Helse Nord-Trøndelag HF skal ivareta informasjonssikkerhet i tråd med gjeldende lov og forskrift, herunder krav til ivaretakelse av informasjonens konfidensialitet, tilgjengelighet og integritet.
Relevante lover og forskrifter er i første rekke:
- Helseregisterloven- Personopplysningsloven- Spesialisthelsetjenesteloven- Helsepersonelloven
- Lov om pasientrettigheter
- Offentlighetsloven
med relevante forskrifter.
Håndtering av all informasjon ved Helse Nord-Trøndelag HF skal skje på en slik måte at en sikrer informasjonens kvalitet og integritet, at personvernet ivaretas, samt at informasjonen er lett tilgjengelig på kjent sted for autoriserte personer.
Helseforetakets ledelse skal gjennom sitt engasjement i informasjonssikkerhetsarbeid sikre at alle medarbeidere er kjent med foretakets prinsipper for informasjonsbehandling, samt at resultatet av aktivitetene gjennomgås jevnlig.
Prinsippene for informasjonsbehandlingen bygger på NS-ISO 17799
Hensikten med å ha prinsipper og rutiner for helseforetakets behandling av personopplysninger er å oppfylle krav i lov og forskrift, og dermed sikre at:
- utilsiktet innsyn i sensitive data i sykehusenes datasystemer ikke kan forekomme
- utilsiktet og uautorisert utlevering av sensitive data unngås
- tap eller endring av data fra sykehusenes datasystemer ikke kan forekomme, samt at papirbasert og muntlig informasjon er riktig og fullstendig
- overføring og spredning av ødeleggende program til sykehusenes datasystemer ikke kan forekomme
- ikke planlagte, langvarige driftsstans ved sykehusenes datasystemer unngås
- informasjonen skal være tilgjengelig for autoriserte personer når det er nødvendig
Akseptkriterier for informasjonssikkerhet
Akseptkriterier vedr. infomasjonssikkerhet i Helse Nord-Trøndelag er fastlagt gjennom risikovurderinger gjennomført ift. adgangskontroll, infrastruktur IT, ekstern E-post, nødstrøm, papirjournal samt elektroniske applikasjoner og systemer. En sammenholding av de definerte akseptkriterier kan beskrives som følger:
Konfidensialitet: Sensitive personopplysninger skal aldri utleveres til uautoriserte personer, verken elektronisk, i papirform eller ved muntlig overføring
Integritet: Feilbehandling av pasienter på grunn av at informasjonens integritet ikke er ivaretatt skal ikke forekomme oftere enn 1 av 5000 pasienter
Tilgjengelighet: Elektroniske systemer inneholdende pasientopplysninger skal være tilgjengelig kontinuerlig. Nødvendig, varslet avbrudd i tilgjengelighet er ikke medregnet her. Papirbaserte systemer inneholdende pasientopplysninger skal ha en tilgjengelighet på under 1 time. Gjennom tekniske og organisatoriske tiltak skal kun autoriserte personer ha tilgang til informasjonen.
Kontroll av om kravene overholdes skal bl.a skje ved hjelp av avvikshåndteringen i helseforetaket og i HEMIT, samt kvalitetsrevisjoner (interne og 2. parts).
Formål med behandlingen av personopplysninger i Helse Nord-Trøndelag HF er pasientbehandling og/eller forskning. Behandlingen skal sikre at helsepersonell som yter helsehjelp ved Helse Nord-Trøndelag HF sine sykehus og distriktspsykiatriske sentre, har nødvendige opplysninger for å gi pasienten forsvarlig behandling i tråd med Lov om Helsepersonell og Lov om pasientrettigheter.
I noen informasjonssystemer er formålet med behandlingen av personelladministrativ karakter, og ikke underlagt melde- eller konsesjonsplikt til Datatilsynet. Jfr. Forskrift til Personopplysningsloven §7-16
Det skal angis formål med behandling for hvert informasjonssystem. Virksomhetskritiske systemer skal defineres.
Informasjonssikkerhet: Informasjonssikkerhet omfatter bekyttelse av:
a) konfidensialitet: at informasjonen bare er tilgjengelig for dem som har autorisert tilgang til den
b) integritet: nøyaktig og fullstendig informasjon og behandlingsprosesser
c) tilgjengelighet: at autoriserte brukere har tilgang til informasjon og tilhørende tjenester når de trenger dem
(NS-ISO/IEC 17799:2000 s. 6)
Databehandlingsansvarlig: Den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes....(Helseregisterloven § 2 pkt. 8)
Jfr. "Behandlingsansvarlig" i Personopplysningsloven § 2 pkt. 4
Databehandler: Den som behandler helseopplysninger på vegne av den databehandlingsansvarlige (Helseregisterloven §2 pkt. 9)
Jfr. "Databehandler" i Personopplysningsloven § 2, pkt. 5
Forholdet mellom databehandlingsansvarlig og databehandler skal beskrives i avtaler.
Adm. direktør er databehandlingsansvarlig, og er ansvarlig for den overordnede planleggingen i helseforetaket, og skal legge forholdene til rette slik at planlegging blir tilfredsstillende utført når det gjelder arbeidet med informasjonssikkerheten. Adm. direktør skal, evt. sammen med et informasjonssikkerhetsforum, foreta nødvendige ansvarsavklaringer. Ansvar for de ulike informasjonssystemer kan delegeres til andre personer, men det totale databehandlingsansvar ligger hos adm. direktør.
Adm. direktør skal gjennom ledelsens gjennomgang vurdere graden av prinisippoverholdelse, samt styringssystemets hensiktsmessighet og blant annet ut fra dette iverksette evt. tiltak.
Klinikk- og avdelingsledelsen har plikt til å sørge for at personalet har nødvendig bevissthet og kompetanse når det gjelder sikker informasjonsbehandling, herunder tilgangskontroll og adgangskontroll.
Klinikklederne skal gjennomføre nødvendig kartlegging når det gjelder sikkerhet og sårbarhet, samt lage planer for oppfølging av resultatet. De skal sørge for en fullstendig avvikshåndtering innen informasjonssikkerhet.
Klinikklederne skal gjennom ledelsens gjennomgang på klinikknivå vurdere graden av prinisippoverholdelse, samt styringssystemets hensiktsmessighet og blant annet ut fra dette iverksette evt. tiltak.
Informasjonssikkerhetsansvarlig har på vegne av adm. direktør det overordnede ansvar for at det legges til rette for sikker informasjonsbehandling i helseforetaket. Informasjonssikkerhetsansvarlig skal gi råd om melde-/konsesjonsplikt til Datatilsynet, og sørge for de nødvendige søknader/meldinger ift. systemer på foretaksnivå.
Informasjonssikkerhetsansvarlig skal sørge for saksbehandling av eksternt meldepliktige avvik.
IT-sikkerhetsansvarlig har på vegne av adm. direktør driftsansvar for det elektroniske informasjonssystemet, herunder alle sikkerhetsfunksjoner og rutiner for konfigurering og administrasjon av disse. I den grad drift er satt ut til databehandler, skal IT-sikkerhetsansvarlig forsikre seg om at forhold og avtaler mellom databehandlingsansvarlig og databehandler er i tråd med lov, forskrift og retningslinjer.
Informasjonssikkerhet har både tekniske, kulturelle og holdningsmessige aspekter. I NS-ISO/IEC 17799:2000 s. 6 heter det at:
..."Håndtering av informasjonssikkerhet krever deltakelse av alle ansatte i organisasjonen. Det kan også forutsette deltakelse fra leverandører, kunder og andre interessenter".
Helseforetaket legger vekt på at medarbeidernes, og dermed sykehusenes, holdninger vedrørende informasjonssikkerhet er et viktig satsningspunkt i dette arbeidet. I tillegg skal forholdet til leverandører være regulert i klare avtaler som bidrar til sikring av informasjonen.
Helse Nord-Trøndelag HF skal ved å gjennomføre de aktiviteter som er nødvendige og anses tilstrekkelige, behandle informasjon på en slik måte at det er tillitvekkende for pasienter, øvrige samarbeidspartnere og samfunnet generelt.
For å nå disse målsettingene er ansvarsforhold avklart og de beslutninger fattet som viser linjeledernes driftsansvar. Dette innebærer bl.a vurdering av risiko og sårbarhet relatert til det trusselbilde virksomheten til enhver tid står overfor. Dette bidrar til å danne grunnlag for beredskapsplanlegging.
Med bakgrunn i gjennomførte risikovurderinger skal nødvendige risikoreduserende tiltak iverksettes for å forebygge uønskede hendelser, og for å redusere risikoen forbundet med disse. Uønskede hendelser i denne sammenhengen er eksempelvis definert til å være:
- uautorisert tilgang i nettverk fra eksterne
- uautorisert tilgang i nettverk fra egne medarbeidere
- strømbrudd
- uautorisert adgang til sensitive rom og utstyr
- sensitive personopplysninger sendt pr. E-post
Rapporter fra gjennomførte risikovurderinger er tilgjengelig for linjeledelsen.
Organisatoriske tiltak
Organisatoriske tiltak iverksettes for å ivareta informasjonens integritet, tilgjengelighet og konfidensialitet.
Alle medarbeidere i helseforetaket har underskrevet taushetsløfte, bl.a i tråd med Helsepersonellovens kap. 5
Medarbeidere med tilgang til informasjonssystemene skal ha tilstrekkelige kunnskaper om bruk av informasjonssystemene og nødvendig kompetanse i informasjonssikkerhet. Alle databrukere må underskrive databrukerkontrakt før de får autorisert tilgang til nettverket.
Rutiner skal følges slik at en oppnår forsvarlig håndtering av personopplysninger, sikring mot uautorisert innsyn og loggføring av bruk av informasjonssystemene. Krav til sporbarhet skal oppfylles. Dette for å sikre informasjonens konfidensialitet, og forebygge evt. forsøk på uautorisert tilgang.
Det er på sykehusene etablert rutiner for oppretting, bruk og sletting av personregistre for at databehandlingsansvarlig skal ha oversikt over de personregistre som finnes i helseforetaket.
Helseforetakets bruk av partnere og leverandører reguleres av kontrakter. Her inngår, når nødvendig, bestemmelser om informasjonssikkerhet. Det er adm. direktørs ansvar at informasjonssikkerheten blir ivaretatt i alle ledd, og som et element i dette gjennomføres 2. parts kvalitetsrevisjoner.
Det er beskrevet og kommunisert ut til alle nettbrukere at brudd på prinsipper for informasjonssikkerhet vil kunne medføre konsekvenser for den enkelte nettbruker.
Ledelsen for helseforetaket skal jevnlig gå igjennom forhold som har betydning for informasjonssikkerheten. Dette kan f.eks være resultatet av risikovurderinger, internrevisjoner og eksterne tilsyn, samt oppfølgingen av disse. Se relatert dokument: "Ledelsens gjennomgang" under fanen "Relatert"
Tekniske tiltak
Tekniske tiltak iverksettes for å ivareta informasjonens integritet, tilgjengelighet og konfidensialitet.
Det er virusbeskyttelse på alle datamaskiner, og det er etablert brannmurer og andre tekniske sikkerhetsløsninger i tråd med retningslinjer fra Datatilsynet. Nettverkskonfigurasjon er beskrevet i databehandlers interne dokumenter.
Når det gjelder adgangskontroll er prinsippet som legges til grunn følgende:
- bare den som er klarert for adgang til de enkelte områder skal ha denne adgangen
- kun i de situasjoner det er påkrevet for å utføre sitt arbeid
Det skal iverksettes tiltak som i størst mulig grad umuliggjør adgang for uvedkommende. Dette innebærer blant annet fysisk sikring av sensitive lokaler.
Det skal være etablerte rutiner for tilgangskontroll, som baserer seg på det prinsipp at tilgang til de ulike deler av nettverk og programvare kun skal gis ut fra tjenestlig behov. Linjeledelsen skal styre denne tilgangen.
Avviksbehandling
Avviksbehandling skal være en del av det forebyggende arbeid sykehusene gjør i forhold til informasjonssikkerhet. Se relaterte dokumenter under fanen "Relatert": "Avviksbehandling" og Avviksbehandling pasient - prosedyre"
Risikovurderinger
Det gjennomføres risikovurderinger som grunnlag for planlegging av informasjonssikkerhetsarbeidet. Se relatert dokument under fanen "Relatert": "Risikovurdering - ROS"