Informationssäkerhet – en patientsäkerhetsfråga Rose-Mharie Åhlfeldt Institutionen för Informationsteknologi Högskolan Skövde
© Rose-Mharie Åhlfeldt, Högskolan Skövde Vem är jag? Universitetslektor i Datavetenskap med inriktning mot informationssäkerhet, Högskolan Skövde Läkarsekreterareutbildning 1979 Disputerade 2008 Information Security in Distributed Healthcare Exploring the needs for achieving patient safety and patient privacy Forskar på helhet med hjälp av Vinnovas meriteringsprogram ytterligare 1 år. Ingår i projektledarteamet i DOME-projektet © Rose-Mharie Åhlfeldt, Högskolan Skövde
Vem är vården till för? Huvudaktör Övriga aktörer Patienten/medborgaren Övriga aktörer Vård- och omsorgspersonal och en mängd andra intressenter Effektiv och säker informationshantering – en förutsättning för att uppnå patientsäkerhet. Nationell E-hälsa – strategin för tillgänglig och säker information inom vård och omsorg.
Patientssäkerhet Definition av patientsäkerhet enligt SFS 2010:659 Patientsäkerhetslagen skydd mot vårdskada - resultatet av åtgärder mot risker, tillbud och negativa händelser ger skydd mot vårdskada Definition vårdskada lidande, obehag, kroppslig eller psykisk skada, sjukdom eller död som orsakats av hälso- och sjukvården och som inte är en oundviklig konsekvens av patientens tillstånd En granskning av 2 000 slumpvis utvalda journaler visade att det kan vara upp till 100 000 patienter som skadas och 3 000 som avlider till följd av en vårdskada varje år (Patientsäkerhetsutredningen, SOU 2008:117)
© Rose-Mharie Åhlfeldt, Högskolan Skövde Patientintegritet Finns ingen vedertagen definition av patientintegritet Definition integritet enl NE (2014) “Rätt att få sin personliga egenart och inre sfär respekterad och att inte utsättas för personligen störande ingrepp (personlig integritet).” Statens medicinetiska råd (2014) “Personlig integritet handlar bl.a. om att själv förfoga över information om den egna personen, att ha rätten att behålla vissa saker för sig själv” © Rose-Mharie Åhlfeldt, Högskolan Skövde
Patientsäkerhet och patientintegritet En god vård ska bland annat kännetecknas av att den är patientfokuserad, jämlik och säker. Den ska genomföras i samråd och med respekt för patientens självbestämmande och integritet. En delaktig patient kan lättare medverka till att målen med vård och behandling uppnås och att säkerhetsrisker kan förebyggas. Det ställer krav på att vårdgivare, verksamhetschefer och hälso- och sjukvårdspersonal tillämpar den lagstiftning som reglerar patientens ställning och att det finns ett ledningssystem för kvalitets- och patientsäkerhetsarbetet som också omfattar bemötande, information, delaktighet och kontinuitet (Socialstyrelsen, 2012)
Men verkligheten är något annat… © Rose-Mharie Åhlfeldt, Högskolan Skövde
2017-04-03
© Rose-Mharie Åhlfeldt, Högskolan Skövde
Översiktsbild av en patientprocess Sammanlagt är 8 olika enheter inblandade där alla behöver patientinformation för att skapa en ”god kvalitet i vården” I denna specifika process har 42 olika kontakter tagits mellan hälso- och sjukvårdssektorn och patienten. Antal kontakter mellan vårdgivarna är inte känt. 20 av dessa 42 kontakter, varav 14 togs av patienten själv, beror på dålig informationshantering. Dessutom förlängdes hela processen med 2,5 månad p g a ineffektiv informationshantering. Följaktligen finns det en stor risk att patienten kan bli försummad och därmed äventyra både patientsäkerhet och patientens integritet. © Rose-Mharie Åhlfeldt, Högskolan Skövde
Informationssäkerhetsmodellen Patientsäkerhet Patientintegritet Tillgänglighet Konfidentialitet Spårbarhet Riktighet Egenskaper Informationssäkerhet Säkerhetsåtgärder Teknisk säkerhet Administrativ säkerhet IT-säkerhet Fysisk säkerhet Formell Informell Datasäkerhet Kommunikationssäkerhet Extern Intern
Def informationssäkerhet 2017-04-03 Def informationssäkerhet Säkerhet beträffande informationstillgångar rörande förmågan att upprätthålla önskad Tillgänglighet Konfidentialitet Riktighet (Spårbarhet) Ref: SIS (Handbok 550, utgåva 2, Terminologi för Informationssäkerhet)
Lägesbeskrivning?
Informations- tillgångar 2017-04-03 Hot och sårbarheter Hot Hot en möjlig orsak till en oönskad händelse – har inte inträffat Sårbarhet svaghet i skyddet Informations- tillgångar Sårbarhet Skyddsåtgärder
“Nya” hot och risker Sociala medier Mobila enheter Molntjänster
En smart dag
Arbetsliv och privatliv flyter ihop!!!! Mobilitet och att “alltid vara uppkopplad” ger nya utmaningar för arbetsgivaren Vem äger din information? Myndigheter har sin e-post utomlands
Vad kan vi göra åt det?
Administrativ säkerht 2017-04-03 Säkerhetsåtgärder Administrativ säkerht Strategier/policy Utbildning Ledningssystem Teknisk säkerhet Fysisk säkerhet IT-säkerhet Nätverkssäkerhet Brandväggar IPS Datasäkerhet Autensisering Åtkomstkontroll Kryptering Loggning Administrativ säkerhet Strategier, policy, utbildning, efterlevnad etc - ledningssystem Teknisk säkerhet Fysisk säkerhet Skalskydd, larm m m. IT-säkerhet Kommunikationssäkerhet Brandväggar IPS Datasäkerhet Identifiering och autentisiering Åtkomstkontroll Kryptering Loggning What was the result?
Åtkomstkontroll Behörighetsmodell/Loggningsmodell Tillgänglighet 2017-04-03 Åtkomstkontroll Behörighetsmodell/Loggningsmodell Tillgänglighet Fri tillgänglighet under ansvar Begränsad tillgänglighet styrd av behörighet Behörighetstilldelning och behörighetskontroll Den som tilldelar behörighet har ANSVAR System och administra-tion för tilldelning och kontroll av behörighet Kontroll av loggar och behörighet System och administra-tion för kontroll och uppföljning av loggar Kontroll av identitet (autentisering) Tidstämpling Tillgång till information under eget ANSVAR Behörighetsmodell innebär att användarnas behörighet till information helt styrs av hur man i förhand har reglerat åtkomsten Loggningsmodellen innebär att en användare ges fritt inträde till information under eget ansvar och alla åtgärder kan kontrolleras i efterhand (loggning). Vilken ska man välja? Enligt SITHS-projektet är en kombination den bästa. En renodlad loggningsmodell riskerar minska trovärdigheten för sjukvårdens informationshantering medan en renodlad behörighetsmodell förmodligen faller på den omfattande administration den kräver.
Autentisering kontroll av uppgiven identitet Lösenord Smarta kort Biometriska Flerfaktorslösning Något man vet - lösenord Något man har - smart kort Något man är - tumavtryck, irisigenkänning, ansiktsigenkänning
I visit England and Canterbury for 6 weeks Starka lösenord IvE&C46w I visit England and Canterbury for 6 weeks
Ledningsystem Fastställa grundprinciper för ledning av verksamheten. Skapa ordning och reda Skapa säker ansvarsfördelning Sätta fokus på analysarbetet Systematisera förbättringsarbetet Följa upp, utvärdera resultat, jämföra och värdera
Ledningssystem för Informationssäkerhet (LIS)
Riskbedömning Systematisk sammanvägning av sannolikheten för och konsekvensen av att ett hot inträffar.
Processorientering Processbegreppet En process är en kedja av aktiviteter som i ett återkommande flöde skapar värde för en kund. (Rentzhog, 1998) Kundperspektiv – leverantörsperspektiv Fokus på resultatet – dock inte alltid en fysisk produkt. Kan lika väl vara en tjänst el liknande. Återkoppling Förbättrade processer Processansats i vården är en förutsättning för att både vårdens aktörer och IT-system ska kunna samverka över organisationsgränserna i syfte att tillföra ett värde för kunden (patienten). Process är ett mångfaciterat ord och kan höras I många sammanhang. Ibland har det gått lite inflation I processbegreppet. Men kortfattat kan man definiera en process – en kedja av aktiviteter som i ett återkommande flöde skapar värde för en kund. Kunden är den viktigaste delen i processmodellen Enligt Rentzhog är det kunden som ger processen dess existensberättagande och därmed bör styra resultatet och innehåll i processen. Det handlar om att förstå kunden och dennes verkliga behov, hur behovet kan tillgodoses, samt hur man lyckas med detta. Men även leverantörsperspektivet finns med. Ofta räcker det inte med att fokusera på kunden enbart utan det krävs en aktiv samverkan mellan alla intressenter. Tanken med processansatsen är att det sker en ständig förbättring av processen. Därför blir även återkoppling på hur väl man har lyckats I strävan att tillgodose kundens behov får avgörande betydelse. Kundernas verkliga behov bestämmer hur det önskade resultatet ska se ut. Det är också viktigt att notera att processens resultat inte behöver vara en fysisk produkt.
Processtödet speglar verkligheten och kopplar underliggande system
Processtödet driver processen och kopplar systemen
Vision om framtidens informationssystem i vården Vårdgivare ska ha tillgång till effektiva samverkande informationssystem som stödjer en processorienterad vård där patienten är en tydlig och aktiv medaktör
Säkerhet är ingen extra pålaga 2017-04-03 Effektiv och säker informationshantering – en förutsättning för att uppnå patientsäkerhet Säkerhet är ingen extra pålaga Säkerhet är en normal del av verksamheten