskådliga. Förtroendeförlust. Översyn av rutiner för tilldelning av behörighet. Utbildning av personal.

18 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 18(36) 17 Lösenord till databaser röjs. Lösenord sänds idag i klartext mellan databas och klient. Lösenord allmänt kända i organisationen. Brister i teknisk lösning och rutiner. Dålig kunskap om lösenordshantering. Hot mot sekretess, riktighet och tillgänglighet i SCs information. Information kommer obehörig till del. Information kan förvanskas eller raderas. Patient kan komma att skadas. Merkostnader. Oöverskådliga. Skadeståndskrav. Översyn av teknisk lösning och av rutiner. Utbildning av personal.

19 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 19(36) 18 Autenticeringsprocessen mellan databas och klient falerar. Brister i teknisk lösning. Patient kan komma att skadas. Fördröjningar i behandlingar. Oöverskådliga. Oöverskådliga Översyn av teknisk lösning.

20 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 20(36) 19 Design och uppbyggnad av journalsystem innebär att felbehandling kan ske. Jfr hot 1, 2, 4, 8 och 13. Brister i design och teknisk lösning. Hot mot riktighet och tillgänglighet i SCs information. Felmedicinering och felbehandling. Patient kan komma att skadas. Förtroendeförlust. Skadestånd. Översyn av teknisk lösning och design, översyn av rutiner, utbildning av personal, översyn av ändringsrutin, förbättra rapportering till verksamhet/förvaltningsorganisation från SUSSA.

21 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 21(36) 20 Dålig teknisk integration mellan flexlab och SC. Jfr hot nr 4. Brister i teknisk lösning. Hot mot riktighet och tillgänglighet i SCs information. Felmedicinering och felbehandling. Patient kan komma att skadas. Förtroendeförlust. Ekonomisk förlust. Översyn av teknisk lösning, översyn av rutiner. Översyn av ändringsrutin, förbättra rapportering till verksamhet/förvaltningsorganisation från SUSSA.

22 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 22(36) 21 SC uppfyller inte kraven i PDL. Brister i teknisk lösning och rutiner. Hot mot sekretess i SCs information. Information kan komma obehörig till del. Lagbrott. Patient kan komma att skadas. Förtroendeförluster. Skadestånd, viten. nomföra konsekvensanalys avseende PDL gentemot SC. Framtagning av kravspecifikation.

23 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 23(36) 22 Signeringslista kopplas ej automatiskt till patient i systemet. Vid signering är det lätt att inte koppla samman prover med patient, då journalen måste hämtas. Brister i teknisk lösning. Hot mot riktighet och tillgänglighet i SCs information. Merarbete, felbehandling. Patient kan komma att skadas. Förtroendeförlust. Översyn av teknisk lösning.

24 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 24(36) 23 Personuppgifter riskerar att komma obehörig till del. Jfr 6 och 15. Brister i rutiner och teknisk lösning. Lagbrott. Hot mot sekretess i SCs information. Känslig information kommer obehörig till del. Patient kan komma till skada. Förtroendeförlust. Ekonomiska förluster. Utbildning av personal i hantering av sekretess. Översyn av teknisk lösning och rutiner. Den tekniska lösningen innefattar styrning av åtkomst och funktion för övervakning.

25 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 25(36) 24 Information från övriga källor blir inte tillgänglig och patient kan felbehandlas. Jfr 1, 2, 4, 8, 13 och 19. Brister i teknisk lösning. Hot mot riktighet och tillgänglighet i SCs information. Felmedicinering och felbehandling. Merarbete. Patient kan komma att skadas. Förtroendeförlust. Skadestånd Översyn av teknisk lösning, översyn av rutiner. Översyn av ändringsrutin, förbättra rapportering till verksamhet/förvaltningsorganisation från SUSSA.

26 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 26(36) 25 Se Ej användarvänlig inloggning till SC. Personal måste använda flera användarid och lösenord vid inloggning till de resurser som behövs för att fullt ut kunna nyttja SC. Brister i teknisk lösning vid inloggning, brister i lösenorshantering. Hot mot sekretess i SCs information. Information kan komma obehörig till del. Patient kan komma att skadas. Förtroendeförlust. Skadestånd. Utbildning. Översyn av teknisk lösning, utreda Single Sign On-lösning.

27 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 27(36) 26 Brister i moduler eller sammankoppling av moduler leder till systemkrascher. Brister i kravställan. Brister i teknisk lösning. Hot mot riktighet och tillgänglighet i SCs information. Haverier. Fördröjningar i behandlingar. Patient kan komma att skadas. Merkostnader. Förtroendeförlust. Ekonomiska förluster. Översyn av teknisk lösning och rutiner. Översyn av ändringsrutin och förbättring av kravställning vid framtagning av nya moduler.

28 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 28(36) 27 Ej användarvänligt gränssnitt leder till felbehandling/felhantering. Systemet uppfattas som svårt att lära sig, och fortbildning förekommmer ej. Brister i gränssnitt och utbildning. Hot mot riktighet och tillgänglighet i SCs information. Felmedicinering och felbehandling. Patient kan komma att skadas. Förtroendeförlust. Skadestånd 3: hög betydlig Översyn av gränssnitt och förbättring av detta. Utbildning av personal. Översyn av ändringsrutin. RRRR II SSSS K KK V V * * RRRR DDDD EEEEE R RR II SS K K V V ÄÄÄ R RR D DD E 3 R R II SSSS KK VV VV Ä Ä R R D D EEE 3 RRRR II SS KKK V V ÄÄÄÄÄ RRRR D D EEE 3333 R RR II SS K K VVV Ä Ä R RR D DD E 33 R R II SSSS K K V Ä Ä R R DDDD EEEEE 3333

29 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 29(36) 28 SCs tröghet leder till förseningar i handläggning. Jfr hot 27. Med tröghet avses här svårarbetat, att systemet är svårt att hantera. Brister i teknisk lösning, brister i utbildning. Hot mot riktighet och tillgänglighet i SCs information. Felbehandling. Patient kan komma att skadas. Förtroendeförlust. Ekonomisk förlust. 3: hög betydlig Översyn av teknisk lösning. Utbildning av personal, översyn av ändringsrutin. RRRR II SSSS K KK V V * * RRRR DDDD EEEEE R RR II SS K K V V ÄÄÄ R RR D DD E 3 R R II SSSS KK VV VV Ä Ä R R D D EEE 3 RRRR II SS KKK V V ÄÄÄÄÄ RRRR D D EEE 3333 R RR II SS K K VVV Ä Ä R RR D DD E 33 R R II SSSS K K V Ä Ä R R DDDD EEEEE 3333

30 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 30(36) 29 Känslig information används i test. Brister i rutiner och teknisk lösning. Brister i kunskap. Hot mot sekretess, riktighet och tillgänglighet i SCs information. Känslig information kan komma obehörig till del. Oöverskådliga. Oöverskådliga. 3: medel allvarlig Översyn av rutiner, använda en teknisk lösning som möjliggör av avidentifiering av känsliga uppgifter innan användning vid test samt utbildning av personal. RRRR II SSSS K KK V V * * RRRR DDDD EEEEE R RR II SS K K V V ÄÄÄ R RR D DD E 3 R R II SSSS KK VV VV Ä Ä R R D D EEE 3 RRRR II SS KKK V V ÄÄÄÄÄ RRRR D D EEE 3333 R RR II SS K K VVV Ä Ä R RR D DD E 33 R R II SSSS K K V Ä Ä R R DDDD EEEEE 3333

31 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 31(36) 30 Distribuerade transaktioner orsakar inkonsistenta databaser. Brister i teknik och rutiner. Hot mot riktighet och tillgänglighet i SCs information. Felmedicinering samt felbehandling. Patient kan komma att skadas. Förtroendeförlust. Skadestånd. 3: medel allvarlig Översyn av teknisk lösning. Förbättrad kravställan mot leverantör. RRRR II SSSS K KK V V * * RRRR DDDD EEEEE R RR II SS K K V V ÄÄÄ R RR D DD E 3 R R II SSSS KK VV VV Ä Ä R R D D EEE 3 RRRR II SS KKK V V ÄÄÄÄÄ RRRR D D EEE 3333 R RR II SS K K VVV Ä Ä R RR D DD E 33 R R II SSSS K K V Ä Ä R R DDDD EEEEE 3333

32 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 32(36) 31 Organisationsförändringar inom landstinget leder till brister i hantering av SC. Brister i kunskap om SC hos personalen. Hot mot riktighet och tillgänglighet i SCs information. Felmedicinering och felbehandling. Patient kan komma att skadas. Förtroendeförluster. Ekonomiska förluster. 3: hög betydlig Information och utbíldning. RRRR II SSSS K KK V V * * RRRR DDDD EEEEE R RR II SS K K V V ÄÄÄ R RR D DD E 3 R R II SSSS KK VV VV Ä Ä R R D D EEE 3 RRRR II SS KKK V V ÄÄÄÄÄ RRRR D D EEE 3333 R RR II SS K K VVV Ä Ä R RR D DD E 33 R R II SSSS K K V Ä Ä R R DDDD EEEEE 3333

33 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 33(36) 32 Underbemanning i förvaltningsorganisation leder till förseningar och kvalitetsbrister. Jfr hot 31. Brister i organisation och brister i rutiner. Hot mot riktighet och tillgänglighet i SCs information. Merarbete. Fördröjningar. Merkostnader. Irritation. Förtroendeförlust för leveransorganisation. 3: hög betydlig Översyn och förstärkning av organisationen. Förbättrad information till organisationen. RRRR II SSSS K KK V V * * RRRR DDDD EEEEE R RR II SS K K V V ÄÄÄ R RR D DD E 3 R R II SSSS KK VV VV Ä Ä R R D D EEE 3 RRRR II SS KKK V V ÄÄÄÄÄ RRRR D D EEE 3333 R RR II SS K K VVV Ä Ä R RR D DD E 33 R R II SSSS K K V Ä Ä R R DDDD EEEEE 3333

34 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 34(36) 33 Journalstruktur och innehåll i db är inte samma vilket ger inkonsistenta db. Brister i rutiner. Hot mot riktighet och tillgänglighet i SCs information. Felmedicinering och felbehandling. Merarbete. Förseningar. Patient kan komma till skada. Förtroendeförlust. Merkostnader. 3: hög betydlig Översyn av dokumentationsrutiner och ensning av terminologi. RRRR II SSSS K KK V V * * RRRR DDDD EEEEE R RR II SS K K V V ÄÄÄ R RR D DD E 3 R R II SSSS KK VV VV Ä Ä R R D D EEE 3 RRRR II SS KKK V V ÄÄÄÄÄ RRRR D D EEE 3333 R RR II SS K K VVV Ä Ä R RR D DD E 33 R R II SSSS K K V Ä Ä R R DDDD EEEEE 3333

35 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 35(36) 34 Förändringar i produktionssmiljön ger störningar i verksamhetssystemen. Brister i rutiner vid uppgradering Brister i rutiner. Brister i information till verksamheten. Hot mot riktighet och tillgänglighet i SCs information. Driftstörningar, fördröjningar. Merarbete, irritation. Förtroendeförlust för leveransorganisation. Ekonomiska förluster. 3: medel betydlig Översyn av rutiner. Förbättrad information till verksamheten. RRRR II SSSS K KK V V * * RRRR DDDD EEEEE R RR II SS K K V V ÄÄÄ R RR D DD E 3 R R II SSSS KK VV VV Ä Ä R R D D EEE 3 RRRR II SS KKK V V ÄÄÄÄÄ RRRR D D EEE 3333 R RR II SS K K VVV Ä Ä R RR D DD E 33 R R II SSSS K K V Ä Ä R R DDDD EEEEE 3333

36 Bilaga 1 Hot- och riskanalys Landstinget Västernorrland 36(36) 35 Se Skrivbyråer anlitas för journalföring. Brister i kompetens. Brist i egna resurser. Hot mot sekretess i SCs information. Känslig information kan komma obehörig till del. Felbehandling och felmedicinering. Förseningar. Lagbrott Patienter kan komma att skadas. Förtroendeförlust. Ekonomiska förluster. 3: hög betydlig Översyn av avtal med leverantör. Utbildning av personal. RRRR II SSSS K KK V V * * RRRR DDDD EEEEE R RR II SS K K V V ÄÄÄ R RR D DD E 3 R R II SSSS KK VV VV Ä Ä R R D D EEE 3 RRRR II SS KKK V V ÄÄÄÄÄ RRRR D D EEE 3333 R RR II SS K K VVV Ä Ä R RR D DD E 33 R R II SSSS K K V Ä Ä R R DDDD EEEEE 3333