Sikkerhed i en digitaliseret sundhedssektor. Sikkerhed og Revision 8. September 2017

Relaterede dokumenter
KKR-Digitaliseringsnetværk Pia Jespersen og Marchen Lyngby Sundhedsdatastyrelsen

Logning i sundhedssektoren. Konference Fællesoffentlig Digital Arkitektur (FDA), 2019

Produktbeskrivelse for

Vejledning om informationssikkerhed

Ét sikkert og sammenhængende sundhedsnetværk for alle Strategi for digital sundhed og lovforslag om bedre digitalt samarbejde

ET SAMLET PATIENTOVERBLIK BEDRE OVERBLIK FOR PATIENTER OG PÅRØRENDE

3. generation sundhedsaftaler kommuner 5 regioner 1 sundhedsaftale per region

Strategi 2020 Helhed - Sammenhæng - Tryghed

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen

Regionernes politiske linje for informationssikkerhed

Udvikling af. Sundhedsaftalen Kommissorium for Indsatsområde 4 Sundheds IT og digitale arbejdsgange

SUNDHEDSJOURNALEN E-SUNDHEDSOBSERVATORIET, 2. OKTOBER 2014 ANNE LØHNDORF, SUNDHED.DK OG JENS RAHBEK NØRGAARD, MEDCOM

SDSD: Projektrelevante emner og problemstillinger. Workshop om sikkerhed og privacy 5. december 2007

Strategi for digital sundhed NANNA SKOVGAARD, SUNDHEDS- OG ÆLDREMINISTERIET E-HELSE KONFERENCE, OSLO, 18. APRIL 2018

PERSONDATALOVEN OG SUNDHEDSLOVEN

Handleplan for Sundheds-it og digitale arbejdsgange

Strategi for digital sundhed NANNA SKOVGAARD, SUNDHEDS- OG ÆLDREMINISTERIET MEDCOM 21. MARTS 2018

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning

Roadmap for Regionernes fælles strategi for digitalisering af sundhedsvæsenet. Version 1.0

BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

22 initiativer i Digitalisering med effekt - national strategi for digitalisering af sundhedsvæsenet

Digitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer


Baggrunden for CDA for aftaler

Lægeforeningen 2008 Trondhjemsgade 9, 2100 København Ø Tlf.:

IT-SIKKERHED. Michael Hald, konsulent, KL INFORMATIONSDAG OM DEN FÆLLESKOMMUNALE HANDLINGSPLAN OG DEN FÆLLESOFFENTLIGE DIGITALISERINGSSTRATEGI

Bilag 1 til indsatsområde for Sundheds-it og Digitale Arbejdsgange for Sundhedsaftale 3.0

Rammer og vilkår for brug af data. 25. oktober 2016 Afdelingschef Birgitte Drewes,

Kl Indledning v. Lone Strøm, Rigsrevisor

Digitaliseringspagt En ny retning for det fællesoffentlige samarbejde

REGIONERNES FÆLLES PEJLEMÆRKER FOR PERIODEN

Oversigt - adgang til Region Midtjyllands elektroniske patientjournaler, herunder e-journal

Transkript:

Sikkerhed i en digitaliseret sundhedssektor Sikkerhed og Revision 8. September 2017

Pia Jespersen Chefkonsulent, CISM, ESL

Præsentation Sundhedsdatastyrelsen Pia Jespersen Intern driftsfunktion i Sundheds- og Ældreministeriet Myndighed i forhold til fastlæggelse af it-standarder på sundhedsområdet Ansvarlig for alle registre med sundhedsdata til brug for analyser og videnskabelige undersøgelser Digitaliseringsstrategi for sundhedsvæsenet Koordinering af digitalisering inden for sundhedsvæsenet Kulturgeograf (men det er længe siden) Arbejdet med sundheds-it og informationssikkerhed i amt og region 2007: Ansat i Sammenhængende Digital Sundhed i Danmark 2011: Sundhedsministeriet (under forskellige navne og forskellige institutioner) 6 organisationsomlægninger!!

Udfordringer.

Fra siloer til delte data

6 Fra mainframe til Internet of Things

7 Og når der skal spares 2% om året.

8 IT (opfattes ikke) som det primære værktøj

Patientsikkerhed og informationssikkerhed Der skal kontinuert foretages en afvejning mellem patientsikkerhed og informationssikkerhed It-løsninger skal understøtte sikker anvendelse Sikkerhedsløsninger må ikke stå i vejen for patientbehandlingen 9

10 Digitaliseringen tager fart

Strategier er der nok af Initiativer Telemedicinske løsninger Borgeres og pårørendes inddragelse i behandlingen Digitalt samarbejde mellem stat, regioner, kommuner og praksissektor Effektive arbejdsgange og processer gennem digitalisering Sammenhængende patientforløb Bedre infrastruktur Komplekse forløb Bedre anvendelse af registrerede data Styr på informationssikkerhed 11

Tværgående projekter Sikkerhedsmæssige udfordringer Juridiske udfordringer Hjemmel Ansvarsplacering Organisatoriske udfordringer Indgåelse af aftaler Hvem er databehandler for hvem??? Tekniske udfordringer Brugerstyring Behandlingsrelation Opbevaring af data Kommunikation Håndtering af samtykke 12

Trinvis udvikling Kilde: Referencearkitektur for deling af dokumenter og billeder, National Sundheds-it 2012 13

14 Indsatsområder

Fokusområde hos alle parter i sundhedsvæsenet Persondataforordningen Nye eller skærpede krav? Center for cybersikkerhed Trusselsbillede for danske myndigheder og virksomheder Fællesoffentlig digitaliseringsstrategi Initiativ 7.1: Styr på informationssikkerhed hos alle myndigheder NIS-direktivet Implementering i dansk lovgivning Sundhedsvæsenet udpeget som samfundskritisk sektor 15

Implementering af ISO27001 Øget informationssikkerhed i regionerne Regeringen og Danske Regioner er enige om at øge indsatsen for at styrke sikkerheden i de offentlige digitale løsninger blandt andet under hensyntagen til, at data om behandlingsindsatsen fortsat kan udveksles og anvendes forsvarligt i den sundhedsfaglige og forskningsmæssige indsats. Der er enighed om at sikre en tværgående erfaringsopsamling og koordinering af parternes indsats i forhold til informationssikkerhed, samt at informationssikkerhedsstandarden ISO27001 skal være obligatorisk for parterne. 16

Vejledning om informationssikkerhed Beskriver lovgrundlaget fra sundhedslov, persondatalov m.v. Behandlingsøjemed Videnskabelige formål Borgernes rettigheder Tekniske aspekter af informationssikkerhed Netværk Mobile enheder Anbefalinger til højere sikkerhedsniveau Udarbejdet i fællesskab af sundhedsvæsenets parter 17

Fælles skabelon for databehandleraftaler på sundhedsområdet Samarbejde og deling af oplysninger på tværs i sundhedsvæsenet Dataansvarlige og databehandlere på kryds og tværs Behov for forenkling Behov for fokus på det relevante 18

Referencearkitektur for informationssikkerhed Referencearkitekturer er ikke bindende, men viser vejen Referencearkitektur for informationssikkerhed indeholder: national sikkerhedsmodel (trustmodel) håndtering af brugerstyring på tværs af organisationer Fælles sikkerhedskomponenter STS (Security Token Server) Behandlingsrelation Samtykke Logning 19

20 Fælles sikkerhedskomponenter

Behandlingsrelationsservice Validering af, om patienten er i aktuel behandling hos en sundhedsperson NSP Forudgående: Aktuel henvisning Opfølgning: Opslag i registre Sygesikringsregister/Landspatientregister Behandlingsrelationsservice Lokal Database Jævnlig opdatering REFHOST LPR Ydelser Sikrede På sigt flere kilder NOTUS Sygesikringssystemet På sigt flere, der valideres up front 21

Køleskabsklassifikationen Kategori Betydning af kategorisering Anbefalet tolkning A+ Direkte behandlingsrelation Pt. er behandlingsrelationer i denne kategori de bedst dokumenterede, og det anbefales derfor at betragte kategori A+ relationer som værende verificerede. A Samme tid, samme sted Behandlingsrelationer i denne kategori placerer patient og sundheds faglig person på det samme sted på et givet tidspunkt, og det anbefales derfor at betragte kategori A relationer som værende verificerede. B Generel behandlingsrelation En generel behandlingsrelation må ikke betragtes som en verificeret relation, men kan betinget af en efterfølgende opfølgning være tilstrækkelig evidens til at give den ønskede adgang. Det anbefales at serviceudbydere giver sundhedspersoner den ønskede adgang, eventuelt yderligere betinget af en begrundet tilkendegivelse fra personen om den aktuelle behandlingsrelation. C Historisk betinget behandlingsrelation Samme anbefaling som for kategori B. D Kan ikke afklares pt Uafklarede behandlingsrelationer bør kun give den ønskede adgang på basis af en direkte tilkendegivelse fra den sundhedsfaglige person. Tilkendegivelsen skal indeholde personens (uverificerede) påstand om en relation samt en accept af at den ønskede adgang kun tildeles under betingelse af en efterfølgende opfølgning. E Kan ikke afklares Behandlingsrelationer, der ikke kan afklares, bør under ingen omstændigheder betragtes som verificerede, og den ønskede adgang må kun gives efter en begrundet tilkendegivelse fra den sundhedsfaglige person og med en efterfølgende manuel kontrol af relationen. 22

Samtykkeservicen på NSP Generisk løsning Skal kunne anvendes til forskellige kilder Skal på sigt kunne anvendes til positive samtykker F.eks. Hvis man har en kontakt med en anden praktiserende læge end sin egen Kontakt til privat hospital Second opinion Skal kunne anvendes af alle sundhedsvæsenets parter Brugergrænseflade tilgås via sundhed.dk Oplysninger om, hvad borgeren har spærret for, opbevares i databasen og anvendes til at filtrere oplysninger fra kilderne fra 23

Samtykke: Spærring for behandlingssted og/eller periode Sundhedspersoner Disse data ønsker jeg ikke, at nogen får indsigt i, med mindre jeg selv giver samtykke til det. Alle øvrige data er der adgang til, hvis øvrige krav er opfyldt Borger Mine Sundhedsdata

Samtykke: Ophævelse af spærring for bestemt sundhedsperson eller behandlingssted Sundhedspersoner Borger Mine Sundhedsdata 25

Min log - logningskomponent Borgere kan se, hvem der har tilgået deres data via sundhed.dk Logningskomponent skal gøre det enklere at koble flere systemer på Logningskomponent kan også anvendes til at stille logdata til rådighed for de dataansvarlige 26

Pseudonymisering Principper for pseudonymisering af data til statistiske og videnskabelige formål Generelle principper Under implementering i Sundhedsdataprogrammet og Forskermaskinen Pseudonymisering af behandlingsoplysninger? Længerevarende proces 07-09-2017 27

Spørgsmål Mange skibe i søen Mange fronter, der skal dækkes Få ressourcer 28

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback