Ved å etablere og vedlikeholde oversikt over helse- og personopplysningene som behandles, og teknologi som brukes, kan virksomheten identifisere potensielle risikoområder den bør være spesielt oppmerksom på.
Virksomheten skal ha oversikt over:
- behandlinger av helse- og personopplysninger, ofte kalt behandlingsprotokoll eller behandlingsoversikt; og
- IKT-systemer, infrastruktur, digitale tjenester og annen informasjon med betydning for informasjonssikkerheten, mv.
Disse vil være viktige underlagsdokumenter for risikostyringen og de ulike risikovurderingene som skal gjennomføres i virksomheten.
Behandlingsprotokoll
Alle virksomheter som behandler helse- og personopplysninger skal føre en protokoll over behandlingsaktiviteter som utføres under deres ansvar. Den samme plikten gjelder virksomhetenes databehandlere.
Du finner detaljert informasjons om behandlingsprotokollen og hva denne skal inneholde i Faktaark 13 – Protokoll over behandlinger av helse- og personopplysninger i virksomheten.
Når man skal gjennomføre en risikovurdering eller en personvernkonsekvensvurdering (DPIA) bør man alltid først konsultere behandlingsprotokollen. Der kan du finne dokumentasjon om behandlingen av helse- og personopplysninger som kan danne grunnlag for videre vurdering av risiko.
Dersom du skal gjennomføre en risikovurdering og ikke finner behandlingen beskrevet i protokollen, bør du benytte anledningen til å føre den opp i protokollen. Ofte vil en risikovurdering og oppføring i protokollen til en viss grad skje i parallell. Oppstart av en risikovurdering er også en god anledning til å oppdatere protokollen med ny informasjon som fremkommer gjennom vurderingen.
Noen virksomheter velger å også inkludere enkle betraktninger knyttet til risiko ved de ulike behandlingene i sin behandlingsprotokoll, eller lenke til relaterte risikovurderinger som kan være nyttige.
Oversikt over systemer og teknologi
Virksomhetens leder er ansvarlig for å kartlegge og klassifisere alle systemer og teknologi som benyttes til behandling av helse- og personopplysninger i virksomheten. I praksis er typisk oppgaven delegert til avdelingsledere / systemeiere.
Formålet er å kjenne til hvilke systemer og teknologi som er kritiske for at virksomheten kan yte sine tjenester og å kunne prioritere de ulike systemene i henhold til kritikalitet. Dette vil også være nyttig vurderinger for å kunne prioritere i en beredskapssituasjon.
Oversikten skal omfatte alle systemer som inneholder helse- og personopplysninger i tillegg til registre/systemer i elektromedisinsk utstyr og grunnleggende infrastruktur, som virksomheten benytter eller er avhengig av for å yte sine tjenester.
Kritikaliteten til de ulike systemene skal primært vurderes med hensyn til tilgjengelighet (hvor kritiske ikke-planlagte stopp vil være for det å kunne levere helse- og omsorgstjenester), men vil også kunne påvirkes av forhold tilknyttet integritet. Dersom det er tilfelle, bør dette også dokumenteres i oversikten.
De kritiske systemene må være robuste, og ha tilstrekkelig evne til å gjenopprette normaltilstand etter en uønsket hendelse. Det er viktig å ta hensyn til avhengigheter i vurderingene, slik at systemer som i seg selv ikke er kritiske, kan få en høyere kritikalitet fordi de inngår som komponent i en større sammenheng.
Vedlegg 3.1 viser eksempler på hvordan ulike typer virksomheter kan prioritere sine systemer.
Virksomhetens kartlegging bør resultere i en dokumentert og prioritert oversikt over systemer og teknologi (inkludert IKT-systemer, infrastruktur, digitale tjenester og annen informasjon med betydning for informasjonssikkerheten, mv.). Kartlegging og klassifisering av systemer i henhold til kritikalitet skal dokumenteres før behandling av helse- og personopplysninger starter.
Eksempel:
Normvik legesenter har tatt den årlige sikkerhetspraten – de har gjennomført ledelsens gjennomgang. Et av funnene fra gjennomgangen er at legesenteret ikke har satt opp en oversikt over systemer og teknologi, med tilhørende prioritering. Det vil da være utfordrende å jobbe med risikostyring for de ulike systemene.
Legesenteret går derfor gjennom sine systemer og vurderer hvor kritiske de ulike systemene er for at de skal klare å yte forsvarlig helsehjelp. De vurderer blant annet at laboratoriesystemer med særskilt viktige funksjoner som blodtype må ha aller høyeste prioritet, da de vil være kritiske for å yte forsvarlig helsehjelp.
Tabellen som følger viser hvordan Normvik legesenter prioriterte noen av sine systemer, med tilhørende beskrivelse av kritikaliteten. Merk at vurdering og prioritering her bare er et eksempel, og at virksomheten må vurdere dette basert på egne konkrete behov (med hensyn til konfidensialitet, integritet, tilgjengelighet og robusthet).
System | Prioritet | |
Laboratoriesystem med særskilt viktige funksjoner | 1 | Systemer hvor stopp av tjeneste er eller kan være livstruende for bruker/pasient inklusive feilmedisinering, eller kritisk for virksomhetens drift |
Elektronisk pasientjournal (EPJ) | 1 | Systemer hvor stopp av tjeneste er eller kan være livstruende for bruker/pasient inklusive feilmedisinering, eller kritisk for virksomhetens drift |
Øvrige laboratoriesystem | 2 | Systemer hvor stopp av tjeneste kan få alvorlige konsekvenser, f.eks. medføre
|
Pasientadministrativt system (PAS) | 2 | Systemer hvor stopp av tjeneste kan få alvorlige konsekvenser, f.eks. medføre
|
Akseptabel risiko
Med akseptabel risiko menes i Normen hvor stor risiko virksomheten kan akseptere for at det inntreffer en hendelse som kan forårsake brudd på kravene til konfidensialitet, integritet og tilgjengelighet/robusthet i et konkret tilfelle.
Litt enkelt sagt skal akseptabel risiko beskrive hvor hyppige hendelser med en viss alvorlighetsgrad virksomheten kan akseptere på et område uten at det påvirker tjenesteleveransen eller at virksomheten påføres uakseptable kostnader.
Det er dataansvarlig som har ansvar for at virksomhetens informasjonssystemer har egnet sikkerhetsnivå. Med egnet sikkerhetsnivå menes i Normen at sikkerhetstiltakene er tilpasset behandlingens egenart og gir en akseptabel restrisiko. Hver enkelt virksomhet må vurdere konkret hvordan egnet sikkerhetsnivå og akseptabel risiko for vedkommende virksomhet skal oppnås.
Arbeidet med å fastsette akseptabel risiko skal gjøres med utgangspunkt i de enkelte behandlingene av helse- og personopplysninger virksomheten gjør. Disse finner du i behandlingsprotokollen. Det er også hensiktsmessig å bygge videre på prioriteringen som er gjort i forbindelse med utarbeidelse av oversikten over systemer og teknologi. Den vil være nyttig for å si noe om hvilken tilgjengelighet de ulike systemene krever.
Det finnes flere måter å jobbe med akseptabel risiko på. Metodene vektlegger ulike aspekter – noen definerer nivåer for akseptabel risiko og benytter disse til å styre risikoen, mens andre benytter definerte akseptkriterier for å oppnå samme utfall. Disse metodene kan også brukes i kombinasjon med hverandre.
Akseptkriterier for risiko kan benyttes for å kunne sammenligne/vekte risiko, slik at risiko kan prioriteres for håndtering. Slike kriterier kan videre bidra til at det gjøres gode valg i balansegangen mellom å etablere sikringstiltak, akseptere risiko og å la være å gjøre aktiviteter som innebærer for høy risiko.
Et nyttig utgangspunkt for utarbeidelsen av slike kriterier kan være minimumskravene til informasjonssikkerhet som er definert i Normens kapittel 3.2 «Minimumskrav for å sikre konfidensialitet, integritet, tilgjengelighet og robusthet». Disse kan være en rettesnor hvordan man tenker om hvilke risikoer som må eskaleres oppover i ledelsen, og som eventuelt ikke kan aksepteres.
Hvilken risiko som kan aksepteres vil variere etter omstendighetene, blant annet hvor stor betydning aktiviteten har for pasientbehandlingen, risikoens alvorlighet for den enkelte og rettferdighetsbetraktninger (som at nytte og risiko treffer ulike personer).
Ved valg av egnede tekniske og organisatoriske tiltak skal virksomheten vurdere tiltakene opp mot virksomheten, art og omfang for behandling av helse- og personopplysninger, pasientsikkerhet, risikobildet mv. Virksomheten skal sørge for at det er forholdsmessighet mellom risiko og tiltakets kostnad.
Aksept av høyere risiko krever bedre ledelsesforankring. Det er hensiktsmessig for virksomheten å forhåndsdefinere hvilken risiko som kan aksepteres på ulike nivåer i virksomheten og hvem som eier risikoen. For svært høy risiko er det trolig kun virksomhetens øverste leder/ledelse som skal kunne akseptere den.
Vedlegg 3.4 viser et eksempel på hvordan man kan strukturere hvem som kan akseptere risiko etter hvilke kriterier.
Eksempel
Normveien Psykologpraksis har gjennomført en oppdatering av risikovurderingen av sitt pasient-administrative system (PAS), og ser at et av scenarioene fra risikovurderingen nå befinner seg i den røde delen av risikomatrisen – det har høy risiko. Risikovurderingen er gjennomført av en liten arbeidsgruppe bestående av tre psykologer og praksisens helsesekretær, som er superbruker av systemet.
En av de tre psykologene har ledet arbeidsgruppen, og han er usikker på hvordan en høy risiko skal håndteres. Han går derfor til praksisens styringssystem, der metodikken for risikovurdering er beskrevet sammen med prosesser for den øvrige risikostyringen. Der finner han praksisens akseptkriterier.
Akseptkriteriene beskriver følgende:
Det blir klart for psykologen at han og arbeidsgruppen må bidra til å identifisere eventuelle alternative arbeidsmåter og risiko-reduserende tiltak, samt et grunnlag for å vurdere nytteverdien av PAS opp mot risikoen i scenarioet, før daglig leder eventuelt vurderer å akseptere risikoen. Han setter i gang med dette arbeidet.
Merk at vurderingene i dette eksempelet kun er for å illustrere metodikken. Virksomheten må selv etablere og vurdere i henhold til egne akseptkriterier.
Dersom man ønsker å utarbeide av nivåer for akseptabel risiko kan man ta utgangspunkt i en skala for konsekvens og sannsynlighet (se vedlegg 3.2 og 3.3 for eksempler). Denne skalaen benyttes for å beskrive risikonivået, og som skal aksepteres i henhold til akseptkriterier eller fastsatte risikonivåer.
Ved å sammenligne resultatet fra en risikovurdering med nivået man har satt for akseptabel risiko, vil man kunne vurdere om aktiviteten kan gjennomføres innenfor akseptabelt risikonivå. For all risiko som er høyere enn nivå for akseptabel risiko skal det iverksettes tiltak for å bringe risiko innenfor et akseptabelt nivå.
Vedlegg 3.2 viser et eksempel på en skala for ulike sannsynlighetsnivåer fremstilt som både frekvens og tiltaksstyrke. Vedlegg 3.2 viser et eksempel på en skala for ulike konsekvensnivåer og hva disse kan være innen tilgjengelighet, konfidensialitet og integritet.
Eksempel
Etter at de gjennomførte en prioritering av systemene sine og fastsatte akseptabelt risikonivå for de ulike systemene i henhold til kommunens rutiner, gjennomfører Normvik legesenter en risikovurdering av et laboratoriesystem.
Et av scenarioene de vurderer gir en risiko på gult nivå basert på legesenterets skalaer for sannsynlighet og konsekvens. Nivå for akseptabel risiko for dette scenarioet er på grønt nivå. Dette er illustrert i legesenterets risikomatrise som følger:
På grunnlag av dette beslutter legesenteret å gjennomføre tiltak for å bringe risikoen ned på et akseptabelt nivå. Merk at vurderingene i dette eksempelet kun er for å illustrere metodikken. Virksomheten må selv vurdere i henhold til egne behov og skalaer.
