10 minute read
Norm for informasjonssikkerhet
fagutvikling og pasientsikkerhet
De samme erfaringene ble gjort i et aksjonsforskningsprosjekt som ble gjennomført i fire kommuner i Setesdal i tidsrommet 2010–2013 (45, 46).
I Sykepleien i mars 2013 skriver Eivor Hofstad om sykehjemsbråk i Oslo og om avviksmeldinger som ikke fører frem. Slik forfatteren presenterer saken, er det alvorlige påstander som fremsettes. Hofstad benevner det som skjer, som en alvorlig kvalitetssvikt (185).
En hendelse som ble referert i media våren 2017, handlet om en situasjon der en ung gutt døde på grunn av sepsis. Årsaken ble i media beskrevet som for dårlig oppfølging og dokumentasjon (73, 74).
Gode kunnskaper om informasjonssikkerhet er en faktor som kan bidra til å redusere sjansen for at slike situasjoner oppstår. I tillegg til å lese det som er skrevet om informasjonssikkerhet nedenfor, anbefales det å lese stortingsmeldingen Én innbygger – én journal (9).
Informasjonssikkerhet er et viktig innsatsfelt for regjeringen. Tiltakene skal sikre konfidensialitet, tilgjengelighet og integritet. Det betyr at informasjonen bare skal være tilgjengelig for den som har rett til å se den. Informasjonen skal være tilgjengelig ved behov, og den skal være korrekt, fullstendig og autentisk.
I arbeidet med dette har regjeringen satt syv overordnede mål (186):
1. Ivareta informasjonssikkerhet på en mer helhetlig og systematisk måte 2. Styrke IKT-infrastrukturen 3. Sørge for en felles tilnærming til informasjonssikkerhet i forvaltningen
209
QR-kode 14 Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren
kapittel 9
4. Sikre samfunnets evne til å oppdage, varsle og håndtere alvorlige IKThendelser 5. Sikre samfunnets evne til å forebygge, avdekke og etterforske datakriminalitet 6. Ha kontinuerlig innsats for bevisstgjøring og kompetanseheving 7. Ha høy kvalitet på nasjonal forskning og utvikling innenfor informasjons- og kommunikasjonssikkerhet
Organiseringen av alt sikkerhets- og beredskapsarbeid, herunder også arbeidet med informasjonssikkerhet i Norge, bygger på grunnleggende prinsipper (187):
• Ansvarsprinsippet (den som har ansvaret til daglig, skal også ha det ved krise/sikkerhetsbrudd) • Likhetsprinsippet (en sikkerhetshendelse skal behandles i henhold til de rutiner som gjelder til vanlig) • Nærhetsprinsippet (en sikkerhetshendelse skal håndteres av de som er nærmest problemet – på lavest mulig nivå) • Samvirkeprinsippet
Myndigheter, virksomheter og etater har et selvstendig ansvar for å sikre et best mulig samvirke med relevante aktører og virksomheter i arbeidet med forebygging, beredskap og krisehåndtering.
Stadig mer av arbeidet i helsetjenesten er basert på elektronisk behandling av pasientens opplysninger. Likeledes foregår en stadig større andel av kommunikasjonen mellom virksomhetene elektronisk. Den allerede femte utgaven av Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren ble lansert i 2016 (64). Normen er et viktig dokument i arbeidet med å oppnå tilfredsstillende sikkerhet i helsetjenesten. I forordet kan vi lese:
Den økende elektroniske behandlingen av opplysninger gir muligheter, men skaper også utfordringer for informasjonssikkerheten hos virksomhetene. Elektronisk behandling medfører blant annet at opplysningene enklere og raskere kan gjøres tilgjengelig både internt i en virksomhet og eksternt utenfor virksomheten.
210
fagutvikling og pasientsikkerhet
Dette er en fordel, forutsatt at opplysningene kun gjøres tilgjengelig for rette vedkommende til rett tid. Det kan imidlertid oppstå utilsiktede konsekvenser for opplysningenes konfidensialitet, og særskilte tiltak må iverksettes for å sikre at uvedkommende ikke får tilgang til opplysninger som er lagret elektronisk. Det er behov for mekanismer som gir tillit til at alle aspekter ved informasjonssikkerhet er tilfredsstillende ivaretatt hos de aktuelle virksomheter (64, s. 54).
Normen er utarbeidet av representanter fra Den norske legeforening, de regionale helseforetakene, Norsk Sykepleierforbund, Norges Apotekerforening og Kommunenes Sentralforbund. I tillegg har Datatilsynet, Helsetilsynet, Rikstrygdeverket og Sosial- og helsedirektoratet deltatt i arbeidet. Formålet med normen er å bidra til tilfredsstillende informasjonssikkerhet i helsesektoren. Normen er også ment å være et hjelpemiddel i den enkelte virksomhets arbeid med informasjonssikkerhet. I løpet av årene som har gått siden 1. utgave kom ut, har det blitt noen endringer i hvem som deltar i styringsgruppen for normen (53). 5. februar 2020 ble versjon 6.0 av normen lansert (64). Dette på bakgrunn av en langvarig revisjon og et utviklingsarbeid. Hovedmålene har vært å sikre at normens krav er dekkende for nye krav i personvernforordningen og samtidig teknologinøytral og tilpasset nåtidens teknologi (64).
Personvern- og helselovgivningen stiller krav til informasjonssikkerheten. Disse kravene gjelder uavhengig av normen, og aktuelle tilsynsmyndigheter (særlig Datatilsynet og Helsetilsynet) kan kontrollere hvordan den enkelte virksomhet til enhver tid følger opp gjeldende regelverk. Det vil derfor være av stor betydning at de enkelte helsearbeiderne og institusjonene er innforstått med begrepet informasjonssikkerhet, at det blir satt på dagsordenen, og at de praktiserer det ut fra det eksisterende lovverket og normen. Det understrekes for øvrig i normen at opplæring og bevisstgjøring av de ansatte er av vesentlig betydning for å sikre en forsvarlig håndtering av helse- og personopplysninger i det daglige arbeidet.
Kravene som stilles i normen, er detaljerte. Det er klare krav til og regler for blant annet passordhåndtering, håndtering av lagringsmedier, kommunikasjon over åpne nett, lagringstid for og sletting av helse- og personopplysninger, og e-post. For eksempel kan ikke en standard e-postprogramvare benyttes til utveksling av helse- og personopplysninger. Det er viktig med
211
kapittel 9
slike retningslinjer for helseforetak som i større grad ønsker å kommunisere elektronisk.
Personopplysningsloven (80) stiller krav om tilfredsstillende sikkerhet ved behandling av sensitiv informasjon. Det skal inngås skriftlige avtaler mellom alle parter som behandler slik informasjon. Hvis alle de 4000 helsevirksomhetene skulle inngått slike avtaler seg imellom, ville det til sammen blitt 16 millioner avtaler. Nå kan de i stedet sikre kravene gjennom tilknytningsavtalen med Norsk Helsenett, som inkluderer normen. Helsesektoren har dermed etablert strenge krav til informasjonssikkerhet.
I tillegg til normen er det utarbeidet veiledende faktaark. Faktaarkene er anbefalinger til løsninger og gir alternativer for hvordan kravene i normen kan ivaretas. Faktaarkene benytter ordlyden «bør», «kan» og «skal» for å illustrere forskjellen mellom anbefalinger og direkte krav (188). Det er 57 forskjellige faktaark. Det pågår fremdeles oppdateringer fra tidligere versjon av normen. Her nevnes et lite utvalg (188).
Nr. 0 viser målgruppene for faktaarkene. Det er ulike faktaark som gjelder for ulike målgrupper. Dette faktaarket er det viktig at alle ansatte på virksomheten leser.
Nr. 13 presiserer viktigheten av at virksomhetens leder er ansvarlig for å ha oversikt over behandlinger av helse- og personopplysninger. Alle virksomheter som behandler helse- og personopplysninger, skal føre en protokoll over behandlingsaktiviteter som utføres under deres ansvar. Den samme plikten gjelder virksomhetenes databehandlere. Denne behandlingsoversikten vil også være nyttig som en del av virksomhetens internkontrollplikt og dokumentasjon av denne.
Nr. 25 omhandler lagringstid og sletting av helse- og personopplysninger. Formålet med faktaarket er å gi en oversikt og beskrivelse av kravene knyttet til lagringstid og sletting i personvernforordningen, særlovgivningen for helse- og omsorgssektoren og arkivloven med forskrifter for å bistå virksomheten med å etterleve normens krav til lagringstid og sletting. Faktaarket er særlig relevant for personell som har fått delegert det daglige ansvaret for personvern i virksomheten.
212
fagutvikling og pasientsikkerhet
Nr. 45 handler om personvern. Orienteringen retter seg direkte til den enkelte helse- og sosialarbeider i kommunen. Ved behandling av helse- og personopplysninger som en kontinuerlig aktivitet må helsepersonell være bevisst på å følge krav til personvern og informasjonssikkerhet. De ansatte har ofte utfordrende oppgaver når det gjelder håndtering av sensitive personopplysninger. Bakgrunnen for dette er særlig at
1. en stadig større del av personopplysningene innenfor helse- og sosialtjenesten blir behandlet elektronisk 2. elektronisk registrering og bruk av fagsystemer og andre IT-systemer for tjenestedokumentasjon preger arbeidsdagen
Faktaarket gir oversikt over sentrale oppgaver og plikter for den enkelte helse- og sosialarbeider ved behandling av helse- og personopplysninger (jf. personopplysningsforskriften § 2-8; helsepersonelloven §§ 21 og 21a; sosialtjenesteloven § 8-8; forvaltningsloven § 13 til 13e).
Følgende sikkerhetsmål gjelder for sensitiv og kritisk medisinsk informasjon som omfatter følgende begreper: autentisering, konfidensialitet, integritet, tilgjengelighet, kvalitet og ikke-benekting (forskrift om pasientjournal). I tillegg er pålitelighet en forutsetning for informasjonssikkerhet. Et sikkert system må være både stabilt og feilfritt.
Autentisitet handler om å være sikker på at personen som behandler data, er den vedkommende gir seg ut for å være. Dette sikres gjennom rutiner for tilgangskontroll med brukernavn og passord.
Konfidensialitet innebærer å sikre at opplysninger ikke kommer på avveie, at kun autorisert personell har tilgang til opplysningene, og at personellet har kunnskap og etisk forsvarlige holdninger knyttet til taushetsplikt om personopplysninger. Ledere i helseinstitusjoner har et særlig ansvar for at alle ansatte følger instrukser for datasikkerhet. Dette må sikres gjennom opplæring, prosedyrer, kontrollrutiner og systemer for avvikshåndtering.
Integritet betyr at det må være sikkerhet for at informasjonen er ekte og pålitelig. Det som nedtegnes i pasientens journal, må være korrekt, og man
213
kapittel 9
må ha sikkerhet for at det ikke nedtegnes data om feil pasient eller ukorrekte medisinske opplysninger. Både den som legger opplysninger inn i et system, og den som skal hente dem ut, er ansvarlig for at opplysningene har og beholder sin integritet.
Tilgjengelighet (sikker tilgjengelighet) innebærer at dataene er tilgjengelige når helsepersonell og pasienter trenger dem. Spesielt helseopplysninger er det viktig at man kan få tak i raskt. Da er man avhengig av at både datamaskiner og nettverk er tilgjengelig, og at opplysninger er lagret trygt og riktig, slik at man kan hente dem frem når man trenger dem, og den datatekniske påliteligheten er god nok. Dette handler også om at det finnes nødprosedyrer, for eksempel ved strøm- eller kabelbrudd og ved planlagt eller uforutsett «nede»-tid i systemet.
Kvalitet handler om at personopplysninger henføres til rett person, at de føres i henhold til kodeverket, og at de er korrekte, fullstendige og ajourført. Det skal eksistere kontrollrutiner i virksomheten som sikrer at kravene til kvalitet overholdes. Kvalitet innebærer også sporbarhet. Det vil si å ha sikkerhet for at det er mulig å finne tilbake til opprinnelige data og den som er ansvarlig for foretatte endringer.
Samhandling er det området det satses spesielt på innenfor helsetjenesten (189). Elektronisk overføring av sensitive opplysninger stiller krav om (190):
• Det må være intern sikkerhet for at kun de korrekte opplysninger sendes ut. • Systemene som omhandler informasjonen som skal sendes og mottas, må ha løsninger som ivaretar det å motta informasjon sikkert. Kommunikasjonsleverandøren må ha tilfredsstillende sikkerhet når det gjelder adressering, integritet og tilgjengelighet. • Krypteringsmekanismer må være på plass. • Mottaker må ha tilfredsstillende sikkerhetsrutiner når det gjelder behandling av konfidensielle opplysninger og autentisering.
214
fagutvikling og pasientsikkerhet
Hvert enkelt helseforetak er pålagt å ha definerte mål og sikkerhetsrutiner som konkretiseres i et sett av strategier. Disse skal revideres jevnlig som følge av erfaring og organisasjonsmessig og teknologisk utvikling (52, 64).
Oppsummering Fagutvikling og pasientsikkerhet er to sentrale begreper for å sikre kvaliteten på den sykepleien som gis, spesielt i en tid der utviklingen skjer i et raskt tempo. Helsepersonell må vite hvor de kan finne den sist oppdaterte kunnskapen. Prosedyrebiblioteket VAR Healthcare (57) er et aktuelt nettsted. Sykepleierutdanningene skal i sin formidling være opptatt av forskningsbasert kunnskap og en kunnskapsbasert praksis (146), noe som stiller krav til undervisningspersonell med hensyn til valg av pensum. For å ivareta sikkerheten for pasientene, må enhver sykepleier ha den nødvendige fagkunnskapen og holde oppmerksomheten på hvordan kunnskapen skal brukes.
Normen for sikkerhet er belyst i dette kapitlet. Den finnes også tilgjengelig på nettet. Det sentrale med dokumentasjon i sykepleiepraksis er å gjøre planlagt og utført sykepleie synlig. Dette er med i det å ivareta pasientens sikkerhet (191) i tillegg til å styrke kvaliteten på pleien. Dokumentasjonen skal inneholde nødvendig og tilstrekkelig informasjon om pasienten. Den skal være presis og oversiktlig. For å få dette til vil bruk av egnede verktøy for dokumentasjon være avgjørende. Det innebærer å kunne benytte verktøy som støtter arbeidsprosessene i sykepleiepraksis, og som har integrert terminologi med standardiserte begreper i sin funksjonalitet. I tillegg er det vesentlig at det som dokumenteres, er det nødvendige, og det må være tilstrekkelig. Informasjonen om pasienten må følge pasienten igjennom hele forløpet. Pasientjournalsystemene skal gi sømløse tjenester mellom primærhelsetjenesten, spesialisthelsetjenesten og fastlege. Nødvendige pasientsikkerhetshensyn må være ivaretatt (4).
215
kapittel 9
Til refleksjon
1. Hva er de viktigste elementene for fagutvikling og pasientsikkerhet? a) Ta utgangspunkt i dokumentasjon i sykepleiepraksis, og diskuter de viktige elementene for fagutvikling og pasientsikkerhet med dine arbeidskolleger. b) Diskuter hva som kan gjøres i daglig praksis for å ivareta dokumentasjonsplikten, slik at krav til kvalitet på sykepleien er synlig i oppdaterte tiltaksplaner/behandlingsplaner. 2. Gjennomgå gjeldende rutiner for dokumentasjon i sykepleiepraksis.
Diskuter og vurder hva som kan videreføres, og hva som må revideres.
216
