Beredningen för integritetsfrågor Martin X Svensson IT Arkitekt 0736-250609 Martin.X.Svensson@skane.se BESLUTSFÖRSLAG Datum 2012-10-31 Dnr 1202434 1 (3) Regionstyrelsen Aktiviteter för att öka tillgänglighet och säkerhet i Region Skånes datorsystem Ordförandens förslag Beredningen för integritetsfrågor föreslår regionstyrelsen följande 1) Uppdra åt regiondirektören att senast den 31 december 2013 ha utformat tillämpningsanvisningar och anvisningar för en ökad tillgänglighet och säkerhet i Region Skånes datorsystem. 2) Uppdra åt regiondirektören att senast den 31 december 2013 ha initierat aktiviteter för att uppfylla policys, riktlinjer, tillämpningsanvisningar och anvisningar i Region Skånes datorsystem enligt Bilaga 1. Sammanfattning För Region Skåne föreslås genomföra aktiviter inom policys, riktlinjer och tillämpningsanvisningar samt efterlevnad vars syfte är att ge en ökad tillgänglighet och säkerhet i Region Skånes datorsystem. Aktiviter föreslås genomföras inom följande område: Förtydliga IT-avdelningens ansvar och mandat avseende Region Skånes datorsystem och IT-infrastruktur Sammanställa information om Region Skånes datorsystem Utforma policys, riktlinjer och tillämpningsanvisningar avseende åtkomst, uppföljning och infrastrukturtjänster i Region Skåne Genomföra aktiviter för uppfyllnad av ovanstående Förtydligande av aktiviteter finns specificerat i Bilaga 1. Postadress: 291 89 Kristianstad Organisationsnummer: 23 21 00-0255 Besöksadress: J A Hedlunds väg Telefon (växel): 044-309 30 00 Fax: 044-309 32 98 Internet: www.skane.se
Datum 2012-10-31 Dnr 1202434 2 (3) Beskrivning av ärendet och skälen för förslaget Bakgrund Region Skåne har en komplex IT miljö där ansvaret är decentraliserat gällande information, funktion och utrustning. Region Skånes olika verksamheter samexisterar i samma infrastruktur men utan tydliga överenskomna regionala regelverk och krav. Åtgärder har redan initierats avseende socialstyrelsens beslut 2012-01-08 (Dnr. 9.3.2-26771/2011) med syfte att säkerställa bättra samverkan mellan den regionala IT-organisationen och sjukvårdsförvaltningarna lokala MTorganisationer avseende medicintekniska produkter som förvaltas av både IT- och MT-organisationerna. Nu har ytterligare aktiviteter identifierats, än de som planerats i enlighet med svar till socialstyrelsen, som krävs för att nå i mål med en förbättrad säkerhet och tillgänglighet i Region Skånes datorsystem. Med denna bakgrund har vi behov av att skapa en större följsamhet mot: a) Lagkrav Region Skåne har under ett antal år arbetet med att bättre följa Patientdatalagen (PDL) (SFS 2008:355), dock uppfyller majoriteten av våra system inte denna lag i dagsläget. Efter upprepade tillsyner från Socialstyrelsen och Datainspektionen är behovet stort att på ett strukturerat sätt kunna styra arbetet mot att uppnå en enhetlig informationssäker miljö, som även följer regelverk och krav Region Skånes beslutade Ledningssystem för informationssäkerhet SS- ISO/IEC 27001 och Riktlinjer för styrning av informationssäkerhet SS-ISO/IEC 27002. b) IT-säkerhet och förbättrad tillgänglighet Avbrott som skett i våra IT-system de senare åren, där virusutbrottet 2009-01-04 orsakade störst påverkan, har visat på behovet av att samtlig utrustning som är ansluten till Region Skånes datornätverk behöver ett tydligt ansvar. Utrustningen måste även följa Region Skånes regelverk innan den ansluts till Region Skånes datornätverk. För att kunna trygga en tillfredställande nivå av säkerhet och tillgänglighet måste det finnas ett gemensamt regelverk och en styrning av IT-säkerheten som omfattar alla informationsbehandlingsresurser (information, IT-system, tillämpningssystem, register, program, utrustning och samtliga användare) och all IT-utrustning i Region Skåne. Vi har ett behov av att ha gemensam information om alla informationsbehandlingsresurser och all IT-utrustning för att kunna erbjuda rätt säkerhet och för att kunna uppfylla patientdatalagen. Det skall tydligt framgå vilka system som innehåller patientinformation. Infrastrukturen för Region Skåne Beredningen för integritetsfrågor
Datum 2012-10-31 Dnr 1202434 3 (3) IT och Medicinsk teknik behöver även interagera och samexistera optimalt inom ramen för gällande lagstiftning och regionala policys. Utan fastställda regelverk och efterlevnad av dessa kommer vår IT-miljö även fortsättningsvis vara utsatt för samma riskexponering av IT-säkerhet och informationssäkerhet. Skäl för förslaget Att säkerställa Region Skånes invånare och patienters integritet i regionens IT-system genom en bättre kännedom om och ökad kontroll över IT-miljön och dess informationsbehandlingsresurser. Ekonomiska konsekvenser och finansiering Aktiviteter kring framarbetande av tillämpningsanvisningar och anvisningar samt sammanställning av information kan genomföras utan ekonomisk påverkan. Avvikelser kommer att registreras och separata medel kan komma att behövas för genomförandet av ett eventuellt åtgärdspaket. Juridisk bedömning Miljökonsekvenser Beslutsförlaget bedöms inte ha några särskilda miljökonsekvenser. Uppföljning Framarbetande och beslut av tillämpningsanvisningar och anvisningar samt sammanställning av information skall ha genomförts till 2013-12-31 och ska följas upp av IT-direktören. Arbete för åtgärder av identifierade avvikelser skall ha initierats under 2013 och rapporteras löpande till IT-direktören. Region Skåne Beredningen för integritetsfrågor
Koncernkontoret IT-avdelningen Martin Svensson 0736-250609 martin.x.svensson@skane.se BILAGA Datum 2012-10-31 1 (5) Bilaga 1 Aktiviteter för att öka tillgänglighet och säkerhet i Region Skånes datorsystem
Sida 2 av 5 Ansvar och mandat Region Skåne har ett ansvar mot invånare och patienter att deras information skyddas mot sekretessförlust, obehörigt utnyttjande, obehörig ändring, förvanskning samt vara spårbar när den finns i våra informationsbehandlingsresurser (information, IT system, tillämpningssystem, register, program, utrustning och samtliga användare) och IT utrustning. I det avseendet bidrar alla aspekter av IT säkerheten, från logiska nätverksstrukturer och ett bra skydd mot virus, till tydliga och rätt anpassade processer och system. Detta arbete och dess resultat behöver ge effekt på samtliga system som hanterar patientinformation och vi behöver få en kontroll av följsamheten av detta arbete. Sedan 2009 har ITavdelningen fått avsevärt bättre möjligheter till att etablera en sådan kontroll genom organisatoriska förändringar, etablerandet av nya processer samt teknisk utveckling av vår infrastruktur. IT avdelningen skall leda arbetet att etablera en IT säkerhetsorganisation vars uppgift skall vara att tillse god kontroll och att bidra till en kontinuerligt förbättrad IT säkerhet och att uppfylla krav ställda från Informationssäkerhet, i Region Skånes informationsbehandlingsresurser och IT utrustning. Sammanställning av information IT avdelningen ser en stor utmaning med att inte ha kännedom eller kunskap om alla system som innehåller patientinformation ur flera aspekter. Sett från lagar och regler som styr oss så är det ett krav för att kunna mäta vår uppfyllnad av bland annat patientdatalagen. Ur en arkitekturell vy behöver vi bättre kunskap om vad som är rätt nivå av IT säkerhet för olika informationsbehandlingsresurser, för att kunna erbjuda den bäst anpassade lösningen. IT avdelningen skall initiera och leda arbetet och tillsammans med medicinsk teknik identifiera och förteckna system som hanterar patientinformation. Resultatet av arbetet skall leda till information om ägare, tekniskt förvaltningsansvar, uppfyllnad av lagkrav, standarder samt Region Skånes policys, tillämpningsanvisningar och anvisningar för våra system. Avvikelser skall registreras och en åtgärdsplan skall utformas av ansvarig tjänsteförvaltare eller systemförvaltare. Målbilden är att Region Skånes CMDB skall användas som register tillsammans med systemrelationskartan.
Sida 3 av 5 Utformning av tillämpningsanvisningar och anvisningar Ett grundkrav på säkerhet i informationssystem är att informationen ska vara tillgänglig och skyddas mot sekretessförlust, obehörigt utnyttjande, obehörig ändring, förvanskning samt vara spårbar. Detta område spänner över hela tjänstekedjan, från brukare via IT stöd till servern i serverhallen, och säkerhetsaspekten är viktig i varje länk i kedjan. Fysisk åtkomst Fastställa krav på att endast i utsedda datorhallar skall system som hanterar patientuppgifter få förekomma. Fysisk åtkomst ges till personer efter behov. Spårbarhet för samtliga besök skall finnas i utsedda datorhallar. Nätverksåtkomst Under 2013 kommer Region Skånes datanätverk att delas upp i olika säkerhetszoner för att bättre kunna uppfylla verksamheternas krav. Beslutad tillämpningsanvisning för segmentering av RSnet gäller som underlag för 2013 års förändringar och framåt av RSnet IT avdelningen leder arbetet att tillsammans med medicinsk teknik, Region Service och övriga intressenter ta fram krav på anslutna enheter till de informationszoner som ger tillgång till patientinformation. Region Skånes ledningssystem för informationssäkerhet skall ligga till grund för dessa krav. Att besluta om regelverk för att varje ansluten dator eller enhet till RSnet skall behörighetskontrolleras innan nätverksåtkomst aktiveras. Endast datorer och utrustning som är hanterade och uppfyller Region Skånes krav skall ges åtkomst till system innehållandes patientuppgifter. Datorer eller utrustning som inte uppfyller de överenskomna kraven kommer placeras i en separat säkerhetszon för att skydda våra journalsystem och liknande patientkritiska system. Att kunna spåra åtkomsten från alla anslutna enheter och datorer Åtkomst mellan system I samband med att Region Skåne förnyar och vidareutvecklar våra system så ökar även informationsutbytet mellan dessa. IT avdelningen leder arbetet att ta fram en gemensam standard för utbyte av information. Standarden skall uppfylla Region Skånes krav på sekretess, tillgänglighet, riktighet/integritet och spårbarhet och skall gälla för samtliga uttag eller förändring av information i system innehållandes patientuppgifter.
Sida 4 av 5 Användares åtkomst till applikation Region Skåne har i dagsläget inte ett samlat regelverk som styr åtkomst eller autentiseringsform till våra informationssystem och IT stöd. IT avdelningen leder arbetet för en översyn av rutiner och anvisningar av autentiseringsformer, lösenord och gruppkonto, med avsikt att ha en (1) gemensam anvisning som styrande dokument. IT avdelningen initierar en kartläggning av olika informationssystems autentiseringsbehov för att stödja ovanstående rutiner och anvisningar. Åtkomst för underhåll Personer som underhåller våra IT system har som en naturlig del i sitt arbete en stor tillgång till information i våra system. Region Skåne har i dagsläget inte en samlad bild över denna åtkomst. Med bakgrund på mängden information som nås och vilken påverkan denna åtkomst kan få hos Region Skånes verksamheter behöver IT avdelningen Initiera en översyn av befintliga rutiner och anvisningar avseende lösenord Tillse att åtkomst för underhåll i patientsystem föregås av stark autentisering av samtlig personal Tillse att åtkomst för underhåll av informationssystem begränsas till att ske från avsedd säkerhetszon Etablera behörighetsstyrning för extern personal/leverantörer för att endast tillåta åtkomst till specificerade system och tidsperiod efter behov av Region Skåne Gemensamma krav på IT säkerhet Oavsett placering eller ansvarig så kan våra klienter, servrar och applikationer påverkar och påverkas av varandra, vi behöver därför ha gemensamma krav och lösningar på IT säkerheten i våra system oavsett om de hanteras av IT avdelningen, medicinsk teknik eller annan verksamhet. IT säkerheten skall vara anpassad efter den typ av information som behandlas samt vilken säkerhetszon den tillhör. IT avdelningen skall initiera och leda ett arbete med mål att ha beslutade krav för samtliga klienter, servrar, applikationer eller system avseende IT säkerhet och dess möjlighet att ansluta till andra system innehållandes patientinformation Att endast känd utrustning som uppfyller fastlagda policys och riktlinjer får anslutas till säkerhetszoner innehållande patientkritiska system
Sida 5 av 5 Uppföljning och efterlevnad Ett datorsystems uppfyllnad och efterlevnad av lagkrav, standarder och beslutade policys, regelverk krävs under datorsystemets totala livslängd. Dessa krav och policys kan även förändras vilket kan påverka datorsystemen. IT avdelningen leder arbete med att ta fram rutiner för att mäta och följa upp system innehållandes patientinformation avseende lagkrav, policys, riktlinjer, tillämpningsanvisningar och anvisningar för att säkerställa uppfyllnad.