Informasjon om podkasten

Podkasten (25:22 min) handler om brudd på digital sikkerhet i helse- og sosialtjenester og hvilken rolle ansatte har for å sikre at personvern og informasjonssikkerhet blir ivaretatt. Medvirkende er Henriette Henriksen, som er informasjonssikkerhetsleder i Vestre Viken helseforetak, og Janne Dugstad, som er forsker ved Universitetet i Sørøst-Norge.

I samtalen kommer Henriksen og Dugstad først inn på uoppmerksomhet eller ubetenksom adferd som ansatte i helse- og sosialtjenester har i sine travle arbeidsdager og som gjør at sensitive personopplysninger kan komme på avveie eller at eksterne får tilgang inn i datasystemene og fagsystemene, eller annen adferd som truer informasjonssikkerheten. Videre diskuteres hva man må gjøre etter at en slik hendelse har blitt oppdaget; hva gjør ledelsen, hvordan blir pasienter eller andre berørte informert og hva kan helsepersonell og andre ansatte gjøre for å lære av feilene og komme videre?

Tenk på dette imens du hører på podkasten
  • Hva er de vanligste forglemmelsene og feilene som helsepersonell gjør i forhold til pasienters og brukeres personvern og i forhold til informasjonssikkerhet?
  • Hva kan du som ansatt i helse- og sosialtjenesten gjøre for å opptre ansvarlig?
  • Hva kan du gjøre dersom du oppdager brudd på personvern og informasjonssikkerhet?

Refleksjonsspørsmål som kan diskuteres i grupper etter gjennomhøring

1) Hva er de vanligste forglemmelsene og feilene som ansatte i helse- og sosialtjenester gjør i forhold til pasienters og brukeres personvern og i forhold til informasjonssikkerhet?

2) Hva kan du som ansatt i helse- og sosialtjenesten gjøre for å opptre ansvarlig?

3) Er dette ansvaret annerledes for studenter i praksis?

4) Hva kan du gjøre dersom du oppdager brudd på personvern og informasjonssikkerhet?

Flere utsagn til refleksjon og diskusjon, for å utdype temaet

Hverdagssikkerhet

«Jeg ser ingen grunn til at jeg skal låse PCen eller pasientjournalen når det kun er ansatte som har tilgang til rommet hvor PCen er utplassert i, vi har jo alle taushetsplikt.»
«Av og til lar jeg mine kollegaer få låne min bruker i pasientjournalsystemet for å ta pasientoppslag»
«Klart jeg tar oppslag i egen journal, jeg har rett til innsyn i egen journal»
«Selvsagt tar jeg oppslag i mitt barns journal ved innleggelse eller konsultasjon – som forelder skal jeg jo oppfylle mitt forelderansvar»
«Informasjonssikkerhet er ikke noe helsepersonell trenger å tenke over, det løses av IT folka»
E-post, mobil og sosiale medier

«Min mobiltelefon har så bra kamera og er nyttig for å dokumentere skader, sår og lignende i pasientbehandlingen»
«E-post er effektivt i hverdagen for kommunikasjon om pasientbehandlingen»
«Det er uproblematisk å sende og publisere bilder av pasientskader eller pasientinformasjon via Snapchat, Instagram, Messenger eller Facebook dersom navn eller ansikt ikke eksponeres»

Tips

Mobil

Vil du vite mer om hvordan lovverket for personvern brytes om man bruker privat mobil til å ta bilder av pasienter? Se filmen «Hva ville du gjort» fra Velferdsteknologiens ABC: https://www.youtube.com/watch?v=tvCbLlILbJE&feature=youtu.be

E-post
Hva er problemet med å sende personopplysninger på E-post?
-Stor risiko for feilforsendelse
-Blir liggende hos kommersielle nettleverandører og kan avleses
-Ingen kryptering
-Ingen garanti at e-post kommer frem
-E-post blir liggende i søkbar form i avsenders- og mottakers system – da er plutselig et nytt person/helseregister etablert.
-Ondsinnede henvendelser på e-post har to formål: manipulere deg til å installere ondsinnet programvare og/eller få bruker til å gi fra seg brukernavn og passord.

Hva gjør du?
-Ikke klikk på lenker eller vedlegg
-Ikke svar
-Slett e-post

Ta eventuelt kontakt med IKT-leverandør

Oppsummering: gjenoppretting og ansvar

Hva er viktig i fasen for gjenoppretting og ansvar etter brudd på personvern og informasjonssikkerhet?

1. Virksomheten må ha rutiner og systemer som gjør at brudd på digital sikkerhet meldes inn eller oppdages. En del av de feilene som ansatte gjør blir oppdaget fordi den ansatte selv, kolleger eller pasienter/pårørende melder fra. Det vil komme bedre systemer for automatisk oppdagelse for eksempel av snoking i journaler. Ansatte må være trygge på at de kan rapportere brudd på personvern og informasjonssikkerhet som de selv forårsaker eller som de observerer blant kolleger.

2. Skadebegrensning. «Skade» er f.eks nedetid på datasystemer og annet utstyr, som er til ulempe for alle som er på jobb. Eksempel: Etter datainnbruddet i Østre Toten kommune (se film om svart skjerm i modul 3 Oppdage innbrudd i system), er det estimert 6 måneder for å få gjenopprettet systemene. Ansatte blir berørte ved at de må anvende reserve løsninger.

3. Utredning av hendelsesforløp. Hva har skjedd? Hvem var involvert? Hvordan kunne det skje? Ansatte blir eventuelt involvert i kartleggingen som ledelsen står bak.

4. Varsle berørte. For eksempel vil pasienter/brukere få beskjed om at noen har hatt tilgang til deres helsedata. Det er ikke noe poeng for sykehuset eller kommunen å legge skylden på enkeltpersoner internt, men alle journaloppslag blir logget, så pasienter/brukere får oppgitt navnet på den som har lest i journalen, dersom han/hun krever innsyn i hendelsen. Større hendelser vil komme i media og da blir ofte kommunikasjonsansvarlige i organisasjonen involvert. Ansatte har ikke ansvar her, med mindre de blir bedt om å gjøre oppgaver av leder.

5. Debrief (se eget læringsopplegg for debrief). Det er ikke alltid ansatte blir involvert, dette avhenger av hva som har skjedd. De blir involvert dersom deres adferd forårsaket sikkerhetsbruddet.

6. Gå videre. Det er viktig å jobbe med digital sikkerhet over tid. Lederne må ta sin del av ansvaret og sette sikkerhet på dagsorden, for eksempel ved å sørge for at alle ansatte tar obligatoriske e-læringskurs, ved å ta opp hendelser til refleksjon på personalmøter og ved å arrangere egne fagdager. De ansatte må forstå at digital sikkerhetskompetanse er en nødvendig del av deres fagkompetanse. De må delta på kurs og øvelser. Det kan også være behov for å gjøre andre tiltak. For eksempel medførte hendelsen rundt journallesing av fødsel (eksempel fra podkast) til at det ble veldig dårlig arbeidsmiljø i avdelingen. Det var en situasjon som ledelsen måtte ta tak i og som de ansatte måtte bidra til å løse.