Värderingar bakom informationssäkerhet

Relevanta dokument
Att analysera värderingar bakom inforamtionssäkerhet. Fil. Dr. Ella Kolkowska

Att analysera värderingar bakom informationssäkerhet

Kultur, arbetssituationer och beteenden: hur påverkas informationssäkerheten?

Value Conflicts and Information Systems Security in Health Care

Den uppfinningsrika vårdpersonalen om konflikten mellan verksamhet och informationssäkerhet

Påverkar organisationskulturen informationssäkerheten?

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

Sammanhållen journalföring med nationell patientöversikt (NPÖ)

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Informationssäkerhet i patientjournalen

Välkommen Expertanvändarträff Siebel och Phoniro

INFORMATIONSSÄKERHET EN PATIENTSÄKERHETSFRÅGA

Informationssäkerhet, ledningssystemet i kortform

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Towards National Deployment of Online Medical Records and ehealth Services - DOME

I n fo r m a ti o n ssä k e r h e t

ProReNata Journal. Snabbstart

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Sekretess, lagar och datormiljö

INFORMATIONSSÄKERHET EN FÖRUTSÄTTNING FÖR GOD INFORMATIONSHANTERING

Riktlinje för informationshantering och journalföring

Riktlinje för hälso- och sjukvårdsdokumentation

Informations- säkerhet

Att patientens delaktighet i vården ska kunna öka genom ett för denna uppgift anpassat ITstöd.

Meddelandeblad. Mottagare: Nämnder och verksamheter i kommuner med ansvar för vård och omsorg, medicinskt ansvariga sjuksköterskor,

Informationssäkerhetspolicy för Ystads kommun F 17:01

Dokumentation Hälso- och sjukvård HSL

Sammanfattning av riktlinjer

Kändisspotting i sjukvården

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Vad är säker information? En kritisk diskussion. Björn Lundgren Doktorand, Avdelningen för Filosofi, KTH

Etisk hantering av patientinformation och forskningsresultat

Patientdatalagen (PdL) och Informationssäkerhet

HÄLSO- OCH SJUKVÅRDSDOKUMENTATION SAMT BEHANDLING AV PERSONUPPGIFTER

Information till legitimerade tandhygienister. Kvalitetssäkra patientjournalen

Folktandvården Stockholms län AB. Tandsköterskedagen

Policy för informations- säkerhet och personuppgiftshantering

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

Riktlinjer för Informationshantering och journalföring i Hälso- och sjukvården. Norra närvårdsområdet Skaraborgs kommuner

Välkomna! FOKUS-kväll Säkerhetsaspekter kring patientens journal på nätet

RIKTLINJER FÖR DOKUMENTATION UNDER GENOMFÖRANDET av bistånd och insats enligt SoL/LSS och HSL för personal inom äldreomsorgen

Riktlinjer för dokumentation och informationshantering inom hälsooch sjukvårdens område i Nyköpings kommun

2 kap. Ansvar för informationssäkerhet. Vårdgivarens ansvar

NPÖ Nationell patientöversikt

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Etik och etikansökningar Praktiska synpunkter Vad skall man tänka på?

Varför följer inte användarna reglerna? Foto: istockphoto

HÄLSO- OCH SJUKVÅRDSDOKUMENTATION SAMT HANTERING AV JOURNALUPPGIFTER

Förstudie e-arkiv Begreppslista Begreppslista 1.0

Läkarsekreterarforum 2012

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet

I Central förvaltning Administrativ enhet

Basutbildning i Hälso- och sjukvård - Detta dokument är ett skriftligt komplement till Basutbildningsfilmen.

Samtycke vid direktåtkomst till sammanhållen journalföring

Dokumentation och sekretess hos de medicinska delarna av elevhälsan Skolsköterskekongress 2012

Utfärdande av intyg inom kommunens hälsosjukvård.

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

Vad skall man göra, vad bör man göra, vad får man göra och vad kan man låta bli att göra? Lars-Olof Tobiasson Skånevård Kryh

PM 2015:127 RVI (Dnr /2015)

Riktlinjer för hälso- och sjukvård inom Stockholms stads särskilda boenden, dagverksamheter och dagliga verksamheter. Läkemedelshantering

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Lokala riktlinjer informationshantering och journalföring, inom elevhälsans medicinska och psykologiska delar, Alingsås Kommun

Handledning i informationssäkerhet Version 2.0

Delegering. av arbetsuppgifter inom hälso- och sjukvård. Del 1. Utbildningskompendium. för. delegeringsutbildning

Åtkomst till patientjournal för vårdens personal - blankett, Uppdrag att journalgranska

Verksamhetsplan Informationssäkerhet

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Region Stockholm Innerstad Sida 1 (5) Sjuksköterskor Medicinskt Ansvarig för Rehabilitering. Medicinskt Ansvariga

Profession i förändring: Kärnkompetenser i omvårdnad- och vårdvetenskap.

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Säkerhet i fokus. Säkerhet i fokus

BESLUT. Datum Dnr Tillämpningsanvisningar om Rätt att ta del av patientuppgifter inom Region Skåne

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Regel för hälso- och sjukvård: Nationella Kvalitetsregistret

Att bilda ett etiskt råd. Egen erfarenhet.

Informationssäkerhetspolicy inom Stockholms läns landsting

Riktlinjer för samtal med medarbetare beträffande loggranskning

Lösenordsregelverk för Karolinska Institutet

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

RIKTLINJE NATIONELLA PATIENT ÖVERSIKTEN (NPÖ)

Konferens om tandtekniska arbeten den 26 januari 2011

Anvisning för läkemedelsgenomgång och läkemedelsberättelse samt dokumentation

Rätt information på rätt plats i rätt tid (SOU 2014:23) remissvar till kommunstyrelsen

Jens Larsson,

Informationssäkerhet och dokumentation i hälsooch sjukvården

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Hälso- och sjukvårdspersonal som arbetar i ideella föreningar

Patientsäkerhetsberättelse Hélène Stolt Psykoterapi & Ledarskap AB

Beslutad av Magnus Johansson, vård- och omsorgsdirektör den 4 april 2016.

Verksamhetsdriven informationssäkerhet genom informationsklassning och målgruppsanpassade riktlinjer

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Transkript:

Värderingar bakom informationssäkerhet Fredrik Karlsson, Informatik, Handelshögskolan vid Örebro universitet fredrik.karlsson@oru.se 2012-11-21 1

Agenda Varför är värderingar av intresse? Metod för att analysera värdekonflikter Tre exempel från sjukvården Identifierade värdekonflikter Klassificering av regelföljande och regelbrott 2012-11-21 2

Kontrollbaserat regelföljande Anställda skall styras och regleras 2012-11-21 3

Värdebaserat regelföljande Bör vi förstå argumenten bakom anställdas handlande? 2012-11-21 4

Mål och värderingar styr informationssäkerhetsarbete Måll Värderingar Måll Värderingar Kravställer till Systemutvecklare Skapar Informationssäkerhetsansvarig Måll Värderingar IT-system Policies Skapar Faktisk situation Bedömer Handlar Resultat Medarbetare 2012-11-21 5

Vad grundas argument i? Typ av handlande Mental process Typ av rationalitet Traditionsbaserad Icke rationell - Affektuellt Icke rationell - Värde-orienterat Instrumentellt Beslut baseras på ett värdesystem som är kontextberoende Mål-medelberäkning Användning av teoretiska modeller Substantiv Praktisk, Formell Teoretisk 2012-11-21 6

Värderkonflikter? Måll Värderingar = Måll Värderingar Medarbetare vs Informationssäkerhetsansvarig Måll Värderingar Måll Värderingar Medarbetare Informationssäkerhetsansvarig 2012-11-21 7

Metod för att analysera värdekonflikter i informationssäkerhetsarbete 1. Bestäm avgränsning 2. Samla in policydokument 3. Analys av handlingsföreskrifter [Behov av fler dokument] 4. Intervju med policyutvecklare 5. Analys av designrationalitet [Behov av fler intervjuer] 6. Samla data om faktiska informationssäkerhetshandlingar [Behov av mer data] 7. Analysera faktiska informationssäkerhetshandlingar 8. Analys av användningsrationalitet 9. Analys av regel- och värdeföljande 2012-11-21 8

Exempel: ett svenskt sjukhus 2012-11-21 9

Lösenordshantering Föreskrivet handlande p1. Låna inte lösenord p2. Byt lösenord om du tror någon känner till lösenordet p3. Ett lösenord skall väljas noggrant. Undvik namn, bilnummer och allt som kan associeras till dig som person. Mål: g1. Att säkerställa att endast auktoriserad personal har tillgång till informationen g2. Att veta vem som dokumenterar vad Värden: v1. Det är viktigt att informationen är konfidentiell (konfidentialitet) v2. Det är viktigt att garantera ansvar v3. Det är viktigt med information inte manipuleras (integritet) p3 v1, v3 Värden v4, v5 v2 Stöd Konflikt Faktiskt handlande a1. Vissa lösenord finns på väggeb. a2. Du har ett system för lösenord a3. Du skriver upp lösenordet och har i plåboken. a4. En dator på kontoret är alltid påloggad. En person är alltid. Mål: g3. Att ha enkel tillgång till information g4. Att ha ett användbart passordssystem Värden: v4. Det är viktigt att vara effektiv v5. Det är viktigt att ha enkel tillgång till information p1 p2 Föreskriven handling g1 g2 g3 Mål g4 a1 a2 a3 a4 Faktiskt handlande

Uppdatera och gör patientinformation tillgänglig Föreskrivet handlande p1. All viktig patientinformation måste omedelbart dokumenteras i journalen p2. Patientinformation skall dokumenteras omedelbart efter mötet med patienten Mål: g1. Att föra patientjournal g2. Att det skall vara möjligt att följa patientens medicinska historia. Värden: v1. Det är viktigt att informationen är fullständig v2. Det är viktigt att informationen är tillgänglig för behöriga personer v1 Värden v4 v3 v2 Stöd Konflikt Faktiskt handlande a1. Om informationen inte leder till någonting, några åtgärder, eller att det inte finns någon som behöver informationen så tycker jag man kan vänta med att dokumentera. För dokumentera i journalen ger extra arbete för sekreterarna. a2. Man är försiktigt med vad man skriver i journalen. Du skriver inte något som kan avslöja patienten genom att skriva något känsligt eller stötande då andra kan läsa det. Du skriver familjeproblem istället för att skriva exakt vad det handlar om. Mål: g3. Att värna om patientens integritet g4. Att vara effektiv Värden: v3. Det är viktigt att garantera patients integritet v4. Det är viktigt att vara effektiv p1 P2 Föreskriven handling g1 g2 Mål g3 g4 a1 a2 Faktiskt handlande

Skydd av patientinformation Föreskrivet handlande p1. [Pappers]journaler skall hanteras och förvaras så att obehöriga personer inte får tillgång till dem p2. Information om patients sociala, medicinska och annan känslig information skall skyddas noggrant för att inte avslöjas. p3. Medicinska journaler skall förvaras i en låst låda eller i ett dokumentskåp. Dokument skall förvaras i en mapp på sjuksköterskornas kontor Mål: g1. Att skydda patientinformation mot avslöjande Värden: v1. Det är viktigt att information är konfidentiell v1 Värden v3 v2 Stöd Konflikt Faktiskt handlande a1. Vi patientinformation och nya ordinationer så har inte tid att läsa all information, därför har vi papperslappar. a2. På kvällen, före vi stänger, så lägger vi fram morgondagens patientjournaler på disken. a3. Listorna på väggen innehåller patientinformation [namn och personnummer] som skall komma på besök under dagen a4. Vi placerar journalerna på ett speciellt ställe när faxen. Det är inte möjligt att låsa rummet. Mål: g2. Att ha enkel tillgång till information g3. Att vara effektiv Värden: v2. Det är viktigt att ha enkel tillgång till information v3. Det är viktigt att vara effektiv p1 p2 p3 Föreskriven handling g1 g2 Mål g3 a1 a2 a3 a4 Faktiskt handlande

Analysresultat: Identifierade värden Informationssäkerhetsregelverk Ansvar Konfidentialitet Medvetenhet Riktighet Självbestämmande Spårbarhet Tydlighet Tillgänglighet Faktiskt handlande Ansvar Användbarhet Effektivitet Konfidentialitet Medvetenhet Personlig integritet Riktighet Självbestämmande Spårbarhet Tydlighet Tillgänglighet Vårdkvalitet

Analysresultat: överensstämmelse Informationssäkerhetsregelverk Ansvar Konfidentialitet Medvetenhet Riktighet Självbestämmande Spårbarhet Tydlighet Tillgänglighet Faktiskt handlande Ansvar Användbarhet Effektivitet Konfidentialitet Medvetenhet Personlig integritet Riktighet Självbestämmande Spårbarhet Tydlighet Tillgänglighet Vårdkvalitet

Analysresultat: konflikter Informationssäkerhetsregelverk Ansvar Konfidentialitet Medvetenhet Riktighet Självbestämmande Spårbarhet Tydlighet Tillgänglighet Faktiskt handlande Ansvar Användbarhet Effektivitet Konfidentialitet Medvetenhet Personlig integritet Riktighet Självbestämmande Spårbarhet Tydlighet Tillgänglighet Vårdkvalitet

Argumentationsnivån Klassificering av regelföljande och regelbrott Handlingsnivån Regelföljande Icke regelföljande Regelföljande (I) Argumentativ överensstämmelse finns, och handlingen utförs som den skall (II) (I) Argumentativ överensstämmelse finns, men handlingen utförs som den skall Icke regelföljande (III) Argumentativ överensstämmelse finns inte, men handlingen utförs som den skall (III) Argumentativ överensstämmelse finns inte, och handlingen utförs inte som den skall

Mer information Urval av vetenskapliga publikationer: Hedström K, Kolkowska E, Karlsson F, Allen JP (2011) Value conflicts for information security management. Journal of Strategic Information Systems, Volume 20, Issue 4, 373-384. Karlsson F, Hedström K (2008) Exploring the Conceptual Structure of Security Rationale. AIS SIGSEC Workshop on Information Security & Privacy (WISP2008), 13 December, Paris, France. Kolkowska E, Hedström K, Karlsson F (2012). Analyzing Information Security Goals. In Threats, Countermeasures, and Advances in Applied Information Security (Eds. Gupta M, Walp J, and Sharman R), IGI Global, pp. 92-111. 2012-11-21 17