Föreläsning SARE. Roger Lindblom Secorum AB

Relevanta dokument
Applikationsloggar. Vad vill vi göra Vad får vi får göra. Exempel från verkligheten. Roger Lindblom Secorum AB

Patientdatalagen (PdL) och Informationssäkerhet

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

Protect your digital enterprise HPE technology discussion. Michael Junhard Regional Sales Manager ESP, Sweden

Kan man skapa Windows-loggar som är förståeliga för en lekman?

Patientdatalagen. Juridik- och Upphandlingsstaben

Kändisspotting i sjukvården

ORGANISATIONSNUMMER: ADRESS: NORDENSKIÖLDSGATAN 14, GÖTEBORG

Tillsyn - äldreomsorg

Sekretess, lagar och datormiljö

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Tillsyn - äldreomsorg

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Hur får jag använda patientjournalen?

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

BÄTTRE ÖVERBLICK GER ÄNNU BÄTTRE VÅRD

Bättre överblick, ännu bättre vård.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

Bättre överblick, ännu bättre vård. Sammanhållen journalföring. Nya möjligheter för vården att få ta del av dina uppgifter.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen m.m.

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) behörighetsstyrning m.m. enligt patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst

RIKTLINJE NATIONELLA PATIENT ÖVERSIKTEN (NPÖ)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Förklaringar till Nationellt regelverk för enskilds direktåtkomst till journalinformation

Rutin för loggning av HSL-journaler samt NPÖ

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Bättre överblick, ännu bättre vård.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Bättre överblick ännu bättre vård. Sammanhållen journalföring ger nya möjligheter för vården att få ta del av dina uppgifter

Farsta stadsdelsnämnd är personuppgiftsansvarig för behandlingen av personuppgifter inom nämndens verksamheter.

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Regelverk avseende hantering av loggrapporter för vårdsystem samt åtgärder vid dataintrång

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Bättre överblick, ännu bättre vård. Bättre helhet. Sammanhållen journalföring. Nya möjligheter för vården att få ta del av dina uppgifter.

Gäller fr o m

Bättre överblick, ännu bättre vård. Sammanhållen journalföring. Nya möjligheter för vården att få ta del av dina uppgifter.

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Hur skyddas patientens integritet? Vad säger lagar och författningar och hur fungerar det?

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

MAS Kvalitets HANDBOK för god och säker vård

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

Samtycke vid direktåtkomst till sammanhållen journalföring

Patientdatalag. Patientdatautredningens huvudbetänkande SOU 2006:82 Patientdatautredningen

Nationell patientöversikt en lösning som ökar patientsäkerheten

Frågor och svar. Att ta del av, använda och utbyta uppgifter i hälso- och sjukvård och socialtjänst

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

SIEM FOR BEGINNERS WHITEPAPER TELEFON WHITEPAPER. ADRESS Sentor Managed Security Services AB Björns Trädgårdsgränd STOCKHOLM

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Sammanhållen journalföring

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av patientuppgifter genom direktåtkomst till apoteksstuderande

INFORMATION OM LÄMNAT SAMTYCKE

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

Sammanhållen journalföring med nationell patientöversikt (NPÖ)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Implantatinf JL AB:s DATASKYDDSPOLICY

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Sammanhållen journalföring och Nationell Patientöversikt i Västra Götalandsregionen

Svar från Datainspektionen på er begäran om samråd angående hälsoverktyg inom elevhälsovården

Rutin för loggkontroll av åtkomst till hälso- och sjukvårdsdokumentation

Riktlinjer för hälso- och sjukvårdsdokumentation

Vet du vad det står om dig? Om personuppgifter, patientjournalen, biobanker och nationella kvalitetsregister.

Sentrion och GDPR Information och rekommendationer

Riktlinjer för Informationshantering och journalföring i Hälso- och sjukvården. Norra närvårdsområdet Skaraborgs kommuner

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Granskning av polismyndigheternas användning av centrala säkerhetsloggen

Rätt information på rätt plats i rätt tid (SOU 2014:23) remissvar till kommunstyrelsen

Svevac - Beskrivning och tjänstespecifika villkor

Juridiska frågor och svar om försäkringsmedicinska utredningar rörande personuppgiftsbehandling och dokumentation

Juridik och informationssäkerhet

AVTAL OM SAMMANHÅLLEN JOURNALFÖRING

Patientdatalagen - till skydd och nytta. Anne Olmarker, chefläkare Sahlgrenska Universitetssjukhuset

Säker roll- och behörighetsidentifikation. Ulf Palmgren, SKL Webbseminarium

Åtkomst till patientuppgifter

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Studerandens möjligheter att ta del av och använda patientuppgifter

Information till dig som patient. Patientjournalen - för säkrare vård. Information om Sammanhållen journal och om Nationell Patientöversikt

Avtal LK 09-0

Vet du vad det står om dig? Om personuppgifter, patientjournalen, biobanker och nationella kvalitetsregister.

Patrik Sundström, huvudsekreterare Utredningen om rätt information i vård och omsorg. Utredningen om rätt information i vård och omsorg

Transkript:

Föreläsning SARE Roger Lindblom Secorum AB Roger.lindbolom@secorum.se 0737 500 650

Mål med dagens föreläsning Dagens logghantering hur ser den ut? Vad är modern logghantering? Vad finns utanför boxen Kravställ på ett nytt fungerande logghanteringssystem(egna övningar)

Behov av en förbättrad logghantering Orsaker Styrande lagstiftning Ex: Patientdatalagen Sammanhållen journalföring mellan vårdgivare Ett uttalat ansvar för behörighetsstyrning Att föra behandlingshistorik (loggar) och att följa upp loggarna Kommande Dataskyddsförordning från EU Kritik från tillsynsorganisation Ex: Datainspektionen DI:s tillsynsverksamhet ska bidra till att behandlingen av personuppgifter inte leder till otillbörliga intrång i enskilda individers personliga integritet. Skada som uppstått till följd av intrång, bristande detektering med mera Skada redan skedd genom förlust eller läckage av data Byxorna nere Problem med dagens logghantering Bristande information i loggarna Vad ska loggas? Svårförstådda loggar som kräver tolkning av tekniker

General Data Protection Regulation (GDPR) This is a Regulation not a Directive -will have immediate effect on all 28 EU Member States after the two-year transition period Replaces EU Data Protection Directive 95/46/EC (in Sweden PUL) Timeline: lawby the yearend 2015, transitionperiod 2 years Controversal law with high stakes further delay is highly probable The regulationis still a draft, thispresentation is basedon European Parliament legislative resolution of 12 March 2014

General principles for data subject rights Any person should have: Right of access-to data which has been collected concerning them, including information about the purposes of the processing, recipients to whom data has been disclosed, period for storage and the rights of the subject. Right to erasure of personal data concerning them, for example where the storage period consented to has expiredor consent is withdrawn.

Regelstyrd loggning FAP 174-1 Loggning ska ske av varje åtkomst till och aktiviteter i IT-system som är avsedda för behandling av särskilt skyddsvärda uppgifter i PUL 13, 21 samt som omfattas av Offentlighets- och sekretesslagen) Åtkomst är allt Ger ingen eller ringa vägledning i frågan om vad som ska loggas Effekt: Ingen kan logga allt, vilket innebär en begränsning som skiljer sig från projekt till projekt Resultat: Alla IT-system loggar olika information För att bygga en gemensam analysfunktion MÅSTE vi kravställa på vad vi ska logga

Ytterligare exempel på regelstyrd loggning Behovet av loggning och uppföljning av loggar bestäms av objektsägaren och utgår från verksamhetens behov och en informationsklassificering. Loggar ska finnas så att aktiviteter som utförs av personer med hög behörighet kan spåras. De ska även skyddas mot radering, manipulation och obehörig åtkomst. Vad ska då loggas? Vem inom verksamheten kan kravställa på vad som ska loggas?

Några problemområden inom myndigheter Är loggposten en allmänna handlingar? Rätt att ta del av allmän handling i form av globalfil, RegR dom 1999-04-14, mål nr 5556-1998 När uppstår loggposten som allmän handling? Tryckfrihetsförordningen 2 kap 3 (förklarar vad en allmän handling är). När uppstår loggposten som en allmän handling? Vad gäller om vi vill: Filtrera Berika Överföra loggdata till ett centralt arkiv Vad är kopia och vad är original? Krävs en enskild sekretessprövning av varje enskild loggpost vid begäran om ett utlämnande??

Så här ser det ut idag (regelstyrd loggning) Olika Information Avsaknad av information Obegripligt Avsaknad av kontext Olika format INGEN KORRELERING??

Att ta sig utanför boxen Vägen till förståelse mot en fungerande logghantering Genom att utgå från analysbehoven Genom kravställning

Googla på orden logghantering och definition Vad är logghantering Högst rankat resultat: En föreläsning av Roger Lindblom från konferensen Rätt Säkerhet 5 maj 2010 utlagd på www.sis.se Ranking nr 2: E-uppsats angående Försvarsmaktens upphandlingsunderlag av ett nytt logghanteringssystem, en uppsats om ett upphandlingsunderlag skrivet av bland annat Roger Lindblom på Försvarsmakten åren 2008 2009. www.diva-portal.org(digitala Vetenskapliga Arkivet) VÅR DEFINITION AV LOGGHANTERING utgörs av loggpostens livscykel kopplat till en modern logghanteringsprodukt Skapa (kräver kravställning på vad som ska loggas) Insamla (kräver kravställning på hur insamlingen ska gå till) Bearbeta (kräver kravställning på vad som kan bearbetas i form av adderas, filtreras, berikas m.m.) Lagra (Kräver kravställning på vad som är en säker lagras, lagringstider m.m.) Analysera (Kräver kravställning på vad som är våra analysbehov) Radera (Kräver kravställning på vad som ska raderas, hur det ska ske och var)

Begrepp inom området logghantering SIEM system: Security Information & Event Management Kombination av logghantering och realtidsanalys Normalisering Mappning mot analysfunktionens schema Kategorisering Identifiering av loggpostens andemening Korrelering Beskriv andemeningen i en enskild loggpost Aggregering 1.000 visas som 1 Taxonomi Produktens schema och bild av världen

Vad är en loggpost? Subjekt Objekt Operation Användare Process Händelse Skapa Läsa Söka Radera Uppdatera Dokument Fil

Nätverksmodellering Geografisk plats AD-upslag(namn, roll) Kostnadsställe Systemnamn DiarieNr Sessions-ID (UUID) Ort Lokalkontor Objekt-Typ Objekt-ID-Typ Objekt-ID ObjektInfo Info Pekare Korrelering LogMap Metadata Objekt Kontext Mer utvecklad loggpost Vad ska loggas Create Read Search Update Delete Händelse H-typ Anv Tid Plats Användar-ID Certifikatserienummer Klient IP-Adress LoggenererandeIP-Adress Loggenererande system-id MAC-Adress Datornamnn Olika tidsstämplar för olika ändamål När loggposten skapas När loggposten tas emot av agenten När loggposten tas emot av analyssystemet När loggposten tas emot av arkivet

Lokal loggkontroll (kodade värden i loggen) Kombination av logg och databas Lågt informationsvärde + 1. 2010:04:15 12:00:10+0200 Läsa 191212121212 Intervju Dokument_id 5068799 0 319752 1 319752 20100505140000 EXD_REFRESH TB E 938 1 1 938 191212121212 1 = Loggrapport Högt informationsvärde 2. SELECT dokumentnamn, forfattare FROM Tabell_X WHERE Dokument_id= 5068799 ; 3. 12:00:10+0200 Läsa 191212121212 Intervju Dokument_id 506879 9 0 Intervju med Sture Svensson 2010-05-05 kl 14:00 Roger Lindblom 0 319752 1 319752 20020529135723 EXD_REFRESH TBE 938 1 1 938 191212121212 1 RESULTAT En loggrapport som är helt OK

Central logganalys Samma logg 2010:04:15 12:00:10+0200 Läsa 191212121212 Intervju Dokument_id 5068799 0 319752 1 319752 20100505140000 EXD_REFRESH TBE 938 1 1 938 191212121212 1 + Applikationens databas nås ej = = 2010:04:15 12:00:10+0200 Läsa 191212121212 Intervju Dokument_id 5068799 0 319752 1 319752 20100505140000 EXD_REFRESH TBE 938 1 1 938 191212121212 1 RESULTAT Analysen kan inte fullföljas utan uppslag mot applikationens databas. Dokument-ID 5068799 säger inget utan översättning

Exempel på en fungerande loggning Loggad Läsa händelse Ärende 17/10 Intervju Subobjekt B Subobjekt C Må Vittne Mt Annat Skiss Foto Annat Utlåtande Annat Intervju 1 Intervju 2 Intervju 3 Förhör 1 Förhör 2 Förhör 3 Förhör 1 Förhör 2 Förhör 3 Förhör 1 Förhör 2 Förhör 3 Skiss 1 Skiss 2 Skiss 3 Foto 1 Foto2 Annat 1 Annat 2 Annat 3 FV1 1455 System A KFM 20140303T17:14:05.438+0200 EX123456 3b86c21c264a4117bbda4878fe95f14 192.168.10.12 173.122.10.22 PC-1234 systema.rsv.se Read 0 Intervju,Må Intervju-ID Intervju2 Diarienr=0203-K17-10

Vad vi kan göra idag med modern logghantering Korrelera, det vill säga se samband mellan händelser som sker i loggposter från samma eller olika IT-system Samordningsvinsten inom en organisation Vilka gör slagningar mot objekt under bevakning? Vilka hanterar samma ärende ovetande om varandra? Logistiklösningar inom flyget Passagerare och bagage ombord på samma plan Jämförelse mellan teori och verklighet En organisations bedömning av framgång efter nya tekniska installationer för att minimera hot och en felaktig informationshantering Användarnas hantering av informationen i ett eller flera IT-system före, under och efter en utbildning Visualisera organisationens minne och lära av genomförda misstag Spela upp ett beteende och följ varje steg i syfte att lära inför framtiden Visualisering av flöden mellan olika IT-system och dess funktioner Patientremisser

Kravställning och metoder

Logghantering Topdown

Vi snor en modell som redan finns Nya IT-system Återkoppling Nuvarande ITsystem Insamling Bearbetning Analys Spridning Data Data/Information Information

Som anpassas den till våra behov och syften Nya IT-system Syfte, Mål, Analysbehov Återkoppling Nuvarande ITsystem Insamling Bearbetning Analys Spridning Data Data/Information Information

Syfte (utgångsläge grupparbete) 1. Det ska gå att leverera loggutdrag som är förståeliga för en lekman. 2. Övergå från en manuell reaktiv analys till en maskinell regelbaserad realtidsanalys 3. Använda loggdata i syfte att minimera eller eliminera fortsatt informationsläckage eller informationsförlust (detektering och reaktion) genom att analysera loggdata i realtid 4. Det ska vara möjligt att fatta långtgående interna och externa beslut baserat på tilltron till loggpostens informationsinnehåll 5. Loggposten ska återspegla användarens operationer i IT-systemet, inte systemets operationer 6. Analysen ska kunna baseras på åtkomsten till den samlade mängden information (korrelering)

Journalsystem Kassasystem Remissystem Receptsystem Journalsystem Kassasystem Remissystem Receptsystem CSL

Patientdatalagen kravställer på en: Sammanhållen journalföring, vilket innebär att flera vårdgivare kan ge och få direktåtkomst till varandras journalhandlingar om de uppfyller patientdatalagens krav. Inre sekretess en reglering som innebär att bara den som behöver uppgifterna i sitt arbete inom hälso-och sjukvården får ta del av patientuppgifter. Detta förtydligas genom att det i lagen ställs krav på behörighetstilldelning och åtkomstkontroll. (Räcker det? Kan man på förhand säga vem som blir sjuk?) Patienten har rätt att spärra uppgifter både i vårdgivarens journalsystem och för andra vårdgivare vid sammanhållen journalföring. Vårdgivare har en möjlighet att ge patienten direktåtkomst, exempelvis via internet, till vårddokumentation och loggar (det vill säga historiken för behandlingen av personuppgifterna).

Grupparbete Grupparbete med 6-7 deltagare i varje grupp Varje grupp får samma arbetsuppgift: Ni utgör förvaltning och verksamhet kring ett (av fyra) sjukjournalsystem som ska anslutas till en Central Säkerhetslogg Beroenden finns mellan följande system: Patientavgift (kassan) Sjukgymnastik Remiss Recept 1. Vilken känslig info kan tänkas finnas i de olika patientjournalsystemen? 2. Vilka analysbehov kan tänkas finnas (vad vill vi kunna upptäcka?) 3. Vilka händelsetyper är aktuella att logga (Söka, Läsa, Uppdatera, Inloggning m.m.) REDOVISNING 3. Vilka händelsetyper i systemet bör loggas (läsa, skriva?) 4. Vad ska loggas för att uppfylla analysbehoven? (ingår inte i övningen) Härledning från dina analysbehov

Analysbehov i övningen Följa olika remissflöden Kedjan provtagning, labbundersökningar och svar Förekommer överdosering av läkemedel Missbruk av mediciner Besöker en patient flera olika sjukvårdsinrättningar med samma besvär Fanns en vårdrelationer mellan patient och vårdinrättning dagen för slagningen eller ej Remisser Kassan Sjukgymnastik Vilka har läst min journal När spärras en patient sin journal Vilka läser spärrade journaler Tilldelade behörigheter i journalsystemet (alla gånger ett AD)

Var finns dina kravställare? Dagens beställaren av loggrapporter Internrevision Systemägare Incidentutredningsteam Interna utredningsenheter Chefsjurist Säkerhetschef Hos personal som gör dagens loggutdrag Hos logganalytiker inom andra organisationer (samverkan) Konsulter som byggt upp logghanteringsförmågan tidigare

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss