1 / 57

Norm for informasjonssikkerhet i helse- og omsorgssektoren

Norm for informasjonssikkerhet i helse- og omsorgssektoren. Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Fagdager elektronisk dokumentasjon frisklivssentraler 05.09.14. Agenda. 1. 2. 3. 4. I nformasjonssikkerhet i helse- og omsorgssektoren Hva er Normen?

elaine-sutton
Télécharger la présentation

Norm for informasjonssikkerhet i helse- og omsorgssektoren

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Norm for informasjonssikkerhet i helse- og omsorgssektoren Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Fagdager elektronisk dokumentasjon frisklivssentraler 05.09.14 Norm for informasjonssikkerhet

  2. Agenda 1. 2. 3. 4. Informasjonssikkerheti helse- og omsorgssektoren Hva er Normen? Normen: Krav og hjelpemidler Quiz og diskusjonsoppgaverunderveis Norm for informasjonssikkerhet

  3. Nasjonale innsatsområder for e-helse Én innbygger – én journal Styring, koordinering og prioritering Styrings- og kunnskaps- grunnlag Innbygger-tjenester Helsepersonell-tjenester Personvern og informasjonssikkerhet Standarder, terminologi og kodeverk Forskning, innovasjon og kompetanse IKT-infrastruktur og felleskomponenter Norm for informasjonssikkerhet

  4. Helse- og omsorgssektoren • Omfattendebåde i antall årsverk og omsetning • Organisatorisk fragmentert • Har sensitive personopplysninger som grunnlag for all virksomhet • Krever stadig mer samhandling på tvers • Omfattes av stort og komplekst lovverk Norm for informasjonssikkerhet

  5. Kjartan Olafsson, Legeforeningen, Normkonferansen 2012 Norm for informasjonssikkerhet

  6. Teknologi… http://www.alivecor.com/ https://skinvision.com/ Norm for informasjonssikkerhet

  7. Trusler… Norm for informasjonssikkerhet

  8. … og sikkerhetskulturen? Norm for informasjonssikkerhet

  9. Norm for informasjonssikkerhet

  10. Det handler om tillit… Colourbox.com Norm for informasjonssikkerhet

  11. Oppgave 1 Norm for informasjonssikkerhet

  12. Fra «Personvern 2014» Utgitt 2014 av Datatilsynet og Teknologirådet https://www.datatilsynet.no/Global/04_planer_rapporter/Persovern_tilstandogtrender_2014.pdf Norm for informasjonssikkerhet

  13. Fra «Personvern 2014» Utgitt 2014 av Datatilsynet og Teknologirådet https://www.datatilsynet.no/Global/04_planer_rapporter/Persovern_tilstandogtrender_2014.pdf Norm for informasjonssikkerhet

  14. Fra «personvern 2014» Utgitt 2014 av Datatilsynet og Teknologirådet https://www.datatilsynet.no/Global/04_planer_rapporter/Persovern_tilstandogtrender_2014.pdf Norm for informasjonssikkerhet

  15. HVA ER Normen? Norm for informasjonssikkerhet

  16. Bransjenormer Norm for informasjonssikkerhet

  17. Norm for informasjonssikkerheti helse og omsorgssektoren www.normen.no • Et omforent sett av adferdsregler og tiltak • Besluttet og forvaltet av sektoren, forankret i • EU-direktiv 46/95 artikkel 27 • POL §42, 6 • Arbeidet startet opp i 2003, versjon 1 klar i 2006,versjon 4 i 2014 Norm for informasjonssikkerhet

  18. Normen: Forenkler, og gjør tilgjengelig Kontrollert og godkjent av lovtolkende myndigheter Dekker alle informasjons-sikkerhetskrav til sektoren i lovverket Norm for informasjonssikkerhet

  19. Styringsgruppens mandat Nytt mandat vedtatt juni 2013 Styringsgruppens overordnede mål for Norm for informasjonssikkerhet helse-, omsorgs- og sosialsektoren (Normen) er god og sikker informasjonsbehandling. Normen skal, innenfor lovverkets rammer, søke en balansert tilnærming til konfidensialitet, tilgjengelighet, integritet og kvalitet. Normen skal bidra til å understøtte gode helsetjenester, god pasientsikkerhet, de ansattes personvern, og en aktiv pasientrolle. Norm for informasjonssikkerhet

  20. Styringsgruppen (1): Norm for informasjonssikkerhet

  21. Styringsgruppen (2): Sekretariatet er plassert i Helsedirektoratet, med fast deltakelse fra Norsk Helsenett Norm for informasjonssikkerhet

  22. Normen med støttedokumenter Normen (”Code ofconduct”) og en del faktaark / veiledere er oversatt til engelsk Juridisk bindende ved avtale: Normen: Støttedokumenter: Veiledende: Kursmateriell: Normkonferansen Nyhetsbrev Svartjeneste www.normen.no Faktaark Veiledere / malverk Norm for informasjonssikkerhet

  23. Veiledninger / faktaark … Norm for informasjonssikkerhet

  24. Utadrettet virksomhet • Alle dokumenter på normen.no • Forslagskasse og svartjeneste • Foredrag og årlig normkonferanse • Utarbeidelse av kursmateriell og gjennomføring av kurs • Bistår profesjonsorganisasjonene i utarbeidelse av e-læringsprogrammer for informasjonssikkerhet sikkerhetsnormen@helsedir.no Norm for informasjonssikkerhet

  25. Normkonferansen 2014 • 14. – 15 oktober 2014 • Rica Park Holmenkollen Hotel, Oslo Norm for informasjonssikkerhet

  26. Nyheter og planlagte leveranser Norm for informasjonssikkerhet

  27. Oppgave 2 og 3 Norm for informasjonssikkerhet

  28. Oppgave 2 Norm for informasjonssikkerhet

  29. NORMEN: Krav og hjelpemidler Norm for informasjonssikkerhet

  30. Innhold Introduksjon Hva gir Normen – styringssystem Styrende del Gjennomførende del - krav til informasjonssikkerhet Kontrollerende del Risikovurdering Aktuelle veiledere og faktaark Norm for informasjonssikkerhet | 30

  31. Helseregisterloven § 16 …gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet… …dokumentere informasjonssystemet og sikkerhetstiltakene… Norm for informasjonssikkerhet

  32. Styringssystem Norm for informasjonssikkerhet

  33. Hva gir Normen - styringssystem • Samling av alle dokumenter i en bestem struktur: • Styringsdokumenter • Prosedyrer • Maler • Opplæringsmateriell • NB! Styringssystem skal være på plass i alle virksomheter som behandler helse- og personopplysninger Norm for informasjonssikkerhet | 33

  34. Hva gir Normen - styringssystem Norm for informasjonssikkerhet

  35. Hva gir Normen - styringssystem Styrende del Fastsette ansvaret Databehandlingsansvarlig Databehandler Etablere mål og strategi for informasjonssikkerhet Fastsette nivå for akseptabel risiko Utarbeide oversikt over behandlinger Norm for informasjonssikkerhet | 35

  36. Sentrale sikkerhetsmål • Helse- og personopplysninger skal • Være tilgjengelig for rett personell til rett tid i henhold til fastsatte prinsipper for tilgangsstyring etter pkt. 5.2 nedenfor. • Behandles i tråd med reglene om taushetsplikt og være beskyttet slik at uvedkommende ikke får kjennskap til opplysningene. Uvedkommende omfatter også personell som ikke har tjenstlig behov. • Være fullstendige, oppdaterte og korrekte og et resultat av rettmessige registreringer og kontrollerte aktiviteter. • Begrenses slik at kun det som er nødvendig av helse- og personopplysningerbehandles. Norm for informasjonssikkerhet

  37. Hva gir Normen - styringssystem Gjennomførende del – krav til informasjonssikkerhet Ansvarliggjøring av ansatte - taushetsplikt Tilgangsstyring Behandling av helse- og personopplysninger Sikring av områder og utstyr Etablering og drift av informasjonssystemet Opplæring og kompetanse Datakommunikasjon (samhandling internt og eksternt) Avtaler (f.eksdatabehandleravtale) Norm for informasjonssikkerhet | 37

  38. Tilgangsstyring • All tilgang til helse- og personopplysninger skal baseres på en tildelt rolle i fagsystemet • Rollen gir autorisasjon for å • lese, registrere, redigere, rette, slette og/eller sperre helse- og personopplysninger • All tildelte autorisasjoner skal kontrolleres minimum årlig • Databehandlingsansvarlig skal sørge for at det oppettes et autorisasjonsregister. Norm for informasjonssikkerhet | 38

  39. Hendelsesregistrering • Hendelsesregistre (bruk av fagsystemet) skal minimum inneholde • entydig identifikator for den autoriserte brukeren • rollen den autoriserte brukeren har ved tilgangen • virksomhetstilhørighet • organisatorisk tilhørighet til den som er autorisert • hvilke type opplysninger det er gitt tilgang til • grunnlaget for tilgangen • tidspunkt og varighet for tilgangen • Hendelsesregisteret skal oppbevares i minimum 2 år • Hendelsesregistre skal analyseres (ukentlig) • Pasienten har rett til å få utlevert sin logg • Være oppmerksom på helseregisterloven § 21a Norm for informasjonssikkerhet | 39

  40. Hva gir Normen - styringssystem Kontrollerende del Avvikshåndtering Sikkerhetsrevisjon Ledelsens gjennomgang Risikovurdering Norm for informasjonssikkerhet | 40

  41. Risikovurdering • Identifisere mulige svakheter i eksisterende løsninger • Tilgangsstyring • Teknisk løsning • Bruk av fagsystem • Fysisk sikring • Avtaler • … • Vurdere om svakheter kan/vil ha innvirkning på behandling av helse- og personopplysninger • Bruk tilgjengelig mal på www.normen.no Norm for informasjonssikkerhet | 41

  42. Risikovurdering(Normen, kap 4.6, faktaark 07) • Risikovurdering skal som minimum gjennomføres før: • det iverksettes behandling av helse- og personopplysninger • etablering av nye informasjonsbehandlingssystemer eller registre som inneholder helse- og personopplysninger • det iverksettes organisatoriske endringer som kan påvirke informasjonsbehandlingen • det iverksettes tekniske endringer i utstyr og/eller programvare som kan påvirke informasjonsbehandlingen • det iverksettes andre endringer med betydning for informasjonssikkerheten Norm for informasjonssikkerhet

  43. Oppgave 4 og 5.Hvis tid oppgave 6 og 7 Norm for informasjonssikkerhet

  44. Oppgave 5 For hjelp til konsekvensvurdering: faktaark 7 Sannsynlighet x konsekvens = 3 x 4 = 12. Høy risiko Norm for informasjonssikkerhet

  45. Oppgave 6 – hva er sensitive personopplysninger: Norm for informasjonssikkerhet

  46. Noen aktuelle veiledere og faktaark Norm for informasjonssikkerhet

  47. Førende anbefaling for personvern og informasjonssikkerhet Den registrertes rettigheter Sikkerhetskrav for fagsystemer ved etablering i bruk ved utfasing Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner Norm for informasjonssikkerhet

  48. Norm for informasjonssikkerhet

  49. Veileder for etablering av virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap • Med avtaleeksempler • Gruppepraksis • Profesjonssamarbeid • Kommune med dels kommunal og dels privat hjemmetjeneste • Kommune med privat sykehjem og kommunal hjemmetjeneste • Lokalmedisinsk senter og intermediært tilbud Norm for informasjonssikkerhet

  50. Veileder video-, lyd- og bildeopptak av pasient / bruker • Ulike formål, f.eks • Dokumentasjon av helsehjelp • Veiledning , undervisning • Internkontroll og Informasjonssikkerhet • Mal informasjons- og samtykkeskjema • Mal risikovurdering - med eksempelscenarier Norm for informasjonssikkerhet

More Related