Value Conflicts and Information Systems Security in Health Care

Value Conflicts and Information Systems Security in Health Care Fredrik Karlsson fredrik.karlsson@oru.se Karin Hedström karin.hestrom@oru.se Ella Kolkowska ella.kolkowska@oru.se

Agenda Syftet med projektet Behovet av fördjupad kunskap om regelföljande ( compliance ) Vårt tillvägagångssätt Metoden Teorier bakom Analysramverk Arbetssteg Analysresultat Designprinciper Fortsatt forskning, fortsatta utmaningar

Syftet med projektet a) göra en jämförelse mellan föreskrivna informationssäkerhetsvärden och informationssäkerhetsvärden i användning, b) utveckla en metod för att identifiera aktörer och göra en jämförelse mellan föreskrivna informationssäkerhetsvärden och informationssäkerhetsvärden i användning. 1. en lista över värdekonflikter mellan regler rörande informationssäkerhet i och informationssäkerhet i praktiken inom sjukvården; 2. en lista över aktörer som är viktiga att identifiera när man arbetar med informationssäkerhetsregler i sjukvården; 3. skapa en metod för att identifiera aktörer, värden och värdekonflikter kring informationssäkerhet i en organisation; 4. spridning av forskningsresultaten.

Behovet av fördjupad kunskap om regelföljande ( compliance ) Medvetet och omedvetet Tekniskt problem Brist på regelföljande Policies Regelföljande Rationaliteten (varför?) Socio-tekniskt Fokus på handlingar

Behovet av fördjupad kunskap om regelföljande Konflikt mellan värden Handlingar är snävt Förändra kulturen Är bakomliggande varför betydelsefullt? Kräver kunskap om rationalitet Investeringar

Vårt tillvägagångssätt Designteori: kärnteorier, designprinciper, hypoteser Extern grundning Design science Metodförslag: Analysramverk Arbetssteg Intern grundning Empirigrundning Prövning av metoden, analysresultat, falsifiera hypoteser

Vårt tillvägagångssätt Extern grundning Informationssäkerhetsforskning Social Action Theory Organizational learning Tyst kunskap Design science Empirigrundning 2 x Karlskoga lasarett Paneler Konferenser Intern grundning Metodmodelleringsworkshops

Metoden teorier bakom Social Action Theory (Weber) Informationssäkerhetshandlingar och design av informationssäkerhets- regler är sociala handlingar. Components involved Types of social Means Goal Value Consequence Types of rationality actions Instrumental Practical, formal Value-oriented Substantive Affectual - Traditional -

Metoden teorier bakom Social Action Theory (Weber) Designprincip #1: A VBC method must provide support to distinguish between rational (instrumental and value-oriented) and non-rational (traditional and affectual) information security actions. Designprincip #2: A VBC method must provide explicit and thorough support for capturing (a) information security actions, (b) goals, and (c) values.

Metoden teorier bakom Organizational learning: Reflection in action (Argyris & Schön) Designprincip #3: A VBC method must provide a explicit support for (a) acknowledging the difference between information security policies and actual information security actions, and (b) associating rationalities with information security policies and actual information security actions.

Metoden teorier bakom Tyst kunskap (Polanyi) Artikulerbar (del av) handling Oartikulerbar (del av) handling Designprincip #4: A VCB method must capture both articulated and unarticulated information security actions.

Values-Based Compliance Framework 2.3 Related to 0..* 0..* 0..* Information security action 0..* Part of 0.. * 1..* Designs Actual Prescribed Use rationale 0..* 0..* 1..* 0..* Design rationale Goal contradiction 0..* 0..* 1..* 1..* 0* 0..* Carries out Goal Actor 0..* 1..* 0..* 0..* 0..* 0..* Goal achievement {xor} Value rationale Value contradiction 0..* 0..* Value achievement {xor} 0..* 0..* Value base Value 0..* 0..*

1. Decide on demarcation Metoden: Values-Based Compliance Analysis 2.5 2. Collecting policy documents 3. Analysis of prescribed actions 4. Interviews with policymakers 5. Analysis of design and value rationale [Enough data] 6. Collecting data about actual actions a. Interviews with policy users [Not enough data] 7. Identify actual actions b. Observations of policy use [Missing policy document] [Rationale missing] 8. Analysis of use and value rationale [Not enough data] [Enough data] 9. Compliance analysis [Not enough data] [Enough data]

Analysarbetet MGDS Cycle 1 MGDS Cycle 2 Generella policydokument för sjukhuset 6 Klinik specifika policydokument 1 2 Intervjuer policyutvecklare 3 Användarintervjuer 11 13 Observationsloggar 3 4 MGDS Cycle 1 MGDS Cycle 2 Läkare 1 1 Sjuksköterska 4 4 Undersköterska 1 1 Kurator - 2 Administrativ personal 5 5

Analysarbetet exempel

Analysresultat Kärnvärden Exempel: Operationalisering av riktighet Det är viktigt att informationen är fullständig. Det är viktigt att inaktuell information inte finns kvar i journaler Det är viktigt att dokumentera att informationens riktighet är kontrollerad

Analysresultat värdekonflikter bakom hantering av lösenord conflict support v1, v3 Values v2 värdekonflikter Prescribed ISAs: p1. Do not borrow passwords p2. Change passwords if you suspect someone else knows about the password p3. A password have to be constructed carefully. Avoid names, car numbers or anything that can connect the password to you Goals: g1. To make sure that only authorized people can access the information g2. To know who is dokumenting what Values: v1. It is important that patient Information is v4, v5 confidential (confidentiality) v2. It is important tto ensure accountability (accountability) v3. It is important to ensure Information integrity (integrity) p3 p1 p2 Prescribed g1 g2 g3 Goals g4 a1 a2 a3 a4 Actual Actual ISAs: a1. Some passwords are written on the wall. a2. You have a system for all passwords a3 You write passwords on notes you keep in your wallet. a4. A computer in the local office is always logged on to the system. One persons logs in and stays logged in. Goals: g3. To have easy access to the informaiton g4.to have usable password system Values: v4. It is important to be efficient (care produktivity) v5. It is important to have easy access to information (easy availability)

Analysresultat värdekonflikter vid uppdaterad och tillgänglig patientinformation conflict support Values v4 Prescribed ISAs: p1. Every important piece of patient information must be documented in medical records p2. Patient information has to be documented at once when you are with the patient Goals: g1. To keep medical records g2. To be able to follow the patient s medical history Values: v1. It is important keep information complete and updated (integrity) v2. It is important that patient s information is available (availability) p1 P2 Prescribed v1 g1 v3 v2 g3 g2 Goals g4 a1 a2 Actual Actual ISAs: a1. If the information deosn t lead to anything, no measures, or or if no one has any need for the information, I think one can wait documenting the information, as recording Information in medical records means extra work for the secreteries, without the information being of any use a2. One is careful about what you write in the medical records. You don t write in order to disclose a patient by writing something sensitive or offensive, since you know other people can read it. You write for instane family problem instead of writing exact what the problem is about Goals: g3.to protect patient s privacy g4. To be efficient Values: v3.it is important to ensure patient s privacy (privacy) v4. It is important to be efficient (efficiency)

Analysresultat värdekonflikter vid skydd av patientinformation conflict support Values v3 värdekonflikter Prescribed ISAs: p1. Medical records [paper] should be handled and kept so that unauthorized people cannot access them p2. Information concerning patient s social, medical and other sensitive informtaion must be carefully protected against disclose p3. Medical journals shall be kept in a locked box or document cabin. Documents in use can be kept in a binder at the nurses office Goals: g1. To protect patients information aganst disclose Values: v1. It is important that patient Information is confidential (confidentiality) p1 P2 P3 Prescribed g1 v1 v2 g2 Goals g3 a1 a2 a3 a4 Actual Actual ISAs: a1. We have new patients and new ordinations so we don t [have time] to read all information, because of that we use paper-notes. a2. In the evening, before closing, medical records for patients coming for consultation the next day are put on the desk a3. Lists containg information [names and social security numbers] about patients who are coming for consultation during the day are put up on the wall a4. We put the medical records at a special place close to the fax-machine. It isn t possible to lock this room. Goals: g2. To have easy access to information g3. To be efficient Values: v2. It is important to have easy access to information (easy availability) v3. It is important to be efficient (efficiency)

Analysresultat identifierade kärnvärden ISS-regler Ansvar Konfidentialitet Medvetenhet Riktighet Självbestämmande Spårbarhet Tydlighet Tillgänglighet Faktiskt handlande Ansvar Användbarhet Effektivitet Konfidentialitet Medvetenhet Personlig integritet Riktighet Självbestämmande Spårbarhet Tydlighet Tillgänglighet Vårdkvalitet

Analysresultat stark överensstämmelse ISS-regler Ansvar Konfidentialitet Medvetenhet Riktighet Självbestämmande Spårbarhet Tydlighet Tillgänglighet Faktiskt handlande Ansvar Användbarhet Effektivitet Konfidentialitet Medvetenhet Personlig integritet Riktighet Självbestämmande Spårbarhet Tydlighet Tillgänglighet Vårdkvalitet

Analysresultat konflikter ISS-regler Ansvar Konfidentialitet Medvetenhet Riktighet Självbestämmande Spårbarhet Tydlighet Tillgänglighet Faktiskt handlande Ansvar Användbarhet Effektivitet Konfidentialitet Medvetenhet Personlig integritet Riktighet Självbestämmande Spårbarhet Tydlighet Tillgänglighet Vårdkvalitet

Analysresultat metodbevis Identifiering av icke rationella non-compliance handlingar Exempel: hur personalen surfar och kollar hotmailkonton pga att alla andra gör det. Types of social actions Components involved Means Goal Value Consequence Types of rationality Instrumental Practical, formal Value-oriented Substantive Affectual - Traditional - Design princip #1: A VBC method must provide support to distinguish between rational (instrumental and value-oriented) and non-rational (traditional and affectual) information security actions.

Rationale lev vel Analysresultat metodbevis Compliance Non-compliance Compliance Action level (I) Rationality resonance exists, and the action is done properly. III) Rationality resonance does not exist, although the action is done properly. Non-compliance (II) Rationality resonance exists, although the action is not done properly. (IV) Rationality resonance does not exist and the action is not done properly. Designprincip #2: A VBC method must provide explicit and thorough support for capturing (a) information security actions, (b) goals, and (c) values. Design princip #3: A VBC method must provide a explicit support for (a) acknowledging the difference between information security policies and actual information security actions, and (b) associating rationalities with information security policies and actual information security actions.

Analysresultat metodbevis Artikulerbar (del av) handling: Exempelvis, intervjuresultat om hur läkare beskriver signering av testresultat Oartikulerbar (del av) handling Exempelvis, observation av hur små papperslappar används Design princip #4: A VCB method must capture both articulated and unarticulated information security actions.

DP# Designprinciper för Values-Based Designprincip Compliance metod 1 A VBC method must provide support to distinguish between rational (instrumental and value-oriented) and non-rational (traditional and affectual) information security actions. 2 A VBC method must provide explicit and thorough support for capturing (a) information security actions, (b) goals, and (c) values. 3 A VBC method must provide a explicit support for (a) acknowledging the difference between information security policies and actual information security actions, and (b) associating rationalities with information security policies i and actual information security actions. 4 A VCB method must capture both articulated and unarticulated information security actions.

Fortsatt forskning, fortsatta utmaningar Metoden har använts vid två fallstudier av projektgruppen. Den skulle förbättras kvalitetsmässigt om vi kunde följa andras arbete med den. IT-stöd för att minska komplexiteten i analysen. Den nuvarande versionen av metoden kräver mycket manuellt arbete i analysfasen. Det gör metoden svåranvänd i en praktisk situation. Att skapa en webbaserad kunskapsbas med tillhörande mätmetoder och mätinstrument för att mäta ledningens och användarnas informationssäkerhetsmål.