Informationssäkerhetsarbetet i hälso
Transcription
Informationssäkerhetsarbetet i hälso
Informationssäkerhet för offentlig sektor Stockholm 1-2 september 2015 Informationssäkerhet och riskhantering i vården Styrning och uppföljning - En lägesbild av kontrollarbetet Tom Andersson Enheten för systematiskt informationssäkerhetsarbete (SISA) Verksamheten för samhällets informations- och cybersäkerhet (ICS) Myndigheten för samhällsskydd och beredskap (MSB) Bakgrund – två rapporter och pågående utvärdering av styrdokument Uppföljning av informationssäkerhet i vården Vårdgivarnas rapportering av kontroller, risker och incidenter (januari 2015) https://www.msb.se/sv/Produkter--tjanster/Publikationer/Publikationerfran-MSB/Uppfoljning-av-informationssakerhet-i-varden/ Kontinuitetshantering i praktiken - fallstudier av läkemedelshantering och informationshantering i händelse av verksamhetsstörningar (januari 2014) https://www.msb.se/sv/Produkter--tjanster/Publikationer/Publikationerfran-MSB/Kontinuitetshantering-i-praktiken/ Myndigheten för samhällsskydd och beredskap Omvärldsförändringar – ny teknik, nya regelverk Reform av EU:s regler om skydd av personuppgifter 2015 med införande senast 2018 Förenklad administration, tydligare ansvarsutkrävande, stärkt konsumentmakt Socialstyrelsens förslag till nya föreskrifter avseende personuppgifter och journalföring bättre balans mellan krav tydligare ansvarsbeskrivningar OECD 23-24 June 2015 Working Party on Security and Privacy in the Digital Economy Council Recommendation on Privacy-Protective Uses of Personal Health Data : Draft Discussion Paper Behov av riktlinjer för sekundär användning av hälsodata Att maximera samhällsnytta och minimera integritetsrisker Samordnad, strategisk riskhantering som utgångspunkt för styrning Myndigheten för samhällsskydd och beredskap Riskhantering, mer än regelefterlevnad och säkerhetsteknik Typexempel på loggrutin Ett slumpmässigt urval om 10% av behörig personal En gång per månad För kontroll av åtkomst till journaler under en slumpmässig dag denna månad Effektivitet Om ”jag” gör dataintrång varje arbetsdag under hela året är sannolikheten för att undgå upptäckt under ett helt år 0.28 (=0.912). Om ”jag” gör ett enda dataintrång under ett helt år är sannolikheten för att undgå upptäckt 0.995 (=0,9+0.1*20,43/21,43) Då är inget nämnt om obehöriga som ändå har ”behörighet”, t.ex. it-personal. Myndigheten för samhällsskydd och beredskap Övergripande frågor för kartläggningen Hur ser kontrollarbetet ut för dessa mål? Konfidentialitet Riktighet Tillgänglighet Spårbarhet Är arbetet konsekvent med riskerna? Dataintrång Datahaverier Datafel Informationshantering, försörjning och delning MTO och MDI Styrning och uppföljning Informationssystem Automatiska processer Mjukvara. Databaser Informationsteknik Infrastruktur Hårdvara Myndigheten för samhällsskydd och beredskap Dataintrång Av allt att döma blir 2015 ett trendbrott, från ett fokus på dataintrång bland personal till hackers De fem senaste attackerna omfattar 99,3 av 143,3 miljoner drabbade över en period på 6 år. Myndigheten för samhällsskydd och beredskap Datahaverier Funktionsstörningar i informations- och it-tjänster. Avbrott i systemoch nätverkstjänster Programvarufel Myndigheten för samhällsskydd och beredskap Datafel Tio i topp hälsoteknologiska faror 2015 – ”oriktighet” Myndigheten för samhällsskydd och beredskap Rapporteringskrav i policys för informationssäkerhet Sex landsting hänvisar i sina policys till kravet på rapportering enligt SOSFS 2008:14. Inga kommuner (107). Det finns fall där kravet nämns i socialnämndernas riktlinjer för dokumentation. Ca hälften av alla policys är mer eller mindre kopior på mallar som finns tillgängliga på nätet. Myndigheten för samhällsskydd och beredskap Rapportering Åtta landsting, ingen kommun, delgav årsrapporter enligt föreskrift. Totalt ett 50-tal revisioner under 2011-2014. It- och systemsäkerhet dominerar. Ingen helhetssyn på avvikelse- och incidenthantering Magert med logguppföljning och kvalitetsgranskning i Patientsäkerhetsberättelser Några goda exempel: Uppsala, Västra Götaland, Östergötland, Jönköping Myndigheten för samhällsskydd och beredskap Enkät till två personalgrupper – urval och svarsmönster Enkäten till LSF-medlemmar är att betrakta som en expertenkät till specialister på vårddokumentation. 753 svar från 1450 medlemmar i LSF (52%) Enkäten till sjuksköterskor är att betrakta som representativ för sjuksköterskor (SJU). 2712 svar från yrkesverksamma sjuksköterskor (57%) Myndigheten för samhällsskydd och beredskap Enkätdesign Inledande fråga om arbetsstatus: < 3 månaders uppehåll? Del 2 : Erfarenhet av avvikelser och incidenter (12 frågor) Kännedom och tidpunkt för senaste händelse Kännedom om patientsäkerhetsrisk och tidpunkt för senaste analys Del 1: Erfarenhet av rutiner och kontroller (15 frågor) Kännedom om och erfarenhet av Del 3: Bakgrundsprofil (7 frågor) Antal yrkesverksamma år och antal år på aktuell arbetsplats tillämpning av kontrollrutin Tidpunkt för tillämpning Arbetsplats och arbetsgivare Erfarenhet av och tidpunkt för Ledningsansvar återkoppling Lärarledd kurs i informationssäkerhet och tidpunkt för kurs Myndigheten för samhällsskydd och beredskap Anvisningar och definitioner Frågorna avser din kännedom och erfarenhet från din nuvarande och huvudsakliga arbetsplats. ”Kvalitetsgranskning”: en systematisk kontroll av vissa uppgifter i ett urval av patientjournaler, dvs. en genomgång och sammanställning av vilka uppgifter som är rätt och riktiga. ”Logguppföljning”: en regelbunden och systematisk kontroll av vem som har haft åtkomst till patientjournaler, att endast behöriga personer har haft åtkomst. ”Patientsäkerhetsrisk”: en möjlig orsak till potentiell patientskada, där orsak och skada fastställs genom professionell bedömning på arbetsplatsen. Myndigheten för samhällsskydd och beredskap Bakgrundsprofiler Andel respondenter i öppenvården: 64% (LSF), 36% (SJU) Andel respondenter i lärarledd kurs 32% (LSF), 15% (SJU) Andel respondenter med ledningsansvar 13% (LSF), 18% (SJU) Myndigheten för samhällsskydd och beredskap Riktighet Kvalitetsgranskning (KG) de senaste 12 månaderna: 17% för båda grupperna 1,6 (2,2) ggr fler bland respondenter som har gått kurs jämfört med dem utan kurs. Patientsäkerhetsrisk med felaktig vårddokumentation de senaste 12 månaderna: 13% (LSF), 22% (SJU) Myndigheten för samhällsskydd och beredskap Konfidentialitet Logguppföljning de senaste 12 månaderna: 39% (LSF) och 13% (SJU) Obehörig åtkomst de senaste 12 månaderna: 3% för båda grupperna. Patientsäkerhetsrisk till följd av obehörig åtkomst: < 1%. Myndigheten för samhällsskydd och beredskap Tillgänglighet Tillämpning av reservrutin (RR) för journalföring de senaste 12 månaderna: 14% (LSF) och 19% (SJU) Övning av RR de senaste 12 månaderna: 3% för båda grupperna Patientsäkerhetsrisk till följd av otillgänglig vårddokumentation de senaste 12 månaderna: 6% (LSF) och 16% (SJU) Myndigheten för samhällsskydd och beredskap Reflektioner Kontrollinsatser och riskuppfattningar går inte hand i hand, jmf. riktighet och konfidentialitet. Anmärkningsvärt att dagens patientsäkerhetsarbete utgår från journalgranskning, men så lite vikt läggs på kvalitetsarbete med journalföring. Svag och splittrad styrning – regelefterlevnad istället för riskhantering och samordning Myndigheten för samhällsskydd och beredskap LfMT utredning om patientdatalagen och medicinteknik ”Vi har skapat en mångfald av olika Ledningsnätverket för Medicinsk Teknik (LfMT) Patientdatalagen i den kliniska vardagen – Vilka krav ställs på medintekniska produkter? http://www.lfmt.se/sida6.html verksamhetssystem med olika behörighetssystem och säkerhetsnivåer, med eller utan central styrning av tilldelade rättigheter” (sidan 29). ”grundläggande perspektiv […] sammanhållen riskhantering avseende riskanalys och avvikelsehantering av risk för både patientskada och kränkning av patientens integritet” Vem eller vilka bär huvudansvaret att avgöra vad erforderlig informationssäkerhet är? […] Normen idag är att informationssäkerhetsexperter anser sig ha dessa förutsättningar [att ta beslut]. Ska det vara så? Myndigheten för samhällsskydd och beredskap Målkonflikt i riskhantering – fallet med Hospiras Symbiq infusionspump Myndigheten för samhällsskydd och beredskap Effektstudier av informationssäkerhet i hälso- och sjukvården Kwon, J., & Johnson, M. E. (2015). The Market Effect of Healthcare Security: Do Patients Care about Data Breaches? Paper presented at the 14th annual Workshop on the Economics of Information Security (WEIS), 22-23 June, 2015. Juhee Kwon Assistant professor Department of Information Systems City University of Hong Kong Kwon, J., & Johnson, M. E. (2014). Proactive versus reactive security investments in the healthcare sector. Mis Quarterly, 38(2), 451-471. Kwon, J., & Johnson, M. E. (2014). Meaningful Healthcare Security: Does "Meaningful-Use" Attestation Improve Information Security Performance? Paper presented at the 13th annual Workshop on the Economics of Information Security (WEIS), 23-24 June, 2014. Kwon, J., & Johnson, M. E. (2013). Security practices and regulatory compliance in the healthcare industry. Journal of the American Medical Informatics Association, 20(1), 44-51. M. Eric Johnson Dean and Professor of Strategy Owen Graduate School of Management Vanderbilt University Kwon, J., & Johnson, M. E. (2013). Health-care security strategies for data protection and regulatory compliance. Journal of Management Information Systems, 30(2), 41-66. Myndigheten för samhällsskydd och beredskap För att citera… Proactive security investments are associated with lower security failure rates. Proactive investments are more cost effective. This effect is amplified at the state level (positive externalities). Proactive investments, voluntarily made, have more impact than those involuntarily made. The cumulative effect of breach events [samt antal dataposter] over a three-year period decreases the number of outpatient visits and admissions. The effects in competitive markets are significantly larger than those in noncompetitive markets, which are insignificant. Myndigheten för samhällsskydd och beredskap Nytto- och riskhantering av journaler på nätet (eHälso-tjänster) Forskare efterfrågar bättre nytto- och riskkalkyler av systemutveckling i vården Black AD, Car J, Pagliari C, Anandan C, Cresswell K, Bokun T, McKinstry B, Procter R, Majeed A, Sheikh A. The impact of eHealth on the quality and safety of health care: a systematic overview. PLoS Med. 2011 Jan 18;8(1). Resultat av sammanställning av 143 forskningsstudier* Inga studier rapporterade förbättrade hälsoresultat Ökad bekvämlighet och kundnöjdhet Blandade erfarenheter av arbetsmiljö, läkemedelsfel och integritet. *de Lusignan, S., Mold, F., Sheikh, A., Majeed, A., Wyatt, J. C., Quinn, T., ... & Rafi, I. (2014). Patients’ online access to their electronic health records and linked online services: a systematic interpretative review. BMJ open, 4(9), e006021. Myndigheten för samhällsskydd och beredskap Statistik på HHS-uppgifter (U.S. Department of Health and Human Services) Myndigheten för samhällsskydd och beredskap Framväxande risker (emerging risks) följer inte några formella och aktuella ansvarsfördelningar. 12.3% har undanhållit information från vårdpersonal på grund av oro för säkerhet och integritet “Patients’ withholding medical information […] may not only impact negatively on the patient […] potentially compromise the health of others and the quality of healthcare surveillance systems.” Agaku, I. T., Adisa, A. O., Ayo-Yusuf, O. A., & Connolly, G. N. (2014). Concern about security and privacy, and perceived control over collection and use of health information are related to withholding of health information from healthcare providers. Journal of the American Medical Informatics Association, 21(2), 374-378. Myndigheten för samhällsskydd och beredskap Sammanfattande lägesbild Brist på mognad i styrning och uppföljning – förmågan till risk- och kontinuitetshantering Växande risker med extrem tillväxt av datamängder och öppna nätverk Vårdområdet ändå en framtida förebild genom evidensbaserad praktik Myndigheten för samhällsskydd och beredskap Tre frågor som underlag för reflektion och diskussion Hur ser du på kravställning och riskhantering avseende öppna e-tjänster i din organisation? Är det förändringar på gång? Är det några "goda exempel" att vänta? Myndigheten för samhällsskydd och beredskap