Informationsmøde om Persondataforordning og it-sikkerhed Praktiserende Lægers Organisation Tirsdag d. 24. april kl. 18.00 20.30 PLO-Sjælland 1
Medlemmer af PLO s it- og dataudvalg Henrik Dibbern (formand) Medlem af PLO s bestyrelse og rep. for PLO i region Syd Niels Ulrich Holm Medlem af PLO s bestyrelse og rep. for PLO i region Sjælland Annette Houmand Repræsentant for DSAM Karsten R. Svendsen Medlem af PLO s bestyrelse og rep. for PLO i region midt Trine C. Jeppesen Medlem af PLO s bestyrelse og rep. for PLO i region Hovedstaden 2
Hvorfor skal vi interessere os for itsikkerhed? 3
Hvad går PLO s indsats ud på? Hjælpe medlemmerne med de nye juridiske krav Udbrede viden om it-sikkerhed og give råd og vejledning Opnå viden om, hvordan det står til med it-sikkerheden i almen praksis 4
Dagsorden A. Introduktion til den nye persondataforordning B. Gennemgang af PLO s juridiske dokumentpakke C. Klar til Datatilsynet D. Konkrete spørgsmål fra salen - PAUSE (Ca. Kl. 19.20) E. Konklusioner fra tryktesten af de 8 systemhuse F. Kampagne for bedre digital sikkerhed 5
www.laeger.dk/plo/it-sikker-praksis 6
A. Introduktion til den nye persondataforordning EU s Persondataforordning (GDPR) 25. maj 2018 Højnet integritetsbeskyttelse. (Retten til frihed og privatliv). Effektiv, ensartet retshåndhævelse på tværs af EU. Apple-opdatering 14. april 2018: Hos Apple mener vi, at anonymitet er en grundlæggende menneskerettighed Bestyrelsens tilgang: Fælles værktøjskasse til løsning af fælles problem. 7
Dansk følgelovning En EU-forordning har umiddelbar retskraft. Persondataloven afløses af databeskyttelsesloven. Forventes vedtaget 3. maj 2018. PLO høringspart: https://www.laeger.dk/forslagtil-lov-om-supplerende-bestemmelser-tilforordning-om-beskyttelse-af-fysiske-personer-i Kamp til det sidste: Bemyndigelsesbestemmelse til ressortministre, fx SUM. 8
Hvad er gammelt i GDPR? Grundlæggende definitioner lever videre: Personoplysning. Følsomme og almindelige Behandling af data. Indsamling, søgning, brug, transmission, opbevaring m.v. Dataansvarlig (OBS: forveksles ikke med klinikkens it-ansvarlige) Databehandler Formålsbegrænsning (DAMD) 9
Hvad er nyt i GDPR? Registreredes rettigheder i fokus: Indsigtsret (betaling for aktindsigt bortfalder) Oplysningspligt (løftes ved privatlivspolitik) Føre fortegnelse til sig selv og Datatilsynet over behandlingsaktiviteter (artikel 30-fortegnelse) Mere specifikke krav til databehandleraftale DPO (PLO anbefaler ikke, jf. Datatilsynets vejledning) Skrappere samtykkeregler. Sundhedslovens kapitel 9 undtager 10
IKAS (da capo!) 11
B. Gennemgang af PLO s juridiske dokumentpakke I. Standarddatabehandleraftale med systemhusene II. Standard artikel 30- fortegnelse III. Standard privatlivspolitik OBS: Dokumenterne kan hentes på hjemmesiden 12
I. Standarddatabehandleraftale med systemhusene 13
Standarddatabehandleraftale Fælles standarddatabehandleraftale indgået med 7 ud af 8 systemhuse. Dialog med det sidste. Har forrang for kontrakten med systemhuset i relation til databehandling Grundlæggende asymmetri mellem mindre dataansvarlige og store IT-professionelle databehandlere, derfor har PLO på medlemmernes vegne forhandlet indholdet af instruksen. 14
Hovedpunkter i databehandleraftale Lægen som dataansvarlig definerer formålet. Databehandler må ikke have egne formål. Dækker journal- og evt. bookingsystem samt datatransmission. Fortrolighedsbestemmelse for ansatte i systemhuset Passende tekniske og organisatoriske foranstaltninger, nærmere udfoldet i aftalens Bilag B, instruksen. 15
Hovedpunkter i databehandleraftale Systemhuset registrerer sikkerhedsbrud. Systemhuset underretter lægen ved mistanke om eller konstateret sikkerhedsbrud. Bistår lægen med at underrette datatilsyn og patienter i tilfælde af sikkerhedsbrud. (systemhuset betaler udgifter hertil, hvis fejlen er deres). Honorarbestemmelser og erstatningsansvar. 16
Hovedpunkter i databehandleraftale Underdatabehandlere (underretning og indsigelsesmulighed). Dataansvarlig læge skal føre tilsyn. Dette løftes ved en årlig rapport (IT-revision) Oplagt opgave for brugergruppe Underskriftsprocedure (NemID) Bilag A. Oplysninger om databehandlingen. Liste over modtagere, der videregives til (nye dataansvarlige). PLO har udarbejdet skabelon til artikel 30 fortegnelse, der anvendes. 17
Sikkerhedsinstrukser til systemhuset Bilag B. Sikkerhedsinstruks. Efterlevelse af principperne i ISO27001 el. lign. Efterlevelse ikke det samme som certificering. Lægen skal leve op til OK 90: Lægen skal have internetadgang med firewall og virusbeskyttelse, der løbende opdateres. Lægen skal endvidere have NemID, virksomhedscertifikat. 18
Krav efter instruksen til - Systemhusets fysiske sikkerhed Hvem der har adgang til personoplysninger Logning Back-up (hvis del af aftalen) 19
Andre databehandleraftaler DMDD ift. Laboratoriesvar (WebReq) DMDD ift. Webpatient (spørgeskemaer) Evt. alternativ backupleverandør DAK-E (Digitale Forløbsplaner) Sundhed.dk (Praksis- og afregningsportalen) Netværksleverandør Lønanviser ift. arbejdsgiverrollen OBS: Brug checkliste til databehandleraftaler eller Datatilsynets skabelon (Link på PLO s hjemmeside) 20
II. Standard artikel 30-fortegnelse 21
Eksempel fra artikel 30-fortegnelse 22
GDPR artikel 30 fortegnelse over: Navn på og kontaktoplysninger for den dataansvarlige Formålene med behandlingen En beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger Kort beskrivelse af sikkerhedsforanstaltninger 23
Artikel 30 fortegnelse oplyser om: Den dataansvarlige Formålet med databehandlingen Kategorier af personoplysninger (almindelige / personfølsomme) Modtagere af data fordelt på formål samt hjemmel for videregivelse / overladelse OBS: Under punktet Klinikadministration ligger minimumsfortegnelse for ikke-pla ere 24
III. Standard privatlivspolitik Efter GDPR artikel 13 skal dataansvarlig give den registrerede: Kontaktoplysninger for den dataansvarlige Formålene med den behandling, som personoplysningerne skal bruges til Retsgrundlaget for behandlingen Modtagere 25
III. Standard privatlivspolitik Eksisterende patienter: I skranken samt på hjemmeside, evt. praksisdeklaration Nye patienter: Give oplysninger ( provide ) uafklaret Evt. folder eller ifbm. bekræftelsesmail/sms PLO arbejder på forslag til løsning på borger.dk 26
C. Klar til Datatilsynet Hvornår har du selv en anmeldelsespligt over for Datatilsynet? Se på typen af sikkerhedsbrud, fx brud på fortrolighed og antal af personer Straks og senest 72 timer efter du er blevet bekendt med bruddet anmeldes det til Datatilsynet på virk.dk Hvornår skal du underrette patienterne? Høj risiko for fysiske personers rettigheder..., artikel 34. Fx tab af fortrolighed 27
C. Klar til Datatilsynet Hvad skal anmeldelsen indeholde? Se vejledning på hjemmesiden Hvornår kan du undlade at anmelde? Bruddet gælder kun én eller få patienter Tillid til modtageren, som har tavshedspligt, og returnerer/destruerer oplysningerne Hvad skal du gøre den dag, Datatilsynet kommer? Se vejledning på hjemmesiden 28
Udgangsreplik - Lægeløftet at jeg ikke ubeføjet vil åbenbare, hvad jeg i min egenskab af læge har erfaret. Begrebet omhu og samvittighedsfuldhed i autorisationsloven en dynamisk retlig figur. Dvs. i en digital kontekst kan det være udtryk for manglende omhu, hvis patientdata ikke skærmes tilstrækkeligt; både organisatorisk og teknisk. 29
Konkrete spørgsmål fra salen 30
PAUSE 31
GDPR indsatsen består af en juridisk og en teknisk del Juridisk indsats: - Databehandleraftale - Artikel 30-fortegnelse - Privatlivspolitik Teknisk indsats: - Tekniske tiltag - Fokus på fysiske rammer - It-hygiejne (adfærd) 32
Behov for viden om it-sikkerhedsniveauet Besøg hos alle 8 it-leverandører (systemhusene) i almen praksis Gennemført interviews Foretaget sikkerhedstests 3 systemhuse har fået gennemført ny test i 2018 Stikprøvebesøg hos 4 lægehuse Gennemført interviews med medarbejdere Gennemført interviews datakonsulenter 33
Konklusion fra besøg hos systemhusene Overordnet vurdering Sandsynligheden for at der skal indtræffe en hændelse ved et systemhus som medfører lækage af personfølsom information meget lille, men der er områder, hvor de også kan blive bedre. 34
Konklusioner fra besøg hos systemhusene Nedslagspunkter i analysen for systemhusene De fremhævede fund præsenteret i nedenstående er områder eller mangler, som gør sig glædende ved de fleste systemhuse De fleste systemhuse er ikke ISO certificeret eller baserer deres processer på en anerkendt standard Systemhuse har ikke automatiseret overvågning af logfiler (SIEM) Systemhuse har opgave med at opgradere firewalls (Anvender traditionelle firewalls) Mangel på formel procedure omkring rapportering af sikkerhedshændelser. 35
Konklusioner fra besøg i de 4 lægehuse Nedslagspunkter fra besøg hos 4 lægehuse: Der var ingen sikker opsætning af egen indkøbt hardware (Alt med en IP-adresse kan hackes, fx en printer) Backup løsninger fra systemleverandøren bliver fravalgt Der benyttes, efter egen ønske, meget simple passwords Ofte bliver arbejdscomputeren benyttet til andre formål Fysik sikring af server var meget ringe 36
Hvad kan PLO hjælpe medlemmerne med? Minimumsliste for it-sikkerhed (5 vejledninger) Test dig selv med PLO s it-sikkerhedstest Temaside www.laeger.dk/plo/it-sikker-praksis med svar på ofte stillede spørgsmål (Q&A) Få også hjælp af datakonsulenterne og dit systemhus 37
Husk den risikobaseret tilgang! Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne......gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici... GDPR artikel 32 om behandlingssikkerhed 38
Få konkrete tiltag kan gøre en stor forskel (it-sikkerhed) 1. Modtag kun data gennem lægesystemet Stik aldrig USB-nøgler eller andet eksternt udstyr i computeren 2. Brug kun din computer til arbejdsrelaterede opgaver Gå ikke på sociale medier eller tjenester på din arbejdscomputer 3. Opbevar altid personfølsomme data på sikrede drev og husk back-up Gem aldrig personfølsomme oplysninger på computerens skrivebord eller et fællesdrev 4. Brug forskellige passwords til forskellige systemer og programmer Sørg for, at dine passwords er varierede og minimum 12 tegn (Behøver ikke specialtegn ved 12 tegn) 5. Lås din computer, når du forlader rummet 39
Anbefaling til password - skal gerne være på 12 karakterer 40
Sæt fokus på de fysiske rammer - Anbefalinger på baggrund af risikovurdering Lad aldrig uvedkommende se dine patienters data (Gæster i klinikken, rengøring, mv.) Lås computeren, når du forlader rummet Udlån ikke en arbejdscomputer til familie eller venner (Fx hvis du har en bærbar PC med i sommerhus) Husk fysisk sikring af din server - Overvej: Er serverrummet tilstrækkeligt aflåst? Vurdering af placering ift. fx risiko for vandskader 41
www.laeger.dk/plo/it-sikker-praksis 42
Tak for i aften 43