Sikkerhed i en digitaliseret sundhedssektor. Sikkerhed og Revision 8. September 2017

Størrelse: px

Starte visningen fra side:

Download "Sikkerhed i en digitaliseret sundhedssektor. Sikkerhed og Revision 8. September 2017"

Fredrik Therkildsen
6 år siden
Visninger:

1 Sikkerhed i en digitaliseret sundhedssektor Sikkerhed og Revision 8. September 2017

2 Pia Jespersen Chefkonsulent, CISM, ESL

3 Præsentation Sundhedsdatastyrelsen Pia Jespersen Intern driftsfunktion i Sundheds- og Ældreministeriet Myndighed i forhold til fastlæggelse af it-standarder på sundhedsområdet Ansvarlig for alle registre med sundhedsdata til brug for analyser og videnskabelige undersøgelser Digitaliseringsstrategi for sundhedsvæsenet Koordinering af digitalisering inden for sundhedsvæsenet Kulturgeograf (men det er længe siden) Arbejdet med sundheds-it og informationssikkerhed i amt og region 2007: Ansat i Sammenhængende Digital Sundhed i Danmark 2011: Sundhedsministeriet (under forskellige navne og forskellige institutioner) 6 organisationsomlægninger!!

4 Udfordringer.

5 Fra siloer til delte data

6 6 Fra mainframe til Internet of Things

7 7 Og når der skal spares 2% om året.

8 8 IT (opfattes ikke) som det primære værktøj

9 Patientsikkerhed og informationssikkerhed Der skal kontinuert foretages en afvejning mellem patientsikkerhed og informationssikkerhed It-løsninger skal understøtte sikker anvendelse Sikkerhedsløsninger må ikke stå i vejen for patientbehandlingen 9

10 10 Digitaliseringen tager fart

Strategier er der nok af Initiativer Telemedicinske løsninger

samarbejde mellem stat, regioner, kommuner og praksissektor

Sammenhængende patientforløb Bedre infrastruktur Komplekse

11 Strategier er der nok af Initiativer Telemedicinske løsninger Borgeres og pårørendes inddragelse i behandlingen Digitalt samarbejde mellem stat, regioner, kommuner og praksissektor Effektive arbejdsgange og processer gennem digitalisering Sammenhængende patientforløb Bedre infrastruktur Komplekse forløb Bedre anvendelse af registrerede data Styr på informationssikkerhed 11

Ansvarsplacering Organisatoriske udfordringer

hvem??? Tekniske udfordringer Brugerstyring

12 Tværgående projekter Sikkerhedsmæssige udfordringer Juridiske udfordringer Hjemmel Ansvarsplacering Organisatoriske udfordringer Indgåelse af aftaler Hvem er databehandler for hvem??? Tekniske udfordringer Brugerstyring Behandlingsrelation Opbevaring af data Kommunikation Håndtering af samtykke 12

13 Trinvis udvikling Kilde: Referencearkitektur for deling af dokumenter og billeder, National Sundheds-it

14 14 Indsatsområder

15 Fokusområde hos alle parter i sundhedsvæsenet Persondataforordningen Nye eller skærpede krav? Center for cybersikkerhed Trusselsbillede for danske myndigheder og virksomheder Fællesoffentlig digitaliseringsstrategi Initiativ 7.1: Styr på informationssikkerhed hos alle myndigheder NIS-direktivet Implementering i dansk lovgivning Sundhedsvæsenet udpeget som samfundskritisk sektor 15

Implementering af ISO27001 Øget informationssikkerhed i regionerne Regeringen og Danske Regioner er enige om at øge indsatsen for at styrke sikkerheden i de offentlige digitale løsninger blandt andet

16 Implementering af ISO27001 Øget informationssikkerhed i regionerne Regeringen og Danske Regioner er enige om at øge indsatsen for at styrke sikkerheden i de offentlige digitale løsninger blandt andet under hensyntagen til, at data om behandlingsindsatsen fortsat kan udveksles og anvendes forsvarligt i den sundhedsfaglige og forskningsmæssige indsats. Der er enighed om at sikre en tværgående erfaringsopsamling og koordinering af parternes indsats i forhold til informationssikkerhed, samt at informationssikkerhedsstandarden ISO27001 skal være obligatorisk for parterne. 16

17 Vejledning om informationssikkerhed Beskriver lovgrundlaget fra sundhedslov, persondatalov m.v. Behandlingsøjemed Videnskabelige formål Borgernes rettigheder Tekniske aspekter af informationssikkerhed Netværk Mobile enheder Anbefalinger til højere sikkerhedsniveau Udarbejdet i fællesskab af sundhedsvæsenets parter 17

18 Fælles skabelon for databehandleraftaler på sundhedsområdet Samarbejde og deling af oplysninger på tværs i sundhedsvæsenet Dataansvarlige og databehandlere på kryds og tværs Behov for forenkling Behov for fokus på det relevante 18

Referencearkitektur for informationssikkerhed Referencearkitekturer er ikke bindende, men viser vejen Referencearkitektur for informationssikkerhed indeholder: national

19 Referencearkitektur for informationssikkerhed Referencearkitekturer er ikke bindende, men viser vejen Referencearkitektur for informationssikkerhed indeholder: national sikkerhedsmodel (trustmodel) håndtering af brugerstyring på tværs af organisationer Fælles sikkerhedskomponenter STS (Security Token Server) Behandlingsrelation Samtykke Logning 19

20 20 Fælles sikkerhedskomponenter

Sygesikringsregister/Landspatientregister Behandlingsrelationsservice Lokal Database Jævnlig

21 Behandlingsrelationsservice Validering af, om patienten er i aktuel behandling hos en sundhedsperson NSP Forudgående: Aktuel henvisning Opfølgning: Opslag i registre Sygesikringsregister/Landspatientregister Behandlingsrelationsservice Lokal Database Jævnlig opdatering REFHOST LPR Ydelser Sikrede På sigt flere kilder NOTUS Sygesikringssystemet På sigt flere, der valideres up front 21

22 Køleskabsklassifikationen Kategori Betydning af kategorisering Anbefalet tolkning A+ Direkte behandlingsrelation Pt. er behandlingsrelationer i denne kategori de bedst dokumenterede, og det anbefales derfor at betragte kategori A+ relationer som værende verificerede. A Samme tid, samme sted Behandlingsrelationer i denne kategori placerer patient og sundheds faglig person på det samme sted på et givet tidspunkt, og det anbefales derfor at betragte kategori A relationer som værende verificerede. B Generel behandlingsrelation En generel behandlingsrelation må ikke betragtes som en verificeret relation, men kan betinget af en efterfølgende opfølgning være tilstrækkelig evidens til at give den ønskede adgang. Det anbefales at serviceudbydere giver sundhedspersoner den ønskede adgang, eventuelt yderligere betinget af en begrundet tilkendegivelse fra personen om den aktuelle behandlingsrelation. C Historisk betinget behandlingsrelation Samme anbefaling som for kategori B. D Kan ikke afklares pt Uafklarede behandlingsrelationer bør kun give den ønskede adgang på basis af en direkte tilkendegivelse fra den sundhedsfaglige person. Tilkendegivelsen skal indeholde personens (uverificerede) påstand om en relation samt en accept af at den ønskede adgang kun tildeles under betingelse af en efterfølgende opfølgning. E Kan ikke afklares Behandlingsrelationer, der ikke kan afklares, bør under ingen omstændigheder betragtes som verificerede, og den ønskede adgang må kun gives efter en begrundet tilkendegivelse fra den sundhedsfaglige person og med en efterfølgende manuel kontrol af relationen. 22

Hvis man har en kontakt med en anden praktiserende læge end sin egen Kontakt til privat hospital Second opinion Skal

23 Samtykkeservicen på NSP Generisk løsning Skal kunne anvendes til forskellige kilder Skal på sigt kunne anvendes til positive samtykker F.eks. Hvis man har en kontakt med en anden praktiserende læge end sin egen Kontakt til privat hospital Second opinion Skal kunne anvendes af alle sundhedsvæsenets parter Brugergrænseflade tilgås via sundhed.dk Oplysninger om, hvad borgeren har spærret for, opbevares i databasen og anvendes til at filtrere oplysninger fra kilderne fra 23

24 Samtykke: Spærring for behandlingssted og/eller periode Sundhedspersoner Disse data ønsker jeg ikke, at nogen får indsigt i, med mindre jeg selv giver samtykke til det. Alle øvrige data er der adgang til, hvis øvrige krav er opfyldt Borger Mine Sundhedsdata

25 Samtykke: Ophævelse af spærring for bestemt sundhedsperson eller behandlingssted Sundhedspersoner Borger Mine Sundhedsdata 25

26 Min log - logningskomponent Borgere kan se, hvem der har tilgået deres data via sundhed.dk Logningskomponent skal gøre det enklere at koble flere systemer på Logningskomponent kan også anvendes til at stille logdata til rådighed for de dataansvarlige 26

27 Pseudonymisering Principper for pseudonymisering af data til statistiske og videnskabelige formål Generelle principper Under implementering i Sundhedsdataprogrammet og Forskermaskinen Pseudonymisering af behandlingsoplysninger? Længerevarende proces

28 Spørgsmål Mange skibe i søen Mange fronter, der skal dækkes Få ressourcer 28

Relaterede dokumenter

Tillid og sikkerhed om data

INDSATSOMRÅDE 4 Tillid og sikkerhed om data 58 Sundhedsvæsenet har i dag et generelt højt niveau af informationssikkerhed. Men med den hastige udvikling i digitale løsninger og datamængder og med et skærpet