Risikostyring
Kravet i lovverket til informasjonssikkerhet er forholdsmessig sikring. Dette innebærer at sikkerhetstiltakene skal være tilpasset det fastsatte nivået for akseptabel risiko i virksomheten. Det første steget en virksomhet må ta for å kunne håndtere risiko på en systematisk og planlagt måte er å ha oversikt over hvilke informasjonsverdier eller informasjonsbehandlinger som skal sikres.
Alle virksomheter som forvalter medisinsk utstyr er pliktig til å ha oversikt over utstyret som virksomheten har ansvaret for. Denne oversikten er et godt utgangspunkt for en overordnet risikovurdering av informasjonssikkerhet i tilknytning til utstyret. Ved å ta utgangspunkt i brukstilfellene ovenfor, og sammenligne eget utstyr med disse, kan virksomheten gjøre en grovsortering av hvilke deler av den medisinske utstyrsparken som er mest utsatt for risiko, og der sikkerhetstiltak må vurderes først. I henhold til Normens kapittel 4.6 kan det i en overgangsperiode benyttes administrative tiltak, f.eks. i form av rutiner dersom tekniske tiltak for å oppnå akseptabel risiko ikke innføres umiddelbart.
En overordnet risikovurdering av utstyrs- og systemparken knyttet til medisinsk utstyr er et godt utgangspunkt for å prioritere videre risikovurdering og oppfølging.
utstyr som behandler pasientidentifiserbare data, og som er nettverkstilknyttet, og der leverandør har tilgang via VPN er mest eksponert for risiko, mens utstyr som ikke er nettverkstilknyttet er minst eksponert for risiko. Neste steg blir da å gjennomføre mer dyptgående risikovurderinger for det medisinske utstyret som er mest utsatt. I forbindelse med slike vurderinger kan metodikk fra standarder som IEC 80001 være til nytte.
Det er vesentlig å involvere klinisk ansvarlige i risikovurderingene, slik at man har oversikt over hva som er tiltenkt bruk av utstyret.
Kort om IEC 80001 Application of risk management for IT-networks incorporating medical devices
Denne standarden beskriver roller, ansvar og aktiviteter ved risikostyring når medisinsk utstyr tilknyttes virksomhetens IT-nettverk
| Hvis det leveres egne sertifiserte MU nettverksløsninger som en del av utstyret som benyttes (for eksempel hjerteovervåkingsnettverk) gjelder ikke standarden for disse. Her vil produsenten ha ansvar for risikovurdering. På dette området er standarder som ISO14971 aktuelle. |
.IT-nettverk defineres som et system eller systemer som består av kommunikasjonsnoder og transmisjonsforbindelser som gir fysisk tilkoblet eller trådløs kommunikasjon mellom to eller flere spesifiserte kommunikasjonsnoder. Et medisinsk IT-nettverk er et IT-nettverk som består av minst ett medisinsk utstyr.
Standarden beskriver at «safety», «effectiveness» og «data and system security» skal adresseres i risikostyringen
| Å risikovurdere informasjonssikkerhet og personvern ved medisinsk utstyr på en måte der det også tas hensyn til bl.a. pasientsikkerhet, kan en tenke seg at «safety» og «effectiveness» bringes inn som tilleggs- dimensjoner i risikovurderingen. |
Disse tre begrepene er kalt «key properties» i standardene, og er i vår oversettelse definert på følgende måter. (Det foreligger ingen offisiell norsk oversettelse av standarden):
- «Safety», tilsvarende «trygghet», eller «sikkerhet» som det benyttes i konteksten HMS, eller pasientsikkerhet; Frihet fra uakseptabel risiko for tap av liv og helse, eller skade på eiendom eller miljø.
- «Effectiveness», evne til å skape ønsket resultat for pasient og virksomheten.
- «Data and system security», tilsvarende informasjonssikkerhet, informasjonsverdier er tilstrekkelig beskyttet mot tap av konfidensialitet, integritet og tilgjengelighet.
Standarden beskriver ansvar for virksomheten og virksomhetens ledelse. Videre vektlegges rollen «medical it-network risk manager». Denne rollen skal bl.a. kommunisere med alle interessenter i risikostyringsarbeidet. Dette inkluderer produsenter av medisinsk utstyr, IT- leverandører, medisinsk-teknologisk avdeling, interne tjenesteytere innen IKT og teknisk drift og kliniske brukere. Ansvar og oppgaver for produsenter av medisinsk utstyr og IT- leverandører er spesielt omtalt.
IEC 80001 tar videre for seg risikostyring i et livsløpsperspektiv for medisinske IT-nettverk.
Dette er knyttet opp mot endringsstyring slik det et beskrevet i andre standarder eller i ITIL - the framework for the management of IT-enabled services (www.axelos.com). Ved hver forespørsel om endring (f.eks. tilkobling av nytt medisinsk utstyr i IT-nettverket) skal det foreligge en endringsforespørsel. Et prosjekt risikovurderer endringen og oppdaterer risikodokumentasjonen («Risk management file»). Når restrisikoen er akseptabel kan endringen implementeres i tråd med rutinen for konfigurasjonsstyring. Etter at endringen er utført sikres akseptabel risiko gjennom monitorering og hendelsesstyring.
Dokumentasjon av ansvar for utførelse av oppgaver i hele prosessen vektlegges gjennom inngåelse av «responsibility agreements».
