Avvik, eller uønskede hendelser, er sikkerhetsbrudd og/eller når behandling av helse- og personopplysninger er utført i strid med gjeldende regelverk, retningslinjer eller rutiner.
For å sikre at regelverket følges skal det etableres avviksrutiner slik at avvik oppdages og at årsak til avviket, korrigerende tiltak, læring og rapportering blir dokumentert. Avvikshåndtering kan også iverksettes ved tilfeller av manglende eller uhensiktsmessige rutiner.
Virksomheten skal samle inn fakta om hendelsesforløpet for etablering av korrigerende tiltak og effekten av korrigerende tiltak skal vurderes og eventuelle andre tiltak skal settes i verk ved behov.
Formålet med avviksbehandling er å:
- Håndtere sikkerhetsbrudd og andre uønskede hendelser på en systematisk måte
- Gjenopprette normaltilstanden etter et sikkerhetsbrudd eller en annen uønsket hendelse
- Vurdere endringer i sikkerhetsarbeidet for å hindre fremtidige sikkerhetsbrudd og andre uønskede hendelser (læring)
- Sikre at interessenter som ledelsen, Datatilsynet og den registrerte varsles ved brudd på personopplysningssikkerheten
- Sikre at politiet ved Kripos blir varslet ved hendelser tilknyttet adressesperre FORTROLIG og STRENGT FORTROLIG (kode 7 og 6)
Den enkelte medarbeider er ansvarlig for å rapportere avvik. Virksomhetens ledelse er ansvarlig for å behandle avvik og iverksette tiltak.
Sentrale roller i avvikshåndteringen
Den følgende tabellen beskriver ulike roller i avvikshåndteringen, med tilhørende bekrivelse
og eksempler.
Rolle | Beskrivelse |
Avviksmelder | Den som melder inn avvik. Dette kan være alle ansatte i virksomheten og hos underleverandører/databehandlere. |
Avviksbehandler | Den som er satt til å følge opp avvik i henhold til virksomhetens interne rutine. Dette kan være nærmeste leder, virksomhetens leder, prosesseier, fagansvarlig for personvern, informasjonssikkerhetsleder, IKT-ansvarlig. |
Avvikseier | Den som eier avviket. Hvem som har denne rollen avhenger av årsaken til avviket. Eksempler kan være som følger:
|
Tiltaksansvarlig | Den som får ansvar for å iverksette et konkret tiltak på vegne av avviksbehandler og/eller avvikseier. |
Ulike typer avvik krever at ulike roller er involvert i avvikshåndteringen.
Er årsaken til avviket mangler i virksomhetens overordnede styringssystem/ledelsessystem vil tiltakene iverksettes på et overordnet nivå (eier av prosessen ansvarlig) og ikke i linjen.
Eksempel på slike typer avvik kan være manglende informasjonssikkerhetspolicy, manglende eller uklare regler/prosedyrer og prosesser eller manglende eller uklare rollebeskrivelser.
Dersom årsaken til avviket er en menneskelig feilhandling, dvs. at medarbeidere opptrer i strid med bestemmelser i virksomhetens styringssystem, bør tiltakene iverksettes i linjen gjennom nærmeste leder.
Menneskelige feilhandlinger kan for eksempel skje fordi medarbeidere har manglende kunnskap/kjennskap til etablerte policyer, prosedyrer, prosesser, roller og ansvar, eller at medarbeidere kjenner til regelverket, men har manglende respekt for etablerte prosedyrer og prosesser, og etterlever derfor ikke regelverket.
Om én ansatt gjør en slik feil er imidlertid sannsynligheten stor for at det er behov for tiltak i større deler av organisasjonen. Det er sjelden at den personen var den eneste som «ikke visste», sannsynligvis var det bare den som ble oppdaget.
Virksomhetens rapportering og melding til andre
I Normen omtales rapportering av avvik og brudd på personvern og informasjonssikkerhet til både Datatilsynet og Statens helsetilsyn, i tillegg til plikten til å underrette den registrerte.
Datatilsynet
Dersom det har skjedd et brudd på personopplysningssikkerheten i virksomheten og det er
sannsynlig at bruddet vil medføre en risiko for de registrerte sine rettigheter og friheter, skal
dataansvarlig rapportere bruddet til Datatilsynet innen 72 timer. Ref. Personvernforordningen, artikkel 33. Melding til tilsynsmyndigheten om brudd på personopplysningssikkerheten (lovdata.no)
Datatilsynet beskriver på sine nettsider hvordan en skal rapportere avvik til dem (datatilsynet.no)
Meldingen skal inneholde en beskrivelse av bruddet:
- Hovedårsaken
- Tidsrommet
- Når det ble oppdaget,
- Antall personer som er berørt
- Beskrivelse av hva som har skjedd
- Hvordan det oppstod
- Beskrivelse av hva slags personopplysninger som ble berørt
- Hvilken relasjon virksomheten har til de berørte personene (f.eks. ansatte, pasienter, pårørende eller leverandør)
- Beskrivelse av hvor personopplysningene befinner seg
I tillegg skal meldingen inneholde til beskrivelse av de sannsynlige konsekvensene av bruddet, beskrivelse av tiltak som er gjort og planlagt for å hindre gjentakelse, og hva som er gjort for å redusere skadevirkninger.
Utover brudd på personopplysningssikkerheten kan virksomheten velge å rapportere også andre typer avvik til Datatilsynet. Dette kan gjøres for å bistå tilsynet i deres arbeid, og for å redusere eventuelle gebyr, jf. at gebyr kan ilegges også uten at det er sikkerhetsbrudd, og da vil rapportering kunne være gebyr-reduserende.
Den registrerte
Dataansvarlig skal underrette den registrerte dersom det er sannsynlig at et brudd på personopplysningssikkerheten vil medføre høy risiko for de registrerte (typisk pasienten eller brukeren).
Ref. Personopplysningsloven, Artikkel 34.Underretning av den registrerte om brudd på personopplysningssikkerheten (lovdata.no)
Unntak til dette er dersom:
- Det er gjennomført tekniske og organisatoriske sikkerhetstiltak for de personopplysningene som er berørt, f.eks. tiltak som gjør opplysningene uleselige.
- Det er truffet tiltak i etterkant som gjør at det er lite trolig at bruddet har ført til utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-autorisert tilgjengeliggjøring av eller tilgang til personopplysninger.
- Om varslingen innebærer en uforholdsmessig stor innsats (f.eks. ved at bruddet berører et stort antall individer) skal allmennheten underrettes slik at den registrerte likevel underrettes på en effektiv måte.
Virksomheten skal som minimum gi den registrerte følgende informasjon:
- Beskrivelse av bruddet
- Navn og kontaktinformasjon til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes
- Beskrivelse av de sannsynlige konsekvensene av bruddet
- Beskrivelse av de tiltakene som virksomheten har truffet eller foreslår å sette i gang for å håndtere bruddet, inkludert (dersom det er relevant) tiltak for å redusere eventuelle skadevirkninger som følge av bruddet
Statens helsetilsyn
Virksomheter som yter helse- og omsorgstjenester, skal varsle Statens helsetilsyn om avvik som følge av feil og avvik på informasjonssystemer.
Varslingsplikten utløses ved dødsfall eller svært alvorlig skade på pasient eller bruker som følge av ytelse av helse- og omsorgstjenester når utfallet er uventet ut fra påregnelig risikoI henhold til lov om statlig tilsyn med helse- og omsorgstjenesten mv. (helsetilsynsloven) § 6 (lovdata.no).
Ved hendelser som medfører varsling til Statens helsetilsyn, skal virksomheten:
- Følge opp og informere pasienter og pårørende,
- gjennomgå hendelsen, og
- identifisere og følge opp risikoreduserende tiltak.
Eksempelet som følger beskriver en situasjon der virksomheten må vurdere hvorvidt avvik
skal meldes og rapporteres, både til tilsyn og de registrerte.
Eksempel: Pasient NN er 16 år og er innlagt på Normland sykehus. I forbindelse med en oppdatering av sykdomsbildet, skal sykehuset sende informasjon til de pårørende. Pasienten har samtykket til at denne informasjonen gis. Ved en feil sendes denne informasjonen til en rekke andre pårørende i tillegg til rett mottaker. Pårørende til NN får vite dette via andre som har mottatt informasjonen, da lokalsamfunnet er lite, og alle kjenner alle.
De mener at de har rett på mer informasjon om det som har skjedd, og synes det er svært ubehagelig at andre i lokalsamfunnet har fått sensitiv informasjon om sønnen deres. De vil derfor, i tillegg til informasjon om avviket, ha kontaktinformasjon til de andre mottakerne.
Personvernombudet kontakter egen virksomhet og argumenterer for at de pårørende bør få varsel etter artikkel 34, da de allerede er kjent med at avviket har skjedd og hva slags informasjon som er på avveie. Videre er det et viktig å demonstrere at man tar hendelsen på alvor og at man gjør det man kan for å ivareta pasienten og de pårørende.
I en ubehagelig situasjon som denne er det avgjørende at pårørende og NN føler at de blir sett og at deres ubehag ikke bagatelliseres. Personvernombudet anbefaler at virksomheten tar hensyn til dette i sin kontakt med NN og de pårørende. Ombudet mener likevel at man ikke kan gi ut informasjon om andre mottakere, da disse har en selvstendig rett til å få sitt personvern ivaretatt.
|
Avviksprosessen – system for avvikshåndtering
Etablering av system for avvikshåndtering er et lovpålagt krav innen en rekke områder som kvalitet; helse, miljø og sikkerhet; ytre miljø; personvern; og informasjonssikkerhet. De fleste virksomheter har en felles prosess for avvikshåndtering og forbedringsarbeid. I store virksomheter benyttes ofte egne elektroniske avvikssystem og egne fagavdelinger med overordnet ansvar for internkontrollen på de ulike områdene. I små virksomheter vil det ofte være de samme personene som fyller flere roller.
Denne veilederen tar utgangspunkt i en standard prosess for avvikshåndtering som er gjenkjennelig og overførbar til både små og store virksomheter, samt vektlegger kravene i Normen til avvikshåndtering og kontinuerlig forbedring. Den kan slik skaleres opp eller ned basert på type virksomhet og ikke minst størrelsen på virksomheten.
Avvik kan avdekkes på ulike måter, blant annet følgende:
- Ansatte oppdager at informasjon er kommet på avveie, IKT-driftspersonell avdekker sikkerhetsbrudd som manglende tilgang, uautorisert tilgang, etc. og melder om avvik i virksomheten.
- Melding om avvik kommer til dataansvarlig fra databehandler eller gjennom automatiske varslingsfunksjoner.
- Avvik rapporteres i forbindelse med mottatt klage fra pasient/bruker, mottatt rapport fra ekstern revisor (f.eks. ISO-revisjon, eller kunderevisjon) eller når internrevisor påpeker feil eller mangler i virkshetens ledelsessystem (som prosedyre, rutiner, ansvarsforhold, etc.)
Alle som har observert eller vært involvert i et avvik plikter å melde fra.
Det kan ofte være vanskelig å vite hva som skal rapporteres som avvik. I alle tilfeller skal brudd på minimumskravene for å sikre konfidensialitet, integritet, tilgjengelighet og robusthet som beskrives i Normens kapittel 3.2 meldes som avvik. Det er alltid bedre å melde avvik en gang for mye, enn en gang for lite, og det er viktig at virksomhetens ledelse oppfordrer de ansatte til å melde avvik så fort de avdekkes.
Hvordan melde avvik?
Avvik skal meldes via de kanaler som er etablert i virksomheten. I større virksomheter som sykehus benyttes ofte egne elektroniske avvikssystem, mens andre mindre virksomheter benytter avviksskjema eller andre kanaler. Avviksmeldingen skal beskrive avviket og hvor det har skjedd.
Dersom avviksmelder har iverksatt strakstiltak eller har forslag til tiltak skal dette følge av avviksmeldingen. Meldingen skal ikke inneholde personopplysninger knyttet til navn eller annen type informasjon der det kan være behov for konfidensialitet.
Det er viktig å ha god veiledning til melder i de kanaler som skal benyttes til avviksmelding slik en blir minnet på å ikke ta med sensitiv informasjon i avviksmeldingen. Avviksmeldingen skal også beskrive hva som eventuelt kan være konsekvensen av bruddet.
Vurdere avvik og beslutte tiltak
Når avvik mottas, må risiko og de konkrete omstendighetene rundt vurderes. En må vurdere om det er brudd på konfidensialitet, integritet, tilgjengelighet eller robustheten, og hva konsekvensene av det vil være. På samme måte som ved øvrig håndtering av risiko er kartlegging av årsaker til avviket en viktig kilde til å identifisere gode og effektfulle tiltak.
Det er forskjell på om årsaken til avviket er brudd på eller manglende etterlevelse av policy, prosesser og prosedyrer, eller om årsaken er mangler i styringssystemet. Skal det iverksettes tiltak i avdelingen som følges opp av nærmeste leder løses avviket på det laveste nivået.
Er det behov for å iverksettes tiltak på overordnet nivå og endringen omfatter hele organisasjonen bør dette følges opp av virksomhetens leder. Avviket skal alltid først vurderes av nærmeste leder.
Når årsakene er kartlagt danner dette utgangspunkt for å beslutte hvilke tiltak som skal iverksettes. Skal tiltaket virke forebyggende eller skadebegrensende og skal det gjelde hele organisasjonen (endring i prosess) eller bare for avdelingen avviket oppstod.
Iverksette og evaluere tiltak
Hovedhensikten med all avviksbehandling, er å iverksette tiltak for å hindre gjentagelse. For om mulig hindre at hendelsen skal skje igjen, må tiltakene rette seg mot de aktuelle årsakene til avviket. Flere tiltak kan iverksettes for å behandle det samme avviket, så det kan være flere tiltaksansvarlige som implementerer avvik på vegne av avviksbehandler og/eller avvikseier.
For å sikre gjennomføring av tiltaket anbefales å sette ansvarlig for gjennomføringen, tidsfrist og estimerte kostnader knyttet til gjennomføringen. Det er viktig at de som får ansvar for gjennomføring har forankring, myndighet og ressurser til å implementere tiltakene.
Tiltaksansvarlig bør varsle avvikseier dersom tiltaket blir overført til annen tiltaksansvarlig, og som et minimum når alle besluttede tiltak er iverksatt/gjennomført.
Lukking av avvik, kvalitetssikring og -forbedring
Når tiltakene er gjennomført kan avvikseier vurdere om avviket kan lukkes. I noen tilfeller kan ikke avviket lukkes før det er gjort en evaluering av om tiltaket fungerer etter hensikten. Dette gjelder spesielt avvik med alvorlig konsekvens som for pasientsikkerhet, liv og helse og stor konsekvens for personvernet. Har avviket vært omfattende bør det også gjennomføres en risikovurdering for å avklare om etablerte tiltak er tilstrekkelige.
Når tiltakene er gjennomført og risikoen er på et akseptabelt nivå kan avviket lukkes. Ved lukking av avvik skal det skrives en avsluttende vurdering av avviket. Ved lukking av avviket vil det også ha en stor verdi å vurdere sannsynlighet for gjentagelse av avviket som en del av den endelige behandlingen. Det kan også være nyttig å forsøke å dokumentere de faktiske kostnader avviket har medført for å senere kunne benytte dette i en kost/nyttevurdering av implementerte tiltak.
Tiltakene som er innført bør vurderes etter en tid. Dette kan gjøres i en sikkerhetsrevisjon. Det bør vurderes om tiltakene har vært hensiktsmessige, hvorvidt de er effektive for å hindre sikkerhetsbrudd og om de har hatt utilsiktede konsekvenser som eksempelvis mangelfull tilgang til systemer, redusert funksjonalitet i IKT-systemene, mv. Denne vurderingen bør være en del av ledelsenes årlige gjennomgang av informasjonssikkerhet og personvern.
Eksempel: Eksempler på avvik innen informasjonssikkerhet og brudd på personvernet i helse- og omsorgssektoren kan være:
|