Alle virksomheter i helse- og omsorgssektoren skal gjennomføre risikovurderinger. Risikovurderingene skal være tilpasset virksomhetens størrelse og omfanget av behandling av helse- og personopplysninger. Risikovurderinger skal gjennomføres før behandling av helse- og personopplysninger startes, og ved endringer av behandlinger som kan påvirke sikkerheten.
Slike tilfeller kan for eksempel være:
- etablering av eller endring i behandling av helse- og personopplysninger eller annen informasjon av betydning for informasjonssikkerheten
- etablering av nye systemer eller registre som inneholder eller benytter helse- og personopplysninger eller annen informasjon av betydning for informasjonssikkerheten
- etablering av organisatoriske, tekniske eller andre endringer med betydning for informasjonssikkerheten
- etablering eller endring tilgang til helseopplysninger mellom virksomheter
I tillegg bør virksomhetens ledelse jevnlig gjennomføre risikovurderinger som ledd i sitt arbeid med å kontrollere informasjonssikkerheten.
Dataansvarlig er ansvarlig for at det gjennomføres risikovurdering av behandlingen av helse- og personopplysninger. Risikovurderinger dokumenterer at dataansvarlig har iverksatt tilstrekkelige tiltak og at behandlingene utføres innenfor nivå for akseptabel risiko.
Virksomhetene er pålagt å vurdere sannsynlighet for og konsekvens av sikkerhetsbrudd, og basere sikkerhetsarbeid på resultater fra slike vurderinger målt opp mot nivå for akseptabel risiko.
Det er viktig at risikovurderingen blir en strukturert prosess, slik at man fanger opp de riktige risikofaktorene. Relevant underlagsdokumentasjon må være på plass og gjennomgås på forhånd og sentrale nøkkelpersoner må bidra i arbeidsmøter og lignende. Nøkkelpersoner kan være brukere av systemer og opplysninger (blant annet helsepersonell), jurister, informasjonssikkerhetspersonell, IKT-personell fra relevante fagområder (f.eks. server, nettverk), personvernrådgivere, og databehandlere/leverandører.
Ikke minst er slik deltagelse viktig for å kunne ivareta vurderinger knyttet til informasjonssikkerhet, personvern og pasientsikkerhet på tvers, for å kunne nå det overordnede målet om å yte forsvarlig helsehjelp.
Om vurderingene på tvers av fagområder etterlates til ledelsen i siste steg av vurderingene som gjøres, risikerer man å gå glipp av viktige perspektiver som må identifiseres tidlig i prosessen.
Eksempel: Hjemmetjenesten i Normsund kommune skal anskaffe nytt system for elektronisk pasientjournal (EPJ), og må i den forbindelse gjennomføre en risikovurdering. Tjenesten har hatt utfordringer med sitt gamle EPJ-system, som hadde mye nedetid og dårlig tilgjengelighet for helsepersonell som var ute hos pasienter og brukere.
Det er derfor viktig å samle både helsepersonell som skal benytte systemet og IT-personell som kjenner de tekniske løsningene godt, for å få frem både systemets kritikalitet for helsehjelpen og potensielle tekniske risikoer som kan påvirke dette. Kommunens personvernrådgiver fra juridisk avdeling er med, sammen med informasjonssikkerhetsleder fra sikkerhetsavdelingen, for å få frem både krav og risikoer knyttet til disse fagområdene. Det er systemeier for hjemmetjenestens systemer som leder arbeidet med risikovurderingen, med bistand fra koordinator for virksomhetsstyring i kommunen, som eier kommunens risikometodikk.
Som underlag benyttes blant annet teknisk risikovurdering fra leverandør, teknisk skisse av planlagt installasjon/infrastruktur, beskrivelser av arbeidsprosesser for hjemmetjenesten, dokumentasjonskrav for helsepersonellet, lovkrav for informasjonssikkerhet og personvern fra Normen og trusselvurderinger fra nasjonale myndigheter. Merk at dette er et eksempel, og at andre forhold kan påvirke hvordan virksomheten organiserer sine risikovurderinger og anskaffelser. |
Verdier
For å kunne definere hva som er informasjonsverdiene og hva som skal beskyttes mot uønskede hendelser må man vurdere verdien av ulike typer informasjon som virksomheten behandler.
I helse- og omsorgssektoren er dette er typisk ulike typer helse- og personopplysninger som behøves i en spesifikk prosess i virksomheten, som helseopplysninger i pasientjournal som er nødvendig for å yte helsehjelp og opplysninger om de ansatte som skal tilby riktig kompetanse til riktig tid. I tillegg til helse- og personopplysninger er det viktig å vurdere annen informasjon med betydning for informasjonssikkerheten, som er informasjon som ved uautorisert tilgang eller andre sikkerhetsbrudd vil medføre en risiko for virksomheten. Dette kan være blant annet konfigurasjonsfiler, resultat av risikovurderinger, beredskapsplaner, passordfiler og nettverkskart.
Behandlingsprotokollen og oversikten over systemer og teknologi vil være viktig underlagsdokumentasjon, for å kunne starte vurderingen av hvilken verdi de ulike informasjonstypene har for virksomheten.
Det vil være hensiktsmessig for mange å allerede i verdivurderingen se på hvilken verdi ulike informasjonstyper har for virksomhetens viktige prosesser, og vurdere hvorvidt det er konfidensielt, integritet og/eller tilgjengelighet som er mest sentralt. I mange tilfeller vil alle tre hovedaspektene av informasjonssikkerheten være viktige, men det vil ofte ikke være mulig å prioritere alle like høyt. Man bør også inkludere vurderinger av hvordan disse aspektene påvirker pasientsikkerheten.
Eksempel: Hjemmetjenesten i Normsund kommune går gjennom sine informasjonsverdier i forbindelse med risikovurdering av nytt EPJ-system. Helse- og personopplysningene om pasienter og brukere vurderes å være den aller mest kritiske verdien. Uten denne informasjonen i EPJ vil det være svært vanskelig å yte den nødvendige helsehjelpen på en forsvarlig helsehjelp. De vurderer kritikaliteten ved å bruke ulike perspektiver, og kommer frem til følgende:
De benytter en konsekvensskala som i kapittel 2.2.3 Akseptabel risiko som en støtte for å plassere de ulike informasjonsverdiene på riktig konsekvensnivå. Merk at disse vurderingene kun er eksempel på hvordan man kan gjennomføre en verdivurdering, og at virksomheten må gjøre sine egne vurderinger. |
Trusler og risikoscenarioer
Når man har definert informasjonsverdiene, vurderer man hvilke trusler verdiene kan utsettes for. Trusler kan være både villede handlinger (snoking, kriminalitet, etterretning, mv.) og andre uønskede hendelser (menneskelig feil, uhell, teknisk svikt, ekstremvær, mv.). Åpne årlige trusselvurderinger fra Politiets sikkerhetstjeneste og Etterretningstjenesten, Nasjonal sikkerhetsmyndighets digitale risikobilder og rapporter fra HelseCERT kan være nyttig underlagsdokumentasjon, i tillegg til Direktoratet for e-helses overordnede risiko- og sårbarhetsvurdering .
For å komme frem til hensiktsmessige scenarioer er det nyttig å idemyldre, gjerne ved å diskutere hvilke uønskede hendelser som kan true verdiene våre. Kjenner vi til hendelser som har inntruffet i virksomheten vår tidligere? Eller i lignende virksomheter? Dette kan være et godt sted å begynne.
Er pasientjournalene våre attraktive for kriminelle aktører som benytter løsepengevirus? Er fysiske servere plassert i områder der det ofte er flom? Man kan her søke å benytte scenarioer som kan true informasjonssikkerhet, personvern og pasientsikkerheten, for å få en tilstrekkelig forståelse av hvilken risiko helse- og personopplysningene er utsatt for. Ofte har man gjennomført lignende risikovurderinger tidligere, og kan hente inspirasjon fra disse.
Det kan være hensiktsmessig å fra begynnelsen av være bevisst på at de scenarioene man velger ut skal kunne dekke en bredde av risikoer. Et høyere antall scenarioer vil ikke nødvendigvis bidra til en bredere dekning av risikoen og gode risikoreduserende tiltak – det kan være nyttig å vurdere færre og mindre spesifikke scenarioer dersom disse er utformet for å inkludere særlig relevante risikoer. Scenarioene bør søke å dekke hendelser som truer både konfidensialitet, integritet og tilgjengelighet, og representere både villede handlinger og andre uønskede hendelser.
Se vedlegg 3.5 for en liste med eksempelscenarioer som kan være til inspirasjon for dette arbeidet. Den er ikke uttømmende, og alle oppfordres til å idemyldre og tilpasse til egen virksomhet
Eksempel: Hjemmetjenesten i Normsund kommune gjennomfører en trusselvurdering og definerer risikoscenarioer i forbindelse med risikovurdering av nytt EPJ-system.
De tar utgangspunkt i andre risikovurderinger som er gjennomført i helse- og omsorgstjenesten i kommunen, og beslutter å benytte en del av de samme scenarioene som er beskrevet der. Dette inkluderer blant annet snoking av helsepersonell uten tjenstlig behov, feilføring av helse- og personopplysninger i journal, og teknisk feil i tilgangsstyringen.
Kommunens sikkerhetsavdeling har fulgt med i nyhetsbildet og deltatt i kommunale informasjonssikkerhets-nettverk, og er derfor godt orientert om at løsepengevirus har rammet andre kommuner, inkludert helse- og omsorgstjenesten. De bestemmer seg for å inkludere et nytt scenario kalt «Løsepengevirus gjør EPJ-systemet utilgjengelig», der en opportunistisk trusselaktør har kryptert alle filene slik at de ikke er tilgjengelig for hjemmetjenesten. Merk at dette er et eksempel, og at det kan være andre scenarioer som er mer relevante for virksomheten. |
Sårbarheter og eksisterende tiltak
Nasjonal sikkerhetsmyndighet beskriver sårbarheter som «forhold som en trusselaktør kan utnytte til å påvirke virksomhetens verdier». Eksempler på sårbarheter kan være feil eller mangler i design, prosedyrer, vedlikehold, opplæring og kommunikasjon.
Å vurdere sårbarheter som en del av en risikovurdering er å beskrive i hvilken grad eksisterende sikkerhetstiltak vil kunne hindre en trusselaktør i å kunne påvirke virksomhetens informasjonsverdier. Det vil si hvilke menneskelige, teknologiske og organisatoriske tiltak virksomheten allerede har etablert som gjør det mindre sannsynlig at uønskede hendelser skjer eller at konsekvensene fra uønskede hendelser blir mindre alvorlig. Det kan være alt fra godt dokumenterte og innarbeidede rutiner for helsepersonell som skal benytte systemet til etablering av brannmurer og monitorering av nettverket.
I sin enkleste form kan dette være en diskusjon rundt bordet blant nøkkelpersonene som deltar i risikovurderingen, på grunnlag av tekniske skisser og risikovurderinger fra leverandør og det man vet om egne arbeidsprosesser i virksomheten. Funn fra diskusjonen bør dokumenteres som en del av risikovurderingen, og vil være nyttig i vurderingen av sannsynlighet og konsekvens.
Sannsynlighet
Når man har kommet frem til en liste med relevante scenarioer bør man vurdere sannsynligheten for at den uønskede hendelsen inntreffer, enten det er sannsynligheten for at en trusselaktør gjennomfører et suksessfullt angrep eller at flom oversvømmer serverrommet.
Man bør bruke en forhåndsdefinert skala for å vurdere sannsynlighet, som for eksempel definerer sannsynligheten etter frekvens (jo oftere en hendelse vil inntreffe, desto mer sannsynlig) eller etter tiltaksstyrke (jo mer effektive sikringstiltak, desto mindre sannsynlig).
Når man skal vurdere sannsynligheten for en fremtidig uønsket hendelse, vil det alltid være en viss grad av usikkerhet tilknyttet vurderingen. Om systemet et legekontor benytter for pasientadministrasjon gjennomsnittlig er nede 13 minutter per måned, vil man kunne beregne sannsynligheten med relativt høy treffsikkerhet. Det er imidlertid mange tilfeller der man ikke har tilstrekkelig gode data for å understøtte en vurdering av med hvilken frekvens en uønsket hendelse vil inntreffe.
Dette gjelder kanskje særlig når vi skal vurdere villede handlinger. Hvor sannsynlig er det for eksempel at opportunistiske organiserte kriminelle tar kontroll på akkurat ditt pasientjournalsystem for å true til seg løsepenger? Dette er det knyttet stor usikkerhet til, og det kan derfor gi større verdi i en sannsynlighetsvurdering å fokusere på hvorvidt det er enkelt å gjennomføre handlingen. Vil våre sikkerhetstiltak gjøre det mindre trolig at en trusselaktør lykkes?
Ofte vil det derfor være hensiktsmessig å benytte en skala for sannsynlighetsnivåer som beskriver sannsynlighet både med hensyn til frekvens og tiltaksstyrke. Det er hensiktsmessig at man benytter den samme skalaen på tvers av virksomheten slik at man kan aggregere risiko fra forskjellige områder, og at det er samme skala som er benyttet i arbeidet med akseptabel risiko som benyttes i risikovurderingen. Se vedlegg 3.2 for et eksempel på hvordan en slik skala kan se ut.
Konsekvens
Konsekvensen vurderes ved å se på hvor alvorlig det vil være for virksomheten dersom den uønskede hendelsen beskrevet i scenarioet skjer. Dette henger tett sammen med verdivurderingen – ofte kan man si at jo høyere verdi, desto mer alvorlig konsekvens.
Man bør bruke en forhåndsdefinert skala for å vurdere konsekvens, og disse har ofte eksempler både for konfidensialitet, integritet og tilgjengelighet. Se vedlegg 3.3 for et eksempel på hvordan en slik skala kan se ut.
Konsekvenser kan gjerne kategoriseres i ulike grupper, som f.eks. liv og helse, pasientsikkerhet, økonomi, lover og regler, tjenesteleveranse, mv. Konsekvens for de registrerte i personvernsammenheng kan også være en slik kategori. Kategoriene må tilpasses typen
virksomhet og hvilke prosesser som er sentrale for tjenesteleveransene, og ikke minst hvilke andre kategorier som benyttes i risikovurderinger på andre områder enn informasjonssikkerhet.
Det kan være hensiktsmessig å vurdere både verstefallskonsekvenser og mer vanlige typer konsekvenser i ulike scenarioer og ved ulike hendelser.
Risiko
Risiko er ofte definert som sannsynlighet for at den uønskede hendelsen skal inntreffe ganget med konsekvensene hendelsen vil medføre. Man vil typisk illustrere risikoen ved å sette inn de ulike scenarioene i en risikomatrise, med grønne, gule og røde felter. Disse signaliserer hvorvidt en risiko er av lav, middels eller høy karakter. Man må så vurdere om det er noen av disse risikoene som er på et for høyt nivå til at man kan akseptere det. Dersom det er tilfelle (typisk vil det nærmest alltid være det om man havner på rødt nivå), må man vurdere hvilke risikoreduserende tiltak man kan iverksette.
Det er hensiktsmessig at man benytter den samme risikomatrisen på tvers av virksomheten slik at man kan aggregere risiko fra forskjellige områder, blant annet fra arbeid med pasientsikkerhet, HMS, personellsikkerhet eller andre områder, og at det er samme matrise som er benyttet i arbeidet med akseptabel risiko som benyttes i risikovurderingen.
Det er knyttet usikkerhet til alle risikovurderinger da man gjør vurderinger av mulige hendelser frem i tid. Det er derfor viktig å synliggjøre kunnskapsgrunnlaget som ligger til grunn for ulike deler av vurderingen. Når du beskriver risikoen bør du også beskrive hvor sikker du er på vurderingen, for å sikre at de som skal beslutte eventuelle tiltak vet hvilket grunnlag risikoen er vurdert på. Det kan enten gjøres som en del av oppsummeringen av eller innledningen i risikovurderingen, eller som en beskrivelse knyttet til hvert scenario dersom det er mer hensiktsmessig (for eksempel dersom usikkerheten varierer veldig mellom ulike scenarioer).
Tabellen som følger viser et eksempel på en risikomatrise med sannsynlig og konsekvens, avmerket med grønne, gule og røde felter. Merk at dette er et eksempel, og enhver virksomhet må selv vurdere hva som er hensiktsmessige nivåer for egen risiko
Eksempel: Hjemmetjenesten i Normsund kommune gjennomfører risikovurdering av nytt EPJ-system.
De har blant annet valgt seg ut scenarioet «Løsepengevirus gjør EPJ-systemet utilgjengelig», og skal vurdere hvor sannsynlig det er at hendelsen inntreffer og hvor alvorlige konsekvenser den få for at de skal kunne levere forsvarlig helsehjelp.
Vurdering av sannsynligheten: Hjemmetjenesten i kommunen er kjent med at hendelsen har inntruffet i andre kommuner, det er derfor ikke utenkelig at det vil inntreffe hos dem. Det er ikke trolig at angrep har vært målrettede mot spesifikke kommuner, og det er derfor like sannsynlig at det kan skje i Normsund som i andre kommuner. Kommunen er imidlertid nå bedre kjent med angrepsmetoden, og har allerede etablert noen tiltak for å øke sin egen motstandskraft. Sannsynligheten vurderes på nivå 3 Mulig.
Vurdering av konsekvensen: Hjemmetjenesten er kjent med at hendelsen fikk alvorlige konsekvenser for helse- og omsorgstjenestene som har blitt angrepet, som måtte klare seg med helt manuelle rutiner uten EPJ-systemet. På grunn av tidligere tilgjengelighetsproblematikk med systemet har de etablert gode nødrutiner og er til en viss grad trent på å håndtere tjenesten manuelt. Konsekvensen vurderes på nivå 4 Alvorlig.
Risikoen i scenarioet for hjemmetjenesten i Normsund ender vurderes i rød sone, markert med en X i risikomatrisen under. Merk at denne vurderingen er et eksempel på bruk av metodikken, og at virksomheten må gjøre egne vurderinger basert på eget faktagrunnlag. |
Risikoreduserende tiltak og risikoaksept
Ideelt sett skal alle virksomhetsmål nås uten at uønskede konsekvenser oppstår. Det vil imidlertid alltid være sannsynlighet for at uønskede hendelser inntreffer, og risikoeier må ofte velge mellom å etablere sikringstiltak, akseptere risiko og å la være å gjøre aktiviteter som innebærer for høy risiko.
delsens ansvar å beslutte hvorvidt man kan akseptere risiko. Fagpersoner kan gjennomføre risikovurderingene, men det er virksomhetens leder og/eller en annen forhåndsdefinert risikoeier som beslutter risikoaksept som en del av risikostyringen.
Det er viktig at risikovurderingen har god kvalitet som beslutningsgrunnlag, og ikke minst at lederen er i stand til å se vurderinger av informasjonssikkerhet, pasientsikkerhet og personvern i sammenheng, for å ta beslutninger som sørger for forsvarlig helsehjelp og forsvarlige helse- og omsorgstjenester. Den som skal ta beslutningen må kjenne til virksomhetens akseptkriterier og relevante sikkerhetsmål for å kunne ta disse beslutningene på forsvarlig vis.
Eksempel
Psykologen som har ledet arbeidsgruppen for risikovurderingen rådfører seg derfor først med de andre tre medlemmene, og blir enig med de andre om å søke råd fra kontaktpersonen de har hos leverandøren av PAS. Hun bidrar med to tekniske tiltak som kan bidra til å redusere risikoen. Videre kommer helsesekretæren med et innspill til hvordan han kan endre en av arbeidsprosessene rundt timebooking, som også kan ha risikoreduserende effekt.
Psykologen dokumenterer det foreslåtte, og går til daglig leder for å legge frem arbeidsgruppens funn. Hun vurderer at den høye risikoen i utgangspunktet ikke kan aksepteres, og at de foreslåtte tiltakene skal gjennomføres.
Endringen i arbeidsprosessen kan implementeres umiddelbart, men de to tekniske tiltakene vil medføre en noe større ekstra kostnad. De kan derfor ikke gjennomføres innenfor nåværende budsjett, og må vente til årsskifte om tre måneder.
På grunn av at de ikke vil kunne gjennomføre pasientadministrasjon på en hensiktsmessig måte – og dermed yte forsvarlig helsehjelp – uten dette systemet, og siden det bare er tre måneder til tiltakene kan gjennomføres, vurderer daglig leder at nytten ved tjenesten er større enn risikoen. Normveien Psykologpraksis kan akseptere den røde risikoen på en midlertidig basis. Beslutningen, og vurderingen som ligger til grunn, dokumenteres og lagres sammen med risikovurderingen.
Merk tilsynsmyndigheter som f.eks. Datatilsynet og Helsetilsynet vil ha en kontrollerende tilsynsmyndighet, de vil da kunne gi pålegg om sikring av personopplysninger og herunder fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger.
Merk at vurderingene i dette eksempelet kun er for å illustrere metodikken. Virksomheten må selv vurdere og håndtere risiko i henhold til egne akseptkriterier. |
Dersom risikoen i et gitt scenario ikke kan aksepteres, må risikoeier vurdere risikoreduserende tiltak. Tiltak kan redusere risikoen både ved å redusere sannsynligheten for at en hendelse inntreffer, eller ved å redusere konsekvensen dersom hendelsen først har skjedd. Risikoreduserende tiltak kan være av menneskelig, teknologisk eller organisatorisk art.
Et eksempel på et menneskelig tiltak kan være kompetanseheving for helsepersonell som skal bruke en løsning, et teknologisk kan være å øke frekvensen på back-up på systemer som er kritiske for å yte helsehjelp, mens et organisatorisk tiltak kan være å etablere nye roller med ansvar for hele eller deler av en gitt prosess som tilgangsstyringsprosessen.
En risikobasert tilnærming krever at tiltak skal gjennomføres på grunnlag av risikovurderinger, og at man må vurdere kost/nytte før man beslutter hvilke tiltak som skal implementeres. Dersom planlagte tekniske tiltak for å oppnå akseptabel risiko ikke kan innføres umiddelbart, bør risikoreduserende administrative tiltak f.eks. i form av rutine vurderes. Det bør utarbeides en tiltaksplan, med ansvarlige og frister, for å sikre at besluttede tiltak iverksettes.
Eksempel: Hjemmetjenesten i Normsund kommune gjennomfører risikovurdering av nytt EPJ-system. Scenarioet «Løsepengevirus gjør EPJ-systemet utilgjengelig» er vurdert å være en rød risiko.
Helse- og personopplysningene i hjemmetjenestens EPJ er sentral for å ivareta både informasjonssikkerhet, personvern og pasientsikkerhet. Kommunen benytter nivåer for akseptabel risiko i sin risikostyring, og for dette systemet skal risikoen være på grønt nivå. Derfor kan ikke hjemmetjenesten akseptere en risiko som er høyere enn grønn i matrisen kommunen deres bruker.
Siden risikoen er rød, må beslutningen om eventuell risikoaksept eskaleres til kommunens øverste ledelse. Ledelsen får risikovurderingen presentert, og beslutter at det må gjennomføres tiltak for å redusere risikoen i dette scenarioet – den er for høy til at virksomheten kan akseptere den.
Det vil ikke være mulig å redusere denne risikoen til null, så tiltak av menneskelig, teknologisk og organisatorisk art må sikte på å redusere restrisikoen til et akseptabelt nivå. Merk at denne vurderingen er et eksempel for å illustrere metodikken, og ikke en fasit på hvilken risiko virksomheten kan akseptere i dette scenarioet. |
Det vil som regel alltid være en viss restrisiko igjen etter en gjennomført risikovurdering og tiltaksplan. Målet er ikke å få risikoen ned i null, men å få risikoen ned på et nivå der man kan akseptere å leve med den.
