Informationssäkerhet i vård och omsorg, Tom Andersson, senior
Seminarium Informationssäkerhet i vård och omsorg Aktuella och framtida lägesbilder 28 januari 2015 13:00-16:00 Clarion Sign, Stockholm Rapport/Kartläggning Uppföljning av informationssäkerhet i vården Vårdgivarnas rapportering av kontroller, risker och incidenter 28 januari 2015 13:00-14:00, Clarion Sign Stockholm Tom Andersson, senior analytiker Enheten för systematiskt informationssäkerhetsarbete Verksamheten för samhällets informations- och cybersäkerhet Myndigheten för samhällsskydd och beredskap (MSB) Förordning (2008:1002) med instruktion för MSB Informationssäkerhet 11 a § Myndigheten ska stödja och samordna arbetet med samhällets informationssäkerhet samt analysera och bedöma omvärldsutvecklingen inom området. I detta ingår att lämna råd och stöd i fråga om förebyggande arbete till andra […] Myndigheten ska vidare svara för att Sverige har en nationell funktion med uppgift att stödja samhället i arbetet med att förebygga och hantera IT-incidenter. Myndigheten för samhällsskydd och beredskap Verksamhet under Avdelningen för riskoch sårbarhetsreducerande arbete Verksamheten för samhällets informations- och cybersäkerhet Richard Oehme Strategiskt stöd Christina Goede Enheten för systematiskt informations- Enheten för cybersäkerhet och skydd av kritisk säkerhetsarbete informationsinfrastruktur Enheten för operativ cybersäkerhet och itincidenthantering Fia Ewald Åke Holmgren Ann-Marie Alverås Lovén Tom Andersson 4 Myndigheten för samhällsskydd och beredskap Informationssäkerhet Ett verksamhetsmål* *Jmf definition i rapport Konfidentialitet Riktighet Tillgänglighet Spårbarhet Aktualitet Fullständighet Enkelhet Korrekthet Begriplighet Relevans Informationshantering MTO och MDI Informationsdelning Säkerhetsarbete och kvalitetsledning Informationssystem Formella strukturer Automatiska processer Informationsteknik Infrastruktur Myndigheten för samhällsskydd och beredskap Informationssäkerhetsrelaterade frågor i vården Några exempel och illustrationer Akuta allvarliga incidenter Informationssäkerhet Läkemedelshantering Patientsäkerhet Myndigheten för samhällsskydd 7 och beredskap Kroniska problem, flera oklara orsaker En kvinna opererade en tå. Vid utskrivningssamtalet gavs ingen information om stygnen. Efter några veckor kontaktade kvinnan specialistmottagningen med frågor gällande detta. Sjuksköterskan blev osäker eftersom hon inte hittade operationsberättelsen. Hon gav rådet att klippa i ena änden och dra, då ortopederna brukar sy med resorberbar tråd. När kvinnan gjorde så gick tråden av. Två veckor senare kontaktade hon mottagningen igen, fortfarande fanns ingen operationsberättelse. När såret blev infekterat gick kvinnan till husläkaren som öppnade såret och ordinerade antibiotika. Det visade sig att såret sytts med icke resorberbar tråd. Mottagningen uppgav att de trodde att kvinnan önskade information om hur hon själv skulle ta bort stygnen. Hon fick inte klart besked om hur det hade sytts. Alla patienter informeras att stygnen ska tas hos distriktssköterska. Patientnämndens årsrapport 2013 Stockholms län landsting Myndigheten för samhällsskydd och beredskap Svag säkerhetskultur – oklar styrning och uppföljning – dagens tema Loggrutin Effektivitet Ett slumpmässigt urval om 10% av behörig personal, en gång per månad, för kontroll av åtkomst till journaler under en slumpmässig dag denna månad. Om ”jag” gör dataintrång varje arbetsdag under hela året är sannolikheten för att undgå upptäckt under ett helt år 0.28 (=0.912). Om ”jag” gör ett enda dataintrång under ett helt år är sannolikheten för att undgå upptäckt 0.995 (=0,9+0.1*20,43/21,43) Då är inget nämnt om obehöriga som ändå har ”behörighet”, t.ex. it-personal. Myndigheten för samhällsskydd och beredskap ”Styrning” – planering och uppföljning, inte främst regelefterlevnad Lagkrav är ett underlag för att formulera säkerhets- och kvalitetskrav på informationshantering. Patient- och verksamhetskrav är andra underlag. Riskhantering handlar om värderingar av resurser och risker, prioriteringar och problemlösning, om att samordna krav. Verksamhetsplaner för informationssäkerhetsarbetet bör ta hänsyn till både krav och risker. Ytterst handlar arbetet om att verkställa planer för att nå mål. Uppföljning tjänar till att kontrollera som så skedde och om utfallet blev som tänkt. Myndigheten för samhällsskydd och beredskap Kartläggningen Bakgrund Syfte, mål och avgränsning Uppgiften att ”samordna arbetet” kräver kännedom om berörda aktörers arbete. Målet är en lägesbild av informationssäkerhetsarbetet i vården som motiverar till erfarenhetsutbyte. ”Arbete” avser verksamhetens risk- och incidenthantering på området, inte it-säkerhet. ”Lägesbild” avser avståndet mellan mål och nuläge. Fullständiga och uttömmande lägesbilder är inte görliga. Uppföljning och rapportering är i fokus. Myndigheten för samhällsskydd och beredskap Verksamhetsrelaterat säkerhetsarbete, inte system- och it-säkerhet MSB:s enkätfrågor Riktlinjer och regelverk Ledning och samordning Informationsklassning Riskanalys och dokumentation Kontinuitetsplanering Ledningens engagemang Behov av stöd Myndigheten för samhällsskydd och beredskap Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården (SOSFS 2008:14) 2 kap. Ansvar för informationssäkerhet 1 § Vårdgivaren ska ge direktiv och säkerställa att det i verksamhetens ledningssystem för kvalitet och patientsäkerhet finns en dokumenterad informationssäkerhetspolicy. 3 § Vårdgivaren ska utse en eller flera personer som ska ansvara för informationssäkerhetsarbetet. Den eller de som har fått denna uppgift ska minst en gång om året till vårdgivaren rapportera […] 19 § Verksamhetschefen ska inom ramen för vårdgivarens ledningssystem för kvalitet och patientsäkerhet ansvara för uppföljning […] Myndigheten för samhällsskydd och beredskap Socialstyrelsens föreskrifter och allmänna råd om ledningssystem för systematiskt kvalitetsarbete (SOSFS 2011:9) 5 kap. Systematiskt förbättringsarbete 6 § Inkomna rapporter, klagomål och synpunkter ska sammanställas och analyseras för att vårdgivaren eller den som bedriver socialtjänst eller verksamhet enligt LSS ska kunna se mönster eller trender som indikerar brister i verksamhetens kvalitet. 7 kap. Dokumentationsskyldighet 1 § Arbetet med att systematiskt och fortlöpande utveckla och säkra verksamhetens kvalitet ska dokumenteras. Myndigheten för samhällsskydd och beredskap Kartläggningen Underlag Faktaunderlag • Granskningar, revisioner och rapporter på området som återfinns på hemsidor hos myndigheter, landsting och kommuner. • Nyhetsartiklar och forskningspublikationer på området som återfinns i internationella och svenska databaser. • Förfrågan till alla landsting och kommuner om följande handlingar: – senaste årsrapport avseende informationssäkerhet enligt SOSFS 2008:14, – informationssäkerhetspolicy/riktlinjer, – diarieförda granskningar, revisioner och rapporter om it- och informationssäkerhet för perioden 2011-2013, och – patientsäkerhetsberättelse 2013 Myndigheten för samhällsskydd och beredskap Faktaunderlag • Förfrågan till alla landsting om följande handlingar: – regional årsredovisning 2013, – patientnämndens årsberättelse 2013, – dokumentation om system för hantering av avvikelser respektive itincidenter, och – statistikrapport om avvikelser respektive it-incidenter 2013 • Förfrågan till ett urval av kommunala social- och omsorgsnämnder om verksamhetsplanering och uppföljning av informationssäkerhet. • Enkät ”Säker vårddokumentation” till medlemmar i Läkarsekretereras och Sjukvårdsadministratörers Förbund (LSF) samt till ett urval sjuksköterskor i SCB:s yrkesregister. Myndigheten för samhällsskydd och beredskap Informationssäkerhet i vården Den offentliga bilden Dataintrång och driftstörningar Andel nyhetsartiklar om dataintrång i vården ökar. Enstaka it-haverier väcker också intresse. Myndigheten för samhällsskydd och beredskap Nyckelord i Socialstyrelsens beslut om informationssäkerhet 2011 Nyckelord av relevans för tillsynsområdet Antal Patientuppgift 57 Verksamhet 54 Behörighet 41 System 41 Rutin 39 Journal 36 Drift 28 Ansvar 25 Fax 25 Information 24 Myndigheten för samhällsskydd och beredskap Nyckelord i forskningspublikationer om it- och informationssäkerhet Icke vårdrelaterad forskning Vårdrelaterad forskning Myndigheten för samhällsskydd och beredskap Sparsamt om ”riktighet” och ”spårbarhet”, jmf med ECRI:s riskbedömningar ECRI Top Patient Safety Concerns for 2014 (topp 3 av 10) ECRI Top Health Technology Hazards for 2015 (topp 3 av 10) 1. Data integrity failures with health information technology systems 1. Alarm Hazards 2. Poor care coordination with patient’s next level of care 3. Test results reporting errors 2. Data Integrity: Incorrect or Missing Data in EHRs and Other Health IT Systems 3. Mix-Up of IV Lines Leading to Misadministration of Drugs and Solutions Handlar det om nationella skillnader i risker eller riskhantering? 23 Myndigheten för samhällsskydd och beredskap Vårdgivarnas uppföljning Offentlig rapportering Sjukvårdshuvudmännens responser på förfrågan om dokumentation Antal Typ av dokumentation Landsting Kommuner Skriftligt svar om diarieförda rapporter 21 244 Årsrapporter enligt SOSFS 2008:14 7 0 Patientsäkerhetsberättelse 2013 21 224 Revisioner it- och informationssäkerhet 16 47 Informationssäkerhetspolicy eller riktlinje 20 107 Årsredovisning 2013 21 Ej aktuellt Dokumentation om avvikelsehantering 14 Ej aktuellt Dokumentation om incidenthantering 7 Ej aktuellt Myndigheten för samhällsskydd och beredskap Policys Vårdgivarna ställer krav på omedelbar rapportering av incidenter till chefer, men det finns sällan något krav på rapportering från ansvariga chefer. Sex landsting hänvisar till kravet på rapportering i SOSFS 2008:14. Inga kommuner (107). Det finns fall där kravet nämns i socialnämndernas riktlinjer för dokumentation. Ca hälften av policys är mer eller mindre kopior på mallar som finns tillgängliga på nätet. Myndigheten för samhällsskydd och beredskap Årsrapporter Tre landsting delgett en årsrapport med en disposition i enlighet med föreskriften. Årsrapporten från Landstinget i Uppsala län tjänar som ett viktigt exempel på strategi för att knyta ihop central rapportering och lokal egenkontroll (se bilagor). Ytterligare fyra landsting har åberopat eller delgett årsrapporter som avviker från föreskriften. Västra Götalandsregionen har en rapport i form av en årlig redovisning av standardiserade säkerhetsbedömningar (se bilaga). Ingen kommun har delgett en årsrapport i enlighet med föreskriften. Myndigheten för samhällsskydd och beredskap Övriga rapporter Magert med innehåll i årsredovisningar (3 av 21). Mager sporadisk redovisning av logguppföljning och kvalitetsgranskning i Patientsäkerhetsberättelser, men med vissa undantag, några kommuner. En av sex kommuner (47) och sexton landsting har delgett revisioner av it- och informationssäkerhet under 2011-2014. It- och systemsäkerhet dominerar. En handfull kommuner har delgett systemsäkerhetsanalyser. Myndigheten för samhällsskydd och beredskap Avvikelse- och incidentrapportering Sjutton landsting har delgett någon form av dokumentation om system för avvikelsehantering och incidenthantering: • 6 om både avvikelsehantering och incidenthantering, • 10 om bara avvikelsehantering, • 1 om bara incidenthantering. Myndigheten för samhällsskydd och beredskap Mycket hög andel avvikelser i Landstinget i Jönköpings län, normalt 0%/0-5% Förklaringen är engagemang och perspektivförskjutning, inte fler problem. Avvikelsestatistik används till exempel i årlig rapport av egenkontroll till ledningen på Värnamos sjukhus. Antal Andel Riktighet 528 28,6% Sekretess 48 2,6% Spårbarhet 78 4,2% Tillgänglighet 518 28,0% Ospecificerat 675 36,5% Summa infosäk 1847 20,6% Totalt antal avvikelser i landstinget 8948 Avvikelser ”informationssäkerhet” 2013 Myndigheten för samhällsskydd och beredskap Ingen helhetssyn på säkerhets- och kvalitetsbrister på information Avvikelsekategorier i Östergötlands system (Synergi) av potentiell relevans för informationssäkerhet. Administration, ej patientrelaterad ROS (Remiss Och Svar) Information och kommunikation Kund saknas på remiss Samordnad vårdplanering Remisshanteringsfel Dokumentation Underskrift saknas på remiss ID patient/kund fel/saknas Remiss saknas Förväxling Provtagning/hanteringsfel Registreringsfel Provtagningsunderlag uttaget av beställare Etikettfel IT (Informationsteknik) Medicinsk teknik Myndigheten för samhällsskydd och beredskap Säkerhets- och kvalitetsbrister är både ”orsaker” och ”effekter”. Några av många fler orsakskategorier i NITHA* • • • • • • • Brister avseende användargränssnitt Brister avseende mjukvara Brister avseende tolkning av information Brister i agerande på tillgänglig information Brister i kontroll av identitet av person Brister i reservrutiner vid driftavbrott Brister i tillgång till journaluppgifter, ordination, PM, m.m *Nationellt it-stöd för händelseanalys (metodstöd, databas och standardisering): 455 analyser 2015-01-22 Myndigheten för samhällsskydd och beredskap Incidentrapportering (driftstörningar) Den generella rutinen är felanmälan till it-stödet (servicedesk) som bedömer hur allvarligt ärendet är. Västra Götalandsregionen (VGR), Landstinget Västernorrland (LVN) och Region Halland (RH), har delgett både dokumentation och statistik för år 2013. I VGR och RH är det ca 3 ggr fler it-ärenden än avvikelser. I LVN är det något fler avvikelser än itärenden, drygt 9300 respektive drygt 8500. Ca 1/3 av it-incidenter/ärenden är av allvarligare karaktär och kräver andra linjens stöd. Andelen vårdsystemrelaterade incidenter varierar, men ligger i samtliga fall bland tre-i-topp kategorier. Myndigheten för samhällsskydd och beredskap RH Incidentprofiler VGR och RH – jämförelser svåra med olika kategorier VGR Myndigheten för samhällsskydd och beredskap Klagomål till patientnämner 2014 Andel informationsrelaterade klagomål till 17 patientnämnder som hanterade totalt 28 308 klagomål. Typ av klagomål % Typ av klagomål % Remiss/vårdbegäran 1,9% Information till patient eller närstående 4,2% Intyg 1,3% Informationsöverföring inom vårdgivare 0,7% Medicinskteknisk utrustning 0,7% Informationsöverföring mellan vårdgivare 0,4% Brutensekretess/ tystnadsplikt 0,7% Brister i hantering av remisser m.m. 3,3% Patientjournal/loggar 2,3% Övrig administrativ hantering 1,1% Dataintrång 0,7% Summa andel informationsrelaterade klagomål 17,3% Myndigheten för samhällsskydd och beredskap Är bristande styrning och uppföljning ett problem? Presentation av resultat från enkäten ”Säker vårddokumentation” Disposition Inledande fråga om arbetsstatus: < 3 månaders uppehåll? (1) Del 1: riktighet, konfidentialitet och tillgänglighet (3 x 5 = 15) Kännedom om en rutin Erfarenhet av dess tillämpning Tidpunkt för dess tillämpning Erfarenhet av återkoppling eller övning Tidpunkt för återkoppling eller övning Del 2 : riktighet, konfidentialitet och tillgänglighet (3 x 4 = 12) Kännedom om avvikelse eller incident Tidpunkt för senaste händelse Kännedom om patientsäkerhetsrisk Tidpunkt för senaste riskbedöm Del 3: bakgrundsprofil (7 ) År i yrke och på arbetsplats Typ av arbetsplats och arbetsgivare Ledningsansvar Kurs i informationssäkerhet och tidpunkt för kurs Myndigheten för samhällsskydd och beredskap Anvisningar och definitioner Frågorna avser din kännedom och erfarenhet från din nuvarande och huvudsakliga arbetsplats. ”Kvalitetsgranskning": en systematisk kontroll av vissa uppgifter i ett urval av patientjournaler, dvs. en genomgång och sammanställning av vilka uppgifter som är rätt och riktiga. (förkortning: KG) ”Logguppföljning”: en regelbunden och systematisk kontroll av vem som har haft åtkomst till patientjournaler, att endast behöriga personer har haft åtkomst. (LU) Myndigheten för samhällsskydd och beredskap Anvisningar och definitioner ”Reservrutiner”: rutiner för att läsa eller skriva journaler när normala rutiner inte fungerar. Det kan bero på nödsituationer, tekniska problem eller andra oönskade händelser. (RR) ”Vårddokumentation”: till exempel journalanteckningar, läkemedelslistor, provsvar och remisser. (VD) ”Patientsäkerhetsrisk”: en möjlig orsak till potentiell patientskada, där orsak och skada fastställs genom professionell bedömning på arbetsplatsen. (PSR) Myndigheten för samhällsskydd och beredskap Svarsmönster I november 2014 hade LSF 1450 medlemmar. Antal svar uppgår till 753, vilket ger en svarsfrekvens på 52%. Urvalet i SCB:s enkät till sjuksköterskor baserar sig på SCB:s yrkesregister från 2012. Antal svar från yrkesaktiva är 2712 (57%). Enkäten till LSF-medlemmar är att betrakta som en expertenkät till specialister på vårddokumentation. Enkäten till sjuksköterskor är att betrakta som representativ för sjuksköterskor. Myndigheten för samhällsskydd och beredskap Bakgrundsprofiler Andel respondenter med +10 års yrkeserfarenhet 86% för LSF-medlemmar 74% för sjuksköterskor Andel respondenter med ledningsansvar 13% för LSF-medlemmar 18% för sjuksköterskor Andel respondenter i öppenvården 64% för LSF-medlemmar 36% för sjuksköterskor Andel respondenter i lärarledd kurs 32% för LSF-medlemmar 15% för sjuksköterskor Myndigheten för samhällsskydd och beredskap Riktighet Andel som känner till en rutin för KG 38% för LSF-medlemmar 45% för sjuksköterskor Andel som uppger att KG har skett på arbetsplatsen de senaste 12 månaderna 17% för båda grupperna. Andel som uppger felaktig VD de senaste 12 månaderna 43% för LSF-medlemmar 49% för sjuksköterskor. Andel som uppger PSR med felaktig VD de senaste 12 månaderna 13% för LSF-medlemmar 22% för sjuksköterskor. Myndigheten för samhällsskydd och beredskap Konfidentialitet Andel som känner till en rutin för LU 70% för LSF-medlemmar 40% för sjuksköterskor Andel som har fått återkoppling på en LU de senaste 12 månaderna 20% för LSF-medlemmar 4% för sjuksköterskor. Andel som kan uppge om en LU har genomförts de senaste 12 månaderna 39% för LSF-medlemmar 13% för sjuksköterskor Andel som uppger att obehörig åtkomst till VD har förekommit de senaste 12 månaderna 3% för båda grupperna Myndigheten för samhällsskydd och beredskap Tillgänglighet Andel som känner till en RR för journalföring 64% för LSF-medlemmar 54% för sjuksköterskor Andel som har följt en RR för journalföring de senaste 12 månaderna 14% för LSF-medlemmar 19% för sjuksköterskor. Andel som har följt och övat en RR för journalföring de senaste 12 månaderna 3% för båda grupperna Andel som uppger att otillgänglig VD har varit en PSR de senaste 12 månaderna 6% för LSF-medlemmar 16% för sjuksköterskor Myndigheten för samhällsskydd och beredskap Analyser Hur samspelar bakgrundsprofil med kännedom och erfarenhet av kontrollarbete och incidenter? Ledningsansvar och lärarledd kurs visar generellt på starkare samband än övriga bakgrundsfrågor. Positivt samband mellan ledningsansvar och kurserfarenhet, men ingen enkel tolkning. Andel med ledningsansvar hos LSF-medlemmar lägre än hos sjuksköterskor. Andel med kurserfarenhet högre hos LSF-medlemmar än hos sjuksköterskor. Myndigheten för samhällsskydd och beredskap Analyser Andel LSF-medlemmar som uppger förekomst av… KG är 2,2 ggr större för dem med ledningsansvar än utan ansvar, jmf 1,6 för sjuksköterskor. LU är 1,5 ggr större för dem med ledningsansvar än utan, jmf 1,4 sjuksköterskor. Andel LSF-medlemmar som uppger erfarenhet av… RR är 1,7 ggr större för dem med ledningsansvar än utan, jmf 1,3 för sjuksköterskor. Andel sjuksköterskor med erfarenhet av KG är 1,4 ggr högre för kommunal arbetsgivare än i landstinget. Myndigheten för samhällsskydd och beredskap Sammanfattning Slutsatser Reflektioner Diskrepansen mellan riktlinjer och praxis speglar svag eller bristande styrning och uppföljning. Kontrollinsatser och riskuppfattningar går inte hand i hand, jmf. riktighet och konfidentialitet. Det speglar regelefterlevnad istället för riskbaserat säkerhetsarbete. Anmärkningsvärt att dagens patientsäkerhetsarbete lägger allt större vikt på journalgranskning, att identifiera vårdskador genom att analysera journaler, men så lite vikt på kvalitetsarbetet. Myndigheten för samhällsskydd och beredskap Slutsatser – myndigheter och vården Citat (RIR 2014:23): Riksrevisionens samlade slutsats […] att arbetet med informationssäkerheten inte är ändamålsenligt […] saknas en samlad avvägning […] en samlad riskvärdering […] osäkerhet om hur starkt skyddet är, vilka händelser som ägt rum och hur hoten utvecklas. 49 Slutsats (2015-01-28): Generellt föreligger en brist på verksamhetsstyrning av säkerhets- och kvalitetsfrågor i vårdens informationshantering, vilket underblåser blind efterlevnad av regler och undergräver riskbaserat kontrollarbete. Det finns givetvis många undantag i enskilda medarbetares engagemang. Myndigheten för samhällsskydd och beredskap Seminarium Informationssäkerhet i vård och omsorg Aktuella och framtida lägesbilder 28 januari 2015 13:00-16:00 Clarion Sign, Stockholm Seminarium Uppföljning av informationssäkerhet i vården Forskningsläget 28 januari 2015 13:00-16:00 Clarion Sign, Stockholm Forskningspublikationer om hälso- och sjukvård i PubMed Andel artiklar av ca 8,4 miljoner artiklar i Health Care Category ”Information security” ger 312 träffar. Med ”audit” 12 träffar. Myndigheten för samhällsskydd och beredskap Värt att notera… [...] security breaches are not directly related to perceived regulatory compliance, but related to hospitals’ security practice patterns. Kwon J, Johnson ME. Security practices and regulatory compliance in the healthcare industry. J Am Med Inform Assoc. 2013 Jan 1;20(1):44-51. Myndigheten för samhällsskydd och beredskap Seminarium Informationssäkerhet i vård och omsorg Aktuella och framtida lägesbilder 28 januari 2015 13:00-16:00 Clarion Sign, Stockholm
© Copyright 2024