Informationssäkerhetsarbetet i hälso

Informationssäkerhet för offentlig sektor
Stockholm 1-2 september 2015
Informationssäkerhet och
riskhantering i vården
Styrning och uppföljning
- En lägesbild av kontrollarbetet
Tom Andersson
Enheten för systematiskt informationssäkerhetsarbete (SISA)
Verksamheten för samhällets informations- och cybersäkerhet (ICS)
Myndigheten för samhällsskydd och beredskap (MSB)
Bakgrund – två rapporter och pågående
utvärdering av styrdokument
Uppföljning av informationssäkerhet i vården Vårdgivarnas rapportering av kontroller, risker och
incidenter (januari 2015)
https://www.msb.se/sv/Produkter--tjanster/Publikationer/Publikationerfran-MSB/Uppfoljning-av-informationssakerhet-i-varden/
Kontinuitetshantering i praktiken - fallstudier av
läkemedelshantering och informationshantering i händelse
av verksamhetsstörningar (januari 2014)
https://www.msb.se/sv/Produkter--tjanster/Publikationer/Publikationerfran-MSB/Kontinuitetshantering-i-praktiken/
Myndigheten för samhällsskydd och beredskap
Omvärldsförändringar – ny teknik, nya
regelverk
Reform av EU:s regler om skydd
av personuppgifter 2015 med
införande senast 2018

Förenklad administration,
tydligare ansvarsutkrävande,
stärkt konsumentmakt
Socialstyrelsens förslag till nya
föreskrifter avseende
personuppgifter och
journalföring

bättre balans mellan krav

tydligare ansvarsbeskrivningar
OECD 23-24 June 2015
Working Party on Security and
Privacy in the Digital Economy
Council Recommendation on
Privacy-Protective Uses of Personal
Health Data : Draft Discussion Paper

Behov av riktlinjer för sekundär
användning av hälsodata

Att maximera samhällsnytta och
minimera integritetsrisker

Samordnad, strategisk
riskhantering som utgångspunkt
för styrning
Myndigheten för samhällsskydd och beredskap
Riskhantering, mer än regelefterlevnad
och säkerhetsteknik
Typexempel på
loggrutin
 Ett slumpmässigt urval
om 10% av behörig
personal
 En gång per månad
 För kontroll av åtkomst
till journaler under en
slumpmässig dag denna
månad
Effektivitet

Om ”jag” gör dataintrång varje
arbetsdag under hela året är
sannolikheten för att undgå
upptäckt under ett helt år 0.28
(=0.912).

Om ”jag” gör ett enda dataintrång
under ett helt år är sannolikheten
för att undgå upptäckt 0.995
(=0,9+0.1*20,43/21,43)

Då är inget nämnt om obehöriga
som ändå har ”behörighet”, t.ex.
it-personal.
Myndigheten för samhällsskydd och beredskap
Övergripande frågor för
kartläggningen
Hur ser kontrollarbetet
ut för dessa mål?
 Konfidentialitet
 Riktighet
 Tillgänglighet
 Spårbarhet
Är arbetet konsekvent
med riskerna?
 Dataintrång
 Datahaverier
 Datafel
Informationshantering,
försörjning och
delning
MTO och
MDI
Styrning
och
uppföljning
Informationssystem
Automatiska processer
Mjukvara. Databaser
Informationsteknik
Infrastruktur
Hårdvara
Myndigheten för samhällsskydd och beredskap
Dataintrång
Av allt att döma blir 2015 ett trendbrott, från ett fokus
på dataintrång bland personal till hackers
De fem senaste attackerna omfattar
99,3 av 143,3 miljoner drabbade
över en period på 6 år.
Myndigheten för samhällsskydd och beredskap
Datahaverier
Funktionsstörningar i informations- och it-tjänster.
Avbrott i systemoch nätverkstjänster
Programvarufel
Myndigheten för samhällsskydd och beredskap
Datafel
Tio i topp hälsoteknologiska faror 2015 – ”oriktighet”
Myndigheten för samhällsskydd och beredskap
Rapporteringskrav i policys för
informationssäkerhet
 Sex landsting hänvisar i sina policys till kravet på
rapportering enligt SOSFS 2008:14.
 Inga kommuner (107). Det finns fall där kravet nämns i
socialnämndernas riktlinjer för dokumentation.
 Ca hälften av alla policys är mer eller mindre kopior på
mallar som finns tillgängliga på nätet.
Myndigheten för samhällsskydd och beredskap
Rapportering
 Åtta landsting, ingen kommun, delgav årsrapporter
enligt föreskrift.
 Totalt ett 50-tal revisioner under 2011-2014. It- och
systemsäkerhet dominerar.
 Ingen helhetssyn på avvikelse- och incidenthantering
 Magert med logguppföljning och kvalitetsgranskning i
Patientsäkerhetsberättelser
 Några goda exempel: Uppsala, Västra Götaland,
Östergötland, Jönköping
Myndigheten för samhällsskydd och beredskap
Enkät till två personalgrupper – urval
och svarsmönster
Enkäten till LSF-medlemmar är att betrakta som en
expertenkät till specialister på vårddokumentation.
 753 svar från 1450 medlemmar i LSF (52%)
Enkäten till sjuksköterskor är att betrakta som representativ
för sjuksköterskor (SJU).
 2712 svar från yrkesverksamma sjuksköterskor (57%)
Myndigheten för samhällsskydd och beredskap
Enkätdesign
Inledande fråga om arbetsstatus:
< 3 månaders uppehåll?
Del 2 : Erfarenhet av avvikelser
och incidenter (12 frågor)

Kännedom och tidpunkt för
senaste händelse

Kännedom om
patientsäkerhetsrisk och tidpunkt
för senaste analys
Del 1: Erfarenhet av rutiner och
kontroller (15 frågor)

Kännedom om och erfarenhet av
Del 3: Bakgrundsprofil (7 frågor)

Antal yrkesverksamma år och
antal år på aktuell arbetsplats
tillämpning av kontrollrutin

Tidpunkt för tillämpning

Arbetsplats och arbetsgivare

Erfarenhet av och tidpunkt för

Ledningsansvar
återkoppling

Lärarledd kurs i
informationssäkerhet och
tidpunkt för kurs
Myndigheten för samhällsskydd och beredskap
Anvisningar och definitioner
Frågorna avser din kännedom och erfarenhet från din nuvarande och
huvudsakliga arbetsplats.
”Kvalitetsgranskning”: en systematisk kontroll av vissa uppgifter i
ett urval av patientjournaler, dvs. en genomgång och sammanställning
av vilka uppgifter som är rätt och riktiga.
”Logguppföljning”: en regelbunden och systematisk kontroll av vem
som har haft åtkomst till patientjournaler, att endast behöriga personer
har haft åtkomst.
”Patientsäkerhetsrisk”: en möjlig orsak till potentiell patientskada,
där orsak och skada fastställs genom professionell bedömning på
arbetsplatsen.
Myndigheten för samhällsskydd och beredskap
Bakgrundsprofiler
Andel respondenter i öppenvården:
64% (LSF), 36% (SJU)
Andel respondenter i lärarledd kurs
32% (LSF), 15% (SJU)
Andel respondenter med ledningsansvar
13% (LSF), 18% (SJU)
Myndigheten för samhällsskydd och beredskap
Riktighet
Kvalitetsgranskning (KG) de senaste 12 månaderna:
 17% för båda grupperna
 1,6 (2,2) ggr fler bland respondenter som har gått kurs
jämfört med dem utan kurs.
Patientsäkerhetsrisk med felaktig vårddokumentation de
senaste 12 månaderna:
 13% (LSF), 22% (SJU)
Myndigheten för samhällsskydd och beredskap
Konfidentialitet
Logguppföljning de senaste 12 månaderna:
 39% (LSF) och 13% (SJU)
Obehörig åtkomst de senaste 12 månaderna:
 3% för båda grupperna.
Patientsäkerhetsrisk till följd av obehörig åtkomst:
 < 1%.
Myndigheten för samhällsskydd och beredskap
Tillgänglighet
Tillämpning av reservrutin (RR) för journalföring de
senaste 12 månaderna:
 14% (LSF) och 19% (SJU)
Övning av RR de senaste 12 månaderna:
 3% för båda grupperna
Patientsäkerhetsrisk till följd av otillgänglig
vårddokumentation de senaste 12 månaderna:
 6% (LSF) och 16% (SJU)
Myndigheten för samhällsskydd och beredskap
Reflektioner
 Kontrollinsatser och riskuppfattningar går inte hand i
hand, jmf. riktighet och konfidentialitet.
 Anmärkningsvärt att dagens patientsäkerhetsarbete
utgår från journalgranskning, men så lite vikt läggs på
kvalitetsarbete med journalföring.
 Svag och splittrad styrning – regelefterlevnad istället för
riskhantering och samordning
Myndigheten för samhällsskydd och beredskap
LfMT utredning om patientdatalagen
och medicinteknik
”Vi har skapat en mångfald av olika
Ledningsnätverket för Medicinsk
Teknik (LfMT)
Patientdatalagen i den
kliniska vardagen – Vilka
krav ställs på
medintekniska
produkter?
http://www.lfmt.se/sida6.html
verksamhetssystem med olika
behörighetssystem och säkerhetsnivåer,
med eller utan central styrning av
tilldelade rättigheter” (sidan 29).
”grundläggande perspektiv […]
sammanhållen riskhantering
avseende riskanalys och
avvikelsehantering av risk för
både patientskada och kränkning
av patientens integritet”
Vem eller vilka bär huvudansvaret att
avgöra vad erforderlig informationssäkerhet är? […] Normen idag är att
informationssäkerhetsexperter anser sig
ha dessa förutsättningar [att ta beslut].
Ska det vara så?
Myndigheten för samhällsskydd och beredskap
Målkonflikt i riskhantering – fallet med
Hospiras Symbiq infusionspump
Myndigheten för samhällsskydd och beredskap
Effektstudier av informationssäkerhet i
hälso- och sjukvården
Kwon, J., & Johnson, M. E. (2015). The Market Effect of
Healthcare Security: Do Patients Care about Data Breaches?
Paper presented at the 14th annual Workshop on the
Economics of Information Security (WEIS), 22-23 June,
2015.
Juhee Kwon
Assistant professor
Department of Information Systems
City University of Hong Kong
Kwon, J., & Johnson, M. E. (2014). Proactive versus reactive
security investments in the healthcare sector. Mis Quarterly,
38(2), 451-471.
Kwon, J., & Johnson, M. E. (2014). Meaningful Healthcare
Security: Does "Meaningful-Use" Attestation Improve
Information Security Performance? Paper presented at the
13th annual Workshop on the Economics of Information
Security (WEIS), 23-24 June, 2014.
Kwon, J., & Johnson, M. E. (2013). Security practices and
regulatory compliance in the healthcare industry. Journal of
the American Medical Informatics Association, 20(1), 44-51.
M. Eric Johnson
Dean and Professor of Strategy
Owen Graduate School of Management
Vanderbilt University
Kwon, J., & Johnson, M. E. (2013). Health-care security
strategies for data protection and regulatory compliance.
Journal of Management Information Systems, 30(2), 41-66.
Myndigheten för samhällsskydd och beredskap
För att citera…
 Proactive security
investments are associated
with lower security failure
rates.
 Proactive investments are
more cost effective. This
effect is amplified at the state
level (positive externalities).
 Proactive investments,
voluntarily made, have more
impact than those
involuntarily made.
 The cumulative effect of
breach events [samt antal
dataposter] over a three-year
period decreases the number
of outpatient visits and
admissions.
 The effects in competitive
markets are significantly
larger than those in noncompetitive markets, which
are insignificant.
Myndigheten för samhällsskydd och beredskap
Nytto- och riskhantering av journaler
på nätet (eHälso-tjänster)
Forskare efterfrågar
bättre nytto- och
riskkalkyler av
systemutveckling i
vården
Black AD, Car J, Pagliari C, Anandan C,
Cresswell K, Bokun T, McKinstry B, Procter R,
Majeed A, Sheikh A. The impact of eHealth on
the quality and safety of health care: a systematic
overview. PLoS Med. 2011 Jan 18;8(1).
Resultat av
sammanställning av 143
forskningsstudier*
 Inga studier rapporterade
förbättrade hälsoresultat
 Ökad bekvämlighet och
kundnöjdhet
 Blandade erfarenheter av
arbetsmiljö, läkemedelsfel och
integritet.
*de Lusignan, S., Mold, F., Sheikh, A., Majeed, A., Wyatt, J. C., Quinn, T., ... & Rafi, I. (2014). Patients’
online access to their electronic health records and linked online services: a systematic interpretative
review. BMJ open, 4(9), e006021.
Myndigheten för samhällsskydd och beredskap
Statistik på HHS-uppgifter (U.S. Department
of Health and Human Services)
Myndigheten för samhällsskydd och beredskap
Framväxande risker (emerging risks) följer
inte några formella och aktuella
ansvarsfördelningar.
12.3% har undanhållit
information från
vårdpersonal på grund av
oro för säkerhet och
integritet
“Patients’ withholding
medical information […]
may not only impact
negatively on the patient
[…] potentially compromise
the health of others and the
quality of healthcare
surveillance systems.”
Agaku, I. T., Adisa, A. O., Ayo-Yusuf, O. A., & Connolly, G. N. (2014). Concern about security and privacy, and
perceived control over collection and use of health information are related to withholding of health information
from healthcare providers. Journal of the American Medical Informatics Association, 21(2), 374-378.
Myndigheten för samhällsskydd och beredskap
Sammanfattande lägesbild
 Brist på mognad i styrning och uppföljning – förmågan
till risk- och kontinuitetshantering
 Växande risker med extrem tillväxt av datamängder och
öppna nätverk
 Vårdområdet ändå en framtida förebild genom evidensbaserad praktik
Myndigheten för samhällsskydd och beredskap
Tre frågor som underlag för reflektion
och diskussion
Hur ser du på kravställning och
riskhantering avseende öppna e-tjänster i din
organisation?
Är det förändringar på gång?
Är det några "goda exempel" att vänta?
Myndigheten för samhällsskydd och beredskap