Norsk Helsenett – uten tvil
Risikovurderinger avdekker svakheter ved tannlegenes styringssystemer og ved to journalføringsprogrammer. Problemene skal ikke forsinke prosessen med å få tannlegene på Norsk Helsenett.
Som ledd i prosjektet med å få tannlegene på Norsk Helsenett er det nylig foretatt to risikovurderinger i regi av Helsedirektoratet. To tannklinikker ble valgt, én offentlig og én privat, og med hvert sitt journalsystem.
– Hva sier disse vurderingene?
– Ved gjennomgang av resultatene ser vi at vi støter på noen skjær i sjøen. Dette er i forhold til tannlegenes styringssystemer generelt og i forhold til informasjonssikkerhet og tilgangsstyring i journalsystemene, forteller Jørn André Jørgensen, som representerer NTF i prosjektet Samarbeid for IKT-utvikling i Tannhelsetjenesten (SITT).
– Hva gjør dere for å løse problemene dere har støtt på?
– Tannlegeforeningen jobber nå knallhardt med å få levert tannlegene en veiledning til hvordan de kan få alt på stell. Vi tror også at programvareproblemene og problemene knyttet til bruken av programvaren kan løses og rettes opp relativt raskt. Forsinkelsen vi eventuelt får nå er ikke verre enn det man må regne med i et prosjekt som dette. Dessuten kommer vi helt sikkert til å merke at vi får medvind i andre faser av prosjektet, som vil gjøre at vi tar igjen eventuell tapt tid.
– Når kan tannlegene regne med at det blir gitt klarsignal fra NTFs side for tilknytning til Norsk Helsenett?
– Til det vil jeg først si at det blir Norsk Helsenett som blir løsningen. Uten tvil. Men det er vanskelig å gi noe helt eksakt tidspunkt, derfor lar jeg det være i denne omgang. Problemene må løses først. Det vil si at prosjektgruppen og programleverandørene må stå på, og samtidig avhenger en god del av tannlegenes egeninnsats. Alle må tilfredsstille normen før det er aktuelt med tilknytning. Dette vil imidlertid skje om ikke lenge. Men det tilbudet en får i første omgang er ikke fullstendig. Full pakke med alt som skal være der vil ikke være på plass før i 2011, som har vært planen hele tiden. Den tidsplanen ser vi ingen grunn til å ikke tro vil holde, slik alt ser ut i dag.
– Må det være Norsk Helsenett, eller kan tannlegene helt enkelt bare bruke Internett?
– Kravene til sikkerhet er de samme uansett hvilket nett man velger. Det vil sannsynligvis bli en større utfordring for den enkelte tannlege å sikre seg ved tilknytning til et annet nett enn Norsk Helsenett. Dessuten er det helt klart at kontakten med myndighetene og helsetjenesten for øvrig vil skje innenfor Norsk Helsenett, avslutter Jørn André Jørgensen.
NTFs anbefalinger om datasikkerhet
For å bedre informasjonssikkerheten i tannhelsetjenesten i perioden frem til et mer helhetlig system foreligger, velger NTF å gå ut med noen anbefalinger:
Det bør lages ekstra rutiner som tar sikte på å redusere konsekvensen av de systemfeil som finnes.
PCer som brukes til å behandle personopplysninger bør ikke være knyttet til Internett. Dersom man har eksterne nettverksløsninger bør disse være meget godt sikret.
Fysisk adgang til lokaler med PCer eller servere må begrenses i størst mulig grad. Servere bør fortrinnsvis være plassert i låst rom.
Passord må være av tilfredsstillende natur (minimum seks tegn og kombinasjon av bokstaver og tall/tegn). Passord bør byttes regelmessig. Dette gjelder også Windows-passordet.
Man bør ikke bruke felles passord eller passord angitt som eksempel ved installasjonen.
Det bør tas i bruk skjermbeskytter med passord på alle datamaskiner.
Man bør i journalsystemet opprette og definere personlige brukere som må logges på individuelt, hvis dette er mulig.
Har journalprogrammet mulighet for logging må denne aktiveres.
Resepsjonsbrukere bør få en rolle med begrenset tilgang. Dersom dette ikke er mulig i journalsystemet, bør det lages en rutine som regulerer hva personell som ikke har behov for informasjonen skal søke av informasjon.
Datamaskinene må ha installert oppdatert antivirusprogramvare
Trådløse nettverk må kun benyttes dersom disse er sikret med tilfredsstillende kryptering (minimum 128-bits nøkler. Ikke bruk WEP)
Det må tas daglig backup, og en fullstendig sikkerhetskopi må tas jevnlig (minst ukentlig) og oppbevares trygt.
E-post skal ikke benyttes for å kommunisere helsefaglige opplysninger om identifiserbare personer.
Generelt vil NTF også minne om at alle klinikker skal ha et opplegg for kvalitetssikring av IT som er i tråd med Norm for Informasjonssikkerhet. Se: http://www.shdir.no/samspill/informasjonssikkerhet/norm_for_informasjonssikkerhet_i_helsesektoren_232354). Her ligger det også flere faktaark som gir veiledning. Ta eventuelt kontakt med leverandøren for opplysninger om hvordan tiltakene kan gjennomføres.