Informationssäkerhet Medicinteknisk säkerhetskurs 2018-03-14, Sanja Hebib Informationssäkerhet Information är en tillgång som, liksom andra viktiga tillgångar, har ett värde och som måste skyddas. Informationssäkerhet syftar till att skydda information mot förekommande hot, förhindra avbrott i verksamheten samt minska skador och bidrar därigenom till att maximera värdet av verksamheten. Tillgänglighet, Riktighet, Konfidentialitet och (Spårbarhet) 2 1
Styrdokument Externa - Lagkrav och föreskrifter t.ex. patientdatalagen, Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården; HSLF-FS 2016:40, personuppgiftslagen samt dataskyddsförordningen Interna - Ledningssystem för informationssäkerhet - Riktlinjer och rutiner ISO/IEC 27000-serien 4 Ansvarsfördelning Ansvaret följer generellt linjen, men det finns vissa funktioner som är utpekade i lagstiftning och regelverk. Regionstyrelsen (vårdgivaren) Verksamhetschef Enskilde medarbetaren 5 Patientdatalag (2008:355) Möjlighet till sammanhållen journalföring Ökad patientintegritet och säkerhet Möjlighet till direktåtkomst för patient Att patienten kan spärra journalinformation 6 2
Spärrfunktionalitet Uppgifter spärras, vilket innebär att direktåtkomst inte får ske från en annan vårdenhet eller vårdgivare inom sammanhållen journalföring. Teknisk funktionalitet i våra journalsystem/ medicintekniska produkter Patienten bestämmer 7 Åtkomstkontroll - loggning Vårdgivaren är skyldig att föra logg över åtkomst inom vårdgivaren. Vårdgivaren ska dokumentera regelbunden och systematisk loggningskontroll i syfte att förebygga, konstatera och beivra otillåten eller obefogad åtkomst till uppgifter. Patienten kan begära ut sin logglista 8 Vad ska finnas med i loggen? HSLF-FS 2016:40 (4:9) - vilka åtgärder som har vidtagits med uppgifter om en patient, - vid vilken vårdenhet eller vårdprocess åtgärderna vidtagits, - vid vilken tidpunkt åtgärderna vidtagits, - användarens och patientens identitet 9 3
Användning av öppna nät HSLF-FS 2016:40 (3:15) Om vårdgivaren använder öppna nät vid behandling av personuppgifter, ska denne ansvara för att - överföring av personuppgifter görs på ett sådant sätt att inte obehöriga kan ta del av dem, och - Elektronisk åtkomst eller direktåtkomst till uppgifterna föregås av stark autentisering. 10 Vad är ett öppet nät? Finns ingen legal definition Resonemanget kring öppet nät går ut på att flera aktörer har tillgång till och trafikerar nätet och därigenom har möjlighet att bereda sig åtkomst till personuppgifter som överförs eller görs åtkomliga via det. Ex. internet, sjunet, (Region Östergötlands nätverk) 11 Vad är stark autentisering? Identiteten kontrolleras på minst två sätt - med någonting användaren kan t.ex. lösenord - med någonting användaren har t.ex. certifikat - med hjälp av användaren själv t.ex. fingeravtryck Även om ett autentiseringssätt uppfyller kravet på två faktorer kan det ändå vara olämpligt som lösning. 12 4
Säkerhetkopiering HSLF-FS 2016:40 (3:12) - med vilken periodicitet säkerhetskopieringen ska göras, - hur länge säkerhetskopiorna ska sparas, och - hur ofta återläsningstester ska göras. Säkerhetskopieringen bör bygga på den informationsklassificering som gjorts på informationen som ska lagras. 13 Styrning av behörigheter HSLF-FS 2016:40 (4:2) Vårdgivaren ska ansvara för att varje användare tilldelas en individuell behörighet för åtkomst till personuppgifter. Behörigheterna ska bygga på en behovs- och riskanalys. 14 Personuppgiftslag (1998:204) Reglerar behandling av personuppgifter. Är subsidiär mot annan lagstiftning. Syftet med PuL är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Datainspektionen är tillsynsmyndighet. 15 5
Vad är personuppgifter? All slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet. Även bilder (foton) och ljudupptagningar på individer som kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer. Pseudonymiserade uppgifter är fortfarande personuppgifter. 16 Säkerhetåtgärder Lämpliga tekniska och organisatoriska åtgärder ska vidtas utifrån - De tekniska möjligheter som finns - Kostnaden att genomföra åtgärden - Särskilda risker som finns med behandlingen - Känsligheten hos uppgifterna 17 Dataskyddsförordning (GDPR) Förordningen gäller som svensk lag den 25 maj 2018 och ersätter tidigare direktiv och PUL. Kompletteras med nationell lagstiftning. Nationell lagstiftning får inte stå i strid med förordningen. 18 6
Säkerhet art 32 Lämplig säkerhetsnivå rätt säkerhet Risk med behandlingen Behandlingens art, omfattning, sammanhang och ändamål Tekniska möjligheter Kostnad Risk Oavsiktlig eller olaglig förstöring Förlust eller ändring Obehörigt röjande eller åtkomst 19 Exempel på säkerhetsåtgärder Pseudonymisering Kryptering Behörighetsstyrning Loggning Riktlinjer Utbildning 20 Rätt till radering ( rätten att bli bortglömd ) art 17 Måste radera om (exempel): Uppgifterna inte behövs för de ändamål som de samlades in för Behandling grundar sig på samtycke och samtycket återkallas Personuppgifterna har behandlats olagligt Exempel på undantag: Arkivändamål Forskningsändamål 7
Dataportabilitet art 20 Den som har lämnat sina personuppgifter har i vissa fall rätt att få ut och använda sina personuppgifter på annat håll. Den som har tagit emot personuppgifterna är skyldig att underlätta en sådan överflyttning av personuppgifter. 22 Personuppgiftsincident art 33 Vad är en personuppgiftsincident? en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats Dokumentera incidenten och anmäla till Datainspektionen inom 72 timmar. Informera de registrerade t.ex. om det finns risk för id-stöld eller bedrägeri. Uppförandekoder art 40-41 Sammanslutningar som representerar kategorier av personuppgiftsansvariga/personuppgiftsbiträden får utarbeta uppförandekoder för att specificera tillämpningen av förordningen. Tillsynsmyndighet godkänner uppförandekoder 8
Certifiering art 42-43 Uppmuntran till certifieringsmekanismer för uppgiftsskydd. Certifieringsorganet kan utdela och ta tillbaka certifieringar som visar att organisationen uppfyller förordningen. Certifieringsorgan ska ackrediteras via t.ex. tillsynsmyndighet eller nationella ackrediteringsorgan. Skadestånd art 82 En person som har lidit skada på grund av att hans eller hennes personuppgifter har behandlats i strid med dataskyddsförordningen kan ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet. Sanktionsavgifter art 83 Vem beslutar om att påföra en sanktionsavgift? Datainspektionen Hur hög kan sanktionsavgiften bli? Vilken bestämmelse som har överträtts Omständigheterna i fallet 20 miljoner euro eller fyra procent av bolagets globala årsomsättning Lagförslag 20 miljoner kronor för myndigheter 27 9
Hur ser framtiden ut? Ny lagstiftning Molntjänster Mer vård och behandling utförs i hemmet med hjälp av medicinteknisk utrustning Appar och olika hälsokonton Individanpassad vård (utifrån t.ex. analyser av dna och Big Data) 28 10