Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Sikring af it-services i sundhedssektoren

373 Aufrufe

Veröffentlicht am

Hvad kræves der i forhold til sikring af it services i sundhedssektoren i Danmark? Denne præsentation giver et overblik over de væsentligste juridiske elementer, hensigten med lovgivningen og hvilke hjælpemidler der findes i form af sikkerhedsservices i den nationale infrastruktur.

Veröffentlicht in: Gesundheit & Medizin
  • Als Erste(r) kommentieren

Sikring af it-services i sundhedssektoren

  1. 1. Sikring af it-services i sundhedssektoren §42a mm.
  2. 2. Regulering af hvad jeg må som ansat sundhedsperson Fagretslig praksis ift. ”ledelsesret” Sundhedsloven Persondataloven ”Sikkerhedsbekendtgørelsen” (offentlig myndighed)
  3. 3. Fagretslig praksis ift. ”ledelsesret” Sundhedsloven Persondataloven ”Sikkerhedsbekendtgørelsen” (offentlig myndighed) • Persondataloven – især §41, stk. 3 om tekniske og organisatoriske sikkerhedsforanstaltninger – persondata må ikke komme til uvedkommendes til kendskab – generelt om samtykke • yderligere specificeret/undtaget i sundhedsloven ift. helbredsinformationer
  4. 4. Fagretslig praksis ift. ”ledelsesret” Sundhedsloven Persondataloven ”Sikkerhedsbekendtgørelsen” (offentlig myndighed) • Ledelsesret – arbejdsmarkedets parter har prøvet ledelsesrettens grænser af ved en lang række konkrete sager ført ved de fagretlige instanser • Man er bl.a. blevet enige om at ”ledelsesret” omfatter – Retten til at ansætte, afskedige, give direktiver for arbejdets udførelse, fastlægge arbejdstider og pauser, fastsætte kontrolforanstaltninger og regler for arbejdspladsen, fortolkningsfordelen – Dvs. arbejdsgiveren her ret til at fastsætte arbejdsfunktioner herunder rettigheder/privilegier til og i it-systemer.
  5. 5. Fagretslig praksis ift. ”ledelsesret” Sundhedsloven Persondataloven ”Sikkerhedsbekendtgørelsen” (offentlig myndighed) • ”Sikkerhedsbekendtgørelsen” – BEK nr. 528 af 15/06/2000 for offentlige myndigheder – Især §11 vedrørende adgang til data kun fra autoriseret fagpersonale – … relevans og formålstjenlighed – Typisk uddelegeret fra ledelsen til brugeradministratorer / rettighedstildeling (dvs. igen ledelsesret) – Bemærk: ikke ”sundhedsfaglig autorisation” som handler om uddannelse/kompetence
  6. 6. Fagretslig praksis ift. ”ledelsesret” Sundhedsloven Persondataloven ”Sikkerhedsbekendtgørelsen” (offentlig myndighed) • Sundhedsloven – Især §41 og §42a vedrørende hhv. videregivelse og indhentning af helbredsinformationer – flere begreber: • aktuel behandlingsrelation, delegering/medhjælp, frabedelse af indsigt, relevans og værdispring
  7. 7. Sammensat Ledelse Medarbejder (sekretær) Sundhedsfaglig medarbejder Ledelsens tilrettelæggelse af arbejdsfunktioner (her tildeling af brugeradministrator-privilegier) Administrativ medarbejder (brugeradministrator) Delegeret Ledelsesmyndighed (tildeling af arbejdsfunktioner) Delegering iht. §42a stk. 9+10 Patient Behandlingsrelation Delegering iht. §42a stk. 8+9 Samtykke Kilde: Referencearkitektur for informa3onssikkerhed, NSI 2013 (3lpasset i@. værge og fuldmagt) Fuldmagt Anden borger Anden borger
  8. 8. Indhentning af elektroniske helbredsoplysninger m.v. i forbindelse med behandling af patienter § 42 a. Læger, tandlæger, jordemødre, sygeplejersker, sundhedsplejersker, social- og sundhedsassistenter, radiografer og ambulancebehandlere med særlig kompetence kan ved opslag i elektroniske systemer i fornødent omfang indhente oplysninger om en patients helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger, når det er nødvendigt i forbindelse med aktuel behandling af patienten. Indenrigs- og sundhedsministeren kan fastsætte regler om, at andre sundhedspersoner, der som led i deres virksomhed deltager i behandling af patienter, kan indhente oplysninger efter reglerne i 1. pkt. Stk. 2. Andre sundhedspersoner end dem, der er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt., kan ved opslag i elektroniske systemer, hvori adgangen for den pågældende sundhedsperson teknisk er begrænset til de patienter, der er i behandling på samme behandlingsenhed, som den pågældende sundhedsperson er tilknyttet, i fornødent omfang indhente oplysninger som nævnt i stk. 1 om aktuel behandling, når det er nødvendigt i forbindelse med aktuel behandling af patienten. Stk. 3. På behandlingssteder med elektroniske systemer, der kun indeholder oplysninger til brug for behandling, som gives på det pågældende behandlingssted, kan andre sundhedspersoner end dem, der er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt., og som er ansat på behandlingsstedet, ved opslag i sådanne systemer i fornødent omfang indhente oplysninger som nævnt i stk. 1, når det er nødvendigt i forbindelse med aktuel behandling af patienten. Dette gælder dog ikke, hvis behandlingsstedet har sundhedsperson ansat, som er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt. Stk. 4. Ledelsen på et behandlingssted kan give tilladelse til, at enkelte eller grupper af sundhedspersoner, der er ansat på det pågældende behandlingssted, kan foretage opslag i elektroniske systemer efter stk. 1. Tilladelse efter 1. pkt. kan kun gives til sundhedspersoner, der har behov for at kunne foretage opslag efter stk. 1 med henblik på at kunne varetage de funktioner og opgaver, vedkommende er beskæftiget med. Beslutninger truffet efter 1. pkt. skal fremgå af en datasikkerhedsinstruks for behandlingsstedet. Beslutninger truffet efter 1. pkt. skal gøres offentligt tilgængelige. Stk. 5. Sundhedspersoner, som er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt., kan endvidere indhente oplysninger som nævnt i stk. 1, hvis indhentningen er nødvendig til berettiget varetagelse af en åbenbar almen interesse eller af væsentlige hensyn til patienten, herunder en patient, der ikke kan varetage sine interesser, sundhedspersonen eller andre patienter. Tilsvarende gælder sundhedspersoner med tilladelse efter stk. 4. Tilsvarende gælder endvidere andre sundhedspersoner ved opslag i elektroniske systemer omfattet af stk. 2 og 3 på det behandlingssted, sundhedspersonen er ansat. Stk. 6. Uden for de i stk. 1 og 5 nævnte tilfælde sundhedspersoner, som er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt., med patientens samtykke endvidere ved opslag i elektroniske systemer indhente oplysninger som nævnt i stk. 1 i forbindelse med behandling af patienter. Stk. 7. Patienten kan frabede sig, at en sundhedsperson indhenter oplysninger efter stk. 1-4. Stk. 8. Læger og sygehusansatte tandlæger kan under disses ansvar lade medicinstuderende indhente oplysninger efter stk. 1 og 5-7. Stk. 9. En sundhedsperson kan under dennes ansvar lade sekretærer yde teknisk bistand til opslag i oplysninger, som den pågældende sundhedsperson selv har adgang til, jf. stk. 1-8. Stk. 10. Uden for de i stk. 1-9 nævnte tilfælde kan læger og sygehusansatte tandlæger under disses ansvar med patientens samtykke lade andre, der er tilknyttet samme behandlingsenhed, hvor patienten er i behandling, i fornødent omfang indhente oplysninger om patienten som nævnt i stk. 1, 1. pkt., når det er nødvendigt i forbindelse med aktuel behandling af patienten som led i den samlede sundhedsfaglige indsats.
  9. 9. §42a er kompleks! • Men den kan dechifreres • Især hvis man læser bemærkningerne til lovforslaget – https://www.retsinformation.dk/Forms/ R0710.aspx?id=136191 • Næste slide viser en operationalisering af §42a – (kilde referencearkitektur for informationssikkerhed, NSI)
  10. 10. Er du autoriseret jf. §42a stk. 1-4? Nej Ja Er du en medarbejder, der under ansvar af en læge eller sygehusansæt tandlæge, som har fået et udtrykkeligt samtykke af patienten, indhenter informationer, der er nødvendige ift. aktuel behandling? (SL §42a stk. 10) Ja Nej Er du passende identificeret og autenticitetssikret? Nej Ja Er du sekretær og yder teknisk bistand eller er du medicin-studerende, der indhenter oplysninger under en læges eller sygehusansat tandlæges ansvar? (SL §42a stk. 8+9) Nej Ja STOP Start Har patienten givet udtrykkeligt samtykke til at du må se de rekvirerede data? (Persondataloven §6, SL §42a stk. 6) Nej Har patienten afgivet udtrykkeligt negativt samtykke mod dig/den du arbejder på vegne af? (SL §42a stk. 7) Nej Nej Ja Nej Frabedelse af indsigt Ja Nej STOP Er patienten i aktuel behandling hos dig/den du arbejder på vegne af, og er det nødvendigt for dig at få data? Ja Delegering Er du/den du arbejder på vegne af, autoriseret af ledelsen til at måtte foretage indhentningen? (persondataloven, ledelsesret) Ja Nej STOP Ja Har patienten frabedt sig at de rekvirerede data kan indhentes? (SL §42a stk. 7) Har patienten givet samtykke til at den afdeling, du/den du arbejder på vegne af, arbejder på må få indsigt i de rekvirerede data (§42a stk. 6) Nej Ønsker du at gøre brug af værdispringsreglen? (§42a stk. 5) Ja Ja Du kan indhente informationerne såfremt sikkerhedspolitikkerne hos den dataansvarlige myndighed tillader det. Den dataansvarlige kan opstille skærpede krav til autorisation eller arbejdsfunktion.
  11. 11. Få mere viden … • Rigtig meget af dette er uddybende beskrevet i – ”Referencearkitektur for Informationssikkerhed”, NSI, 2013 http://www.ssi.dk/~/media/Indhold/DK%20-%20dansk/Sundhedsdata%20og%20it/NationalSundhedsIt/Standardisering/ Referencearkitektur%20for%20informationssikkerhed%20v%20%201%200%20nyt%20layout.ashx
  12. 12. Teknisk udmøntning – hvordan? • Typisk er helbredsoplysninger følsomme og som minimum personhenførbare – Meget ofte krav om stærk identifikation og autentifikation (Niveau 3-4 jf. NIST 800-63), dvs. NemID (eller tilsvarende/bedre) – Krav om konfidentialitet (kryptering) – Krav om integritet (data må ikke kunne forvanskes) – En række andre driftsmæssige krav (opbevaring, destruktion etc. - ISO 27001)
  13. 13. Men der er mere … • Der skal være mulighed for (ift. medarbejdere) – Afgive samtykke og frasigelse – Kontrollere behandlingsrelation – Håndtere værdispring – Håndtere delegering
  14. 14. Der er teknisk hjælp at hente • Nogle af disse ”kontrolservices” findes allerede på National Service Platform – Behandlingsrelationsservice (BRS) • Primært baseret på afregninger (LPR, Sygesikring) samt henvisninger – Samtykkeservice • Mangler borgervendt brugergrænseflade! • Inden dette er på plads er den ikke noget værd • Teknisk service er dog udviklet – FMK bemyndigelsesservice (delegering) • Der har været tanker om at gøre denne til en national service (for andre services end FMK)
  15. 15. Spørgsmål eller uddybning • Kontakt Jan Riis, jri@lakeside.dk tlf. 2160 7252 Lakeside A/S Århus Idé og Strategi It-arkitektur It-projektstøtte Marselisborg Havnevej 32, 1. sal DK-8000 Aarhus C Tel. +45 2160 7252 www.lakeside.dk

×