Att analysera värderingar bakom inforamtionssäkerhet. Fil. Dr. Ella Kolkowska ella.kolkowska@oru.se



Relevanta dokument
Värderingar bakom informationssäkerhet

Att analysera värderingar bakom informationssäkerhet

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Lathund. Skolverkets behörighetssystem för e-tjänster. Rollen rektor

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Informationssäkerhet i patientjournalen

Säkerhetsinstruktion 1 BAKGRUND INLOGGNING HANTERING AV INFORMATION INTERNET E-POST INCIDENTER...

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

Lösenordsregelverk för Karolinska Institutet

Riktlinje för informationshantering och journalföring

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Sammanfattning av riktlinjer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Informationssäkerhet

IT-Policy Vuxenutbildningen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Välkommen Expertanvändarträff Siebel och Phoniro

Riktlinjer för informationssäkerhet

1. Förvaltning:... Verksamhetsområde: Kontaktperson: Personregistrets benämning. 4. Hur sker information till de registrerade?

Guide för säker behörighetshantering

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Dnr UFV 2013/1490. Lösenordshantering. Rutiner för informationssäkerhet. Fastställd av Säkerhetchef Reviderad

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Handledning i informationssäkerhet Version 2.0

Riktlinjer för informationssäkerhet

Dokumentation Hälso- och sjukvård HSL

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

Monitorerares tillgång till Cosmic vid kliniska prövningar

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Logghantering för hälso- och sjukvårdsjournaler

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

Åtkomst till patientuppgifter

ProReNata Journal. Snabbstart

Läkarsekreterarforum 2012

ANVÄNDARHANDBOK. Advance Online

Uppstart Agda PS Hosting

E-rekrytering Sökandeportalen

Riktlinje för hälso- och sjukvårdsdokumentation

Riktlinjer. Telefoni. Antagen av kommundirektören

Juridiska frågor och svar om försäkringsmedicinska utredningar rörande personuppgiftsbehandling och dokumentation

Informationssäkerhetsanvisning

Riktlinjer för informationssäkerhet

Inspektion enligt personuppgiftslagen (1998:204)

IT-riktlinjer Nationell information

Uppstart. Agda Drift

Patientdatalagen (PdL) och Informationssäkerhet

Riktlinjer för samtal med medarbetare beträffande loggranskning

Sekretess, lagar och datormiljö

Rutin för Användarkonto, Procapita omsorg

Bilaga D - Intervjuer

Anvisning Gemensamma konton GIT

BDS-UNDERHÅLLET. Användarens instruktion Kommunerna

Informationssäkerhet, ledningssystemet i kortform

Aktivitetskort på nätet

Samtycke vid direktåtkomst till sammanhållen journalföring

Läkares och patienters perspektiv på journal via nätet

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Publicerat för enhet: Kvinnoklinik Version: 4

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Riktlinjer för dokumentation och informationshantering inom hälsooch sjukvårdens område i Nyköpings kommun

Lathund Skolverkets bedömningsportal

Samtycke vid direktåtkomst till sammanhållen journalföring

Manual. It s learning. Målgruppen: externa utförare inom Vård och Omsorg

Riktlinjer informationssäkerhet

Tema 3 Journal på nätet och Informationssäkerhet

MAS Riktlinje för logghantering gällande hälso- och sjukvårdsjournaler

Möjligheter och risker med journalen på nätet

Nationell patientöversikt en lösning som ökar patientsäkerheten

Säkerhetsinstruktion. Procapita VoO. Sammanfattning

Rutin för Prator IT-stöd för samordnad planering

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

PM 2015:127 RVI (Dnr /2015)

Hja lp till Mina sidor

Riktlinjer för informationssäkerhet

LATHUND PASSWORD SAFE. Författare: N. Eriksson Kurs: Datorer & Data från grunden, Mittuniversitetet Publ.datum:

ANVÄNDARHANDBOK Advance Online

Bilaga 1 - Handledning i informationssäkerhet

Lathund Elektronisk fakturahantering

Frågor och svar E-handel läkemedel Proceedo

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen m.m.

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Informations- säkerhet

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

Anvisningar för användare vid användning av e- Tjänster. Anvisningar och rekommendationer för användare av e-tjänster i samverkan SAML & SSO

Lathund Fritidshem

Dataintrång - åtgärder vid misstanke om olovlig åtkomst

Manual Jourläkarschema Alingsås - Version 1.0

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Sammanhållen journalföring och Nationell Patientöversikt i Västra Götalandsregionen

Rutin vid kryptering av e post i Outlook

Policy för informationssäkerhet

Loggrutin för Socialtjänsten, Karlsborgs kommun

Transkript:

Att analysera värderingar bakom inforamtionssäkerhet Fil. Dr. Ella Kolkowska ella.kolkowska@oru.se

Agenda 1. Bakgrund varför studera värderingar? 2. Hur VBC-method 3. Hur kan resultatet från analyser användas för att förbättra användarnas regelföljande och designa mer användarvänliga säkerhetspolicys?

Bakgrund 3. SS-ISO/IEC 27002:2005 - en av huvudsakliga källor till säkerhetskrav [ ] är organisationens socio- kulturella miljö ytterligare en källa är de särskilda principer, mål och verksamhetens krav på informationsbehandling som en verksamhet har utvecklat för att stödja sin verksamhet - en av de kritiska framgångsfaktorer för informationssäkerhet är informationssäkerhetspolicy, mål och aktiviteter som avspeglar verksamhetsmål 4. Tyvärr stör säkerhetsregler och procedurer användarnas dagliga jobb

Value-based Compliance (VBC) method 1. Analys av regelföljande (compliance) samt anledningar till icke-regelföljande (noncompliance) 2. Utgångspunkt: 1. Användaren är en resurs 2. Viktigt att säkerhetsregler och procedurer stör användarnas dagliga arbete så lite som möjligt 3. Regelföljande baserat på gemensamma värderingar

Value-based compliance method

Några exempel från metodanvändning på ett sjukhus

Value-based compliance method

Steg 3: Analys av handlingsföreskrifter Exempel: P1 All viktig information om patienten måste omedelbart dokumenteras i journalen P2 Patientinformation skall dokumenteras omedelbart efter mötet med patienten. P3 Lösenord ska vara minst 8 tecken långt. Det [lösenordet] sak innehålla gemener, versaler och/eller siffror. Undvik namn, födelseår, bilnummer

Steg 5: Analys av designrationalitet Exempel: P1: All viktig information om patienten måste omedelbart dokumenteras i journalen G1: Att föra patientjournal (återfinns i Patientdatalagen) Detta mål är i sin tur förankrat i två värden: V1: fullständighet, dvs att det är viktigt att informationen är fullständig, V2: tillgänglighet, dvs att det är viktigt att informationen är tillgänglig för behöriga personer. Båda dessa värden kan spåras till Patientdatalagen och till ISO-27 000 standarden.

Exempel: Steg 7: Identifiera faktiska informationssäkerhetshandlingar A1 Om informationen inte leder till någonting, några åtgärder, eller att det inte finns någon som är i behov av den så tycker jag man kan vänta med att dokumentera. För dokumentera i journalen ger extra arbete för sekreterarna A2 Man är försiktig med vad man skriver i journalen. Man kanske inte vill bryta ett förtroende med patienten genom att skriva något känslig för du vet att andra kan läsa det. Därför skriver du familjeproblem istället för det exakta problemet.

Exempel: Steg 7: Identifiera faktiska informationssäkerhetshandlingar A3 På väggen häftar man listor med alla patienter som kommer till mottagningen den dagen. En lista [papper] per doktor, eller sjuksköterska. På listerna står namn och personnummer A4 Jag brukar göra så att jag har ett ord och sedan lägger jag på en siffra som blir sen löpande i nya versioner av lösenordet, men jag vet inte om det är så säkert.

Steg 8: Analys av användningsrationalitet Exempel: A2 Man är försiktig med vad man skriver i journalen. Man kanske inte vill bryta ett förtroende med patienten genom att skriva något känslig för du vet att andra kan läsa det. Därför skriver du familjeproblem istället för det exakta problemet. A2 visar en kurator som ibland inte dokumenterar känslig patientinformation i journalen. Rationaliteten grundar sig i målet G5: att inte avslöja patientens privatliv Det är i sin tur baserat på en värdering V5:Det är viktigt att garantera patientens integritet.

Steg 9: Analys av regel- och värdeföljande Exempel: Det finns en konflikt mellan P1 och A2 P1 All viktig information om patienten måste omedelbart dokumenteras i journalen A2 Man är försiktig med vad man skriver i journalen. Man kanske inte vill bryta ett förtroende med patienten genom att skriva något känslig för du vet att andra kan läsa det. Därför skriver du familjeproblem istället för det exakta problemet. Bakom denna konflikt finns skillnader i rationalitet. Den föreskrivna handlingen är grundad i ett fullständighetsvärde (V1) och ett tillgänglighetsvärde (V2). Dessa värden står i konflikt med integritetsvärdet (V5) som styr den medicinska personalens handlande (A2)..

SM 39. " Nödvändigheten av hög sekretess förutsätter en säker identifiering av patienter som utnyttjar interaktiva tjänster IT-dokument Säker behörighetskontroll SM-M-39 Då ny personal ges behörighet i datorjournalen på enhetsnivå bestäms, utifrån ovanstående regler, vilken behörighet vederbörande skall få, eller vid förändring av behörighet i datorjournalen Melior (rutiner instuktion/datorjournal behörighet melior flik 3, avsnitt 5) SM-M-USJUK9(+), SM-M-SJUK3A9(+), SM-M- SJUK3A10(+), SM-M-SEKCH12(+) (+)SM- M_CA1a_31, (+)SM-M-AC22, (+)SM-M-AC23, (+)SM- M-AC24, (+)SM-M-AC25 (+) SM-M_SSK_14, (+) SM- M_AC3C_17 SM 28 "En ansvarsförbindelse vid [distansbarbete] ska upprättas mellan arbetstagaren och ÖLL.", När man får inloggning till våra system så måste man skriva på ett avtal ISS dokument, KL IT SM-M-SEKCH7(+) SM-M_MC_10(+) (+) SM- M_CS_13, (+) SM-M_CS_15, (+) SM-M_AC3C_20 SM-M-35 Då personal slutar på kliniken skall de registrerats inaktiva mot enheten och databasen. Denna rutin syftar till att säkerställa den inaktivieringen. (rutiner instuktion/datorjournal inaktivering av personal som slutat flik 3, avsnitt 4) (+)SM-M_CA1a_10 SM-M-37 Avdelningschef/motsvarande gör persoenen ianktiv mot enhet., sänder ett mail med personen Öllid till Mlioransvarig på Itenheten som gör personen inaktiv mot databas. SM 36. "I landstingets infrastruktur ska byggas in möjlighet till säker elektronisk identifiering, elektronisk signering och insynsskydd" "Elektronisk identifiering är en fundamental förutsättning för att kunna åstadkomma god informationssäkerhet. IT-dokument SM 21. "Det finns inloggning till systemet ISS dokument, KL management (+) SM-M_SSK_16, (+) SM- M_SSK_25 SM 66. Känslig information ska skyddas mot obehörig åtkomst med behörighetssystem och, om så krävs, i krypterad form ISS dokument (+)SM-M_CA1a_8, (+)SM-M_SSK_12, (+)SM-M_SSK_13, (+)SM- M_SSK_14, (+) SM-M_AC3C_18, (+) SM-M_AC3C_17 SM-M-38 I datorjournalsystemet Melior finns olika behörigheter för tillgång till journalerna. Syftet med denna rutin är att klargöra vilka behörigheter som finns och vilka personalgrupper som är tilldelade de olika behörigheterna (rutiner instuktion/datorjournal behörighet melior flik 3, avsnitt 5) SM-M-USJUK9(+), SM-M-KUR5(-), SM-M- KUR8(+), SM-M-SJUK3A9(+), SM-M-SJUK3A10(+), SM-M-LÄK48(+) (+)SM-M_CA1a_23, (+)SM-M- AC20, (+)SM-M-AC23, (+)SM-M-AC24,(+)SM-M- AC25, (+)SM-M-AC26 +SM-M-AC21, +SM-M-AC22 (+) SM-M_SSK_12, (+)SM-M_SSK_13, (+) SM-M_AC3C_17, (-) SM- M_AC3C_18, (+) SM-M_SSK_14 SM 20. För att bli behörig krävs din chefs godkännande ISS dokument SM-M-SEKCH12(+), SM 43. Om du lämnar arbetsplatsen skall du låsa PC:n med "Ctrl-Alt-Del" alternativt logga av, även om det bara är för en kortare stund. Dessutom bör din skärmsläckare ha lösenordsfunktionen aktiverad ISS dokument SM-M-SJUK3A28(-), SM-M-SJUK3A29(-), SM-M-LÄK2(+), SM-M-LÄK3(+), SM-M-LÄK5(-) (-)SM-M-OBM9, (-)SM-M-1A-OB11, (-)SM-M-3A-OB6 (+) SM- M_CS_28

Steg 9: Analys av regel- och värdeföljande -compliance Typ av IS-regel Exempel på IS-regel Typ av IS-handling Exempel på IShandling Regel som syftar till säker lösenordshantering SM3. "Du skall byta lösenordet minst var 90:e dag SM2. Lösenord ska vara minst 8 tecken långt. Det [lösenordet] sak innehålla gemener, versaler och/eller siffror. Undvik namn, födelseår, bilnummer. Handlingar som illustrera säker lösenordhantering SM-M_CS_26: Sen måste man byta lösenordet varje tredje månad. Då ändrar man samtidigt på alla system. SEKCH13: Det ska ingå ett visst antal bokstäver och siffror och det ska vara sex eller åtta tecken. Det kontrolleras av systemet. Regel om att utskrifter från skrivare eller fax inte läses av obehöriga SM 67. Utskrift skall endast ske till skrivare där behöriga ar rätt att ta del av innehållet. ISS dokument Handlingar för att utskrifter från skrivare eller fax inte läses av obehöriga SM-M-KUR27: Det är viktigt att informationen kommer rätt [vid faxning (SM-M- KUR26)] eftersom den inte är avkodad. Man ringer innan för att meddela att man ska skicka faxet och efteråt för att försäkra sig att faxet har kommit fram.

Steg 9: Analys av regel- och värdeföljande non-compliance Typ av IS-regel Exempel på IS-regel Typ av IS-handling Exempel på IShandling Regel om att registrera information i journalen SM 174 "Alla viktiga uppgifter om patienter ska antecknas i journalen", "Allt viktigt måste stå i journalen SM 175 Så fort man är med en patient så måste man dokumentera Handlingar som motverkar tillgänglighet men stödjer effektivitet SM-M-LÄK2: Om patienter ligger längre och stannar kvar över helgen så brukar jag göra en sammanfattning [diktering] på torsdag SM-M-LÄK19: Om inte informationen leder till någonting, till någon åtgärd eller någon har behov av den så tycker jag man kan vänta med det [skriva i journalen] för att det genererar extra arbete för sekreterarna, utan att den har nytta i längden.

Resultat Analysera non-compliance. Fel på regelverket, Okunskap Dåliga säkerhetslösningar.. Resultat: Ändring av regler Fokuserad utbildning (konkreta verksamhetssituationer, value-copliance, varför)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss