Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg 2 Vad är informationssäkerhet? Varför jobbar vi med informationssäkerhet? Informationssäkerhet handlar i huvudsak om att: - Medarbetare och patienter har tillgång till rätt och korrekt information när de behöver det - Att inga obehöriga kommer åt uppgifter När vi alla jobbar på ett informationssäkert sätt undviker vi avbrott i verksamheten och ser vi till att vår information alltid finns när vi behöver den (Tillgänglighet) är korrekt och inte manipulerad (Riktighet) endast är tillgänglig för behöriga personer (Konfidentialitet) loggas så att hanteringen går att följa (Spårbarhet)
Organisation Hur jobbar vi strategiskt med informationssäkerhet? De metoder vi använder oss av är informationsklassning, riskanalys, kontinuitetshantering, RH-check och avvikelsehantering. Informationssäkerhet är nära kopplat till IT-säkerhet, eftersom vårt arbete blir allt mer digitalt. Specifika styrdokument Ansvarsfördelning Interna - Ledningssystem för informationssäkerhet - Riktlinjer och rutiner Externa - Lagkrav och föreskrifter t.ex. patientdatalagen, personuppgiftslagen samt SOSFS 2008:14. Ansvaret följer generellt linjen, men det finns vissa funktioner som är utpekade i lagstiftning och regelverk. Regionstyrelsen (vårdgivaren) Verksamhetschef 8
Patientdatalagen (1 juli 2008) Möjlighet till sammanhållen journalföring Ökad patientintegritet och säkerhet Effektivisering vid handläggning av hälsoproblem och utvärdering Möjlighet till direktåtkomst för patient Patienten rätt att spärra journalinformation Förslag till ny hälso- och sjukvårdsdatalag Utredningen föreslår bland annat: Att regionen är huvudman och personuppgiftsansvarig för alla personuppgifter inom verksamheten (även andra vårdgivares) Att signeringskravet försvinner Möjlighet att spärra läkemedelslista och information om intolerans/överkänslighet tas bort Att privat vårdgivare, vars verksamhet finansieras av regionen, i vissa fall får lämna sekretessbelagda patientuppgifter till regionen 9 10 Förslag till ny hälso- och sjukvårdsdatalag, forts Att vårdgivare under samma huvudman (regionen) får möjlighet till direktåtkomst till varandras patientuppgifter utan att först informera patient. Patient har dock fortfarande spärrmöjlighet. Att kravet på samtycke vid sammanhållen journalföring slopas. Dock fortsatt krav på föregående information till patient och fortsatt spärrmöjlighet. Oklart om förslaget går igenom, bl. a. har Datainspektionen och Myndigheten för samhällsskydd och beredskap lämnat kritiska remissvar. Spärrfunktionalitet Uppgifter spärras, vilket innebär att direktåtkomst inte får ske från en annan vårdenhet eller vårdgivare inom sammanhållen journalföring. Teknisk funktionalitet i våra journalsystem/ medicintekniska produkter (prioritering och utmaningar) Patienten bestämmer Tillsyn från Datainspektionen 11
Åtkomstkontroll - loggning Vårdgivaren är skyldig att föra logg över åtkomst inom vårdgivaren. Vårdgivaren ska dokumentera regelbunden och systematisk loggningskontroll i syfte att förebygga, konstatera och beivra otillåten eller obefogad åtkomst till uppgifter. Alla ska loggas inte bara hälso- och sjukvårdspersonal utan även t.ex. IT-tekniker Vad ska finnas med i loggen? SOSFS 2008:14 (2:11) - vilka åtgärder som har vidtagits med patientuppgifterna - vid vilken vårdenhet och tidpunkt åtgärderna vidtagits - användarens och patientens identitet Hur har regionen löst logguppföljningen? - Varje IT-system måste logga ovanstående - Kontextlogg, sammanhållen uppföljning - Logpoint, sammanhållen uppföljning Patienten kan begära ut sin logglista 13 Krav vid användning av öppna nät SOSFS 2008:14 (2:5) Om vårdgivaren använder öppna nät för att hantera patientuppgifter, ska denne ansvara för att det i ledningssystemet finns rutiner som säkerställer att - överföring av patientuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna, och - åtkomst till patientuppgifter föregås av stark autentisering. Vad är ett öppet nät? Finns ingen legal definition Resonemanget kring öppet nät går ut på att flera aktörer har tillgång till och trafikerar nätet och därigenom har möjlighet att bereda sig åtkomst till personuppgifter som överförs eller görs åtkomliga via det. Ex. internet, sjunet 15
Vad är stark autentisering? Identiteten kontrolleras på minst två sätt - med någonting användaren kan t.ex. lösenord - med någonting användaren har t.ex. certifikat - med hjälp av användaren själv t.ex. fingeravtryck Även om ett autentiseringssätt uppfyller kravet på två faktorer kan det ändå vara olämpligt som lösning. har valt autentisering via SITHSkort Säkerhetskopiering SOSFS 2008:14 (2:16-17) - med vilken periodicitet säkerhetskopieringen ska göras, - hur länge säkerhetskopiorna ska sparas, och - hur ofta återläsningstester ska göras. Säkerhetskopieringen bör bygga på den informationsklassificering som gjorts på informationen som ska lagras. Säkerhetskopiorna ska förvaras på ett betryggande sätt och väl åtskilda från originaluppgifterna. Styrning av behörigheter Personuppgiftslagen Reglerar behandling av personuppgifter. SOSFS 2008:14 (2:6) - Behörigheter ska begränsas till vad som är nödvändigt för att ge en god och säker vård. - Behörigheterna ska bygga på en behovs- och riskanalys. - Behörigheterna ska vara individuella. Är underordnad annan lagstiftning. Syftet med PuL är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Datainspektionen är tillsynsmyndighet.
Vad är personuppgifter? All slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet. Även bilder (foton) och ljudupptagningar på individer som kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer. Begrepp Personuppgiftsansvarig Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen Personuppgiftsombud En fysisk person som fått i uppdrag av personuppgiftsansvarig att självständigt se till att personuppgifter behandlas på ett korrekt och lagligt sätt. Pseudonymiserade uppgifter är fortfarande personuppgifter. Personuppgiftsbiträde Den som behandlar personuppgifter på den personuppgiftsansvariges räkning. 22 Förslag på ny dataskyddsförordning Blir direkt gällande lag i Sverige Ska stärka den enskilde individen ytterligare Harmonisera medlemsländernas regelverk 23