Frågan om patient- och datasäkerhet är mer aktuell än någonsin och i pressen ser vi allt fler rubriker om IT-attacker, intrång och läckta personuppgifter. Digitaliseringen kan innebära sårbarheter, men genom kunskap och inblick i vilka regelverk som gäller, och för vem, blir det enklare att skydda sig och skaffa hållbara rutiner. Här följer en sammanfattning över de regelverk och förordningar som är bra att hålla koll på och vilka krav du som systemanvändare du kan ställa på leverantörer och partners.
July 9, 2024
Digitaliseringen når allt längre och verksamheter som bank, handel och sjukvård hanterar idag majoriteten av sin information i IT-system. Ett fördelaktigt arbetssätt när det kommer till effektivitet och säkerhet men som även kan innebära en sårbarhet i form av exempelvis ransomware, IT-attacker och läckta personuppgifter.
För att minska riskerna och skärpa rutinerna kring hanteringen av känslig data omfattas olika branscher, tjänster och produkter av lagar och regleringar kring säkerhet. Men vad gäller egentligen för sjukvården och de systemstöd som används där?
Sedan år 2021 finns det en EU-gemensam lag specifikt för medicintekniska produkter, MDR. Förordningen ställer krav på dokumenterade arbetssätt, teknisk dokumentation för produkten, samt en klinisk dokumentation som visar att produkten uppfyller dess påstådda verkan. MDR gäller för både fysiska produkter och programvara.
Programvara som regleras av MDR behöver ha ett medicinskt syfte och uppfylla ytterligare ett antal kriterier. Detta innebär att till exempel flertalet hälsoappar, journalsystem och administrativa sjukvårdssystem inte omfattas av regelverket.
Läs mer om MDR här!
För den programvara som inte omfattas av MDR men som ändå hanterar patientdata har svenska Läkemedelsverket tagit fram ett regelverk som bland annat syftar till ökad patientsäkerhet. I Sverige omfattas sådana programvaror av regleringen Nationella Medicintekniska Informationssystem, NMI.
NMI lånar mycket från MDR och ställer krav på tillverkare att både arbeta på ett dokumenterat sätt och att dokumentera produktens framtagande. Tillverkare registrerar sina produkter hos och står under tillsyn av Läkemedelsverket.
Mer information om NMI och vad som ingår i regelverket hittar du här!
Som tillverkare av programvaror som används inom hälso- och sjukvård är det viktigt följa gällande regelverk för att säkerställa att hanteringen av kunders information sker på ett ansvarsfullt sätt. Det finns också standarder för företag som arbetar inom fältet informationssäkerhet och som är valfria för tillverkaren att följa, däribland ISO 27001. Utöver detta finns det, som nämnts ovan, regler för medicintekniska produkter och för nationella medicintekniska informationssystem som tillverkaren behöver förhålla sig till eller följa.
Som vårdgivare och användare av IT-system krävs ett systematiskt arbete för att skydda data och specifikt den känsliga data som hanteras inom ramarna för verksamheten. Lika viktigt är det att se över interna arbetssätt och att utvärdera leverantörer samt samarbetspartners. I praktiken handlar detta bland annat om att upprätta rutiner för säker inloggning, att personalen alltid loggar ut ur system när de inte sitter framför sin dator, eller att inte lämna papper med känsliga uppgifter där de kan läsas av obehöriga. Vid val av och utvärdering av leverantörer behöver vårdgivaren ställa krav om regelefterföljande och informationssäkerhet. Detta kan göras genom att efterfråga certifiering enligt ISO 27001 samt certifieringen enligt MDR eller NMI.
För att hantera information inom hälso- och sjukvård på ett säkert sätt krävs god kunskap och bra arbetsrutiner kring digitalisering. Både vårdgivare och tillverkare behöver följa gällande regelverk och se till att applicera dessa på den egna verksamhetens processer och arbetssätt.
För Carasent Sverige, som leverantör av Webdoc journalsystem, är det en självklarhet att inte bara följa rådande regler och krav (NMI) gällande säkerhet och hantering av data, utan även att följa utvecklingen inom området och anpassa våra rutiner så att de möter upp rådande regelverk i takt med att de förändras.
Vi är också medvetna om att ämnet kan väcka frågor och är därför måna om att stötta våra kunder i säkerhetsrelaterade frågor och guida dem vidare till relevanta uppgifter och aktuell information om vad som gäller. Kontakta oss gärna vid frågor eller funderingar!
Vill du veta mer? Då vill vi passa på att tipsa om att vi, den 29 augusti, medverkar i ett webbinarium om den generella säkerhetskedjan i digital välfärd, samt specifikt om dataskydd i leverantörskedjan. Eventet arrangeras av vår samarbetspartner Secify och deltar gör även representanter från Inera, Aleris och Region Jönköping.
