Personvern og informasjonssikkerhet for apotek

Størrelse: px
Begynne med side:

Download "Personvern og informasjonssikkerhet for apotek"

Transkript

1 Personvern og informasjonssikkerhet for apotek - en veileder Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av Versjon 1.1

2 INNHOLD 1 INNLEDNING BAKGRUNN OM NORMEN MÅLGRUPPE DEFINISJONER OVERSIKT OVER SENTRALE LOVREGLER OG TILSYNSMYNDIGHETENS ROLLE HELSEPERSONELLOVEN HELSEREGISTERLOVEN LOV OM APOTEK (APOTEKLOVEN) MED FORSKRIFTER PASIENTRETTIGHETSLOVEN PERSONOPPLYSNINGSLOVEN TILSYNSMYNDIGHETERS ROLLE OG ANSVAR VEILEDNING I ARBEIDET MED INFORMASJONSSIKKERHET STYRENDE DEL Ansvar Styringssystem for informasjonssikkerhet Sikkerhetsmål Sikkerhetsstrategi Nivå for akseptabel risiko Oversikt over behandlinger av reseptdokumentasjon GJENNOMFØRENDE DEL Taushetsplikt, tilgangsstyring, autorisasjon og autentisering Hendelsesregistrering Informasjon til den registrerte og informert samtykke Innsynsretten Retting og sletting av reseptdokumentasjon, herunder oppbevaring av reseptdokumentasjon mv Utlevering av reseptdokumentasjon Fysisk sikring av områder og utstyr Sikkerhet i nettverket og datautstyret Elektronisk meldingsformidling (eresept) Hjemmekontor Opplæring og kompetanse Publikumstjenester - bruk av SMS, e-post, chat og netthandel Avtaler Overføring av reseptdokumentasjon til utlandet KONTROLLERENDE DEL Sikkerhetsrevisjon Fornyelse av meldeplikten Risikovurdering Avvikshåndtering Ledelsens gjennomgang VEDLEGG TABELL MED REFERANSE MELLOM KAPITTEL OG FAKTAARK Utlevering av reseptdokumentasjon Personvern og informasjonssikkerhet - Apotek 1.1 side 2 av 30

3 4.2 EKSEMPEL PÅ RISIKOVURDERING REFERANSER DELTAGERE I UTARBEIDELSE AV VEILEDEREN EKSEMPEL PÅ KONFIGURASJONSKART FOR APOTEK Personvern og informasjonssikkerhet - Apotek 1.1 side 3 av 30

4 Endringshistorikk for og godkjenning av dokumentet Versjon Endringer Godkjent av styringsgruppen for Normen (dato) 1.0 Første utgave av veilederen 01.jun Oppdatert referanser i definisjon "taushetsplikt" Sekretariatet 6.jun 13 Personvern og informasjonssikkerhet - Apotek 1.1 side 4 av 30

5 1 INNLEDNING 1.1 Bakgrunn Stor dynamikk, økt samhandling med bruk av IT-systemer for reseptdokumentasjon med bl.a. elektronisk resept (eresept) og ordrehåndtering ifm sentralisert fakturering preger arbeidsdagen ved apotekene. Ved innføring av eresept vil samtlige apotek tilknyttes helsenettet (Norsk Helsenett), som medfører nye samhandlingsmetoder med rekvirent og kunde. Det er sentralt at apotek/kjedekontor følger lovpålagte krav til personvern og informasjonssikkerhet. På denne bakgrunn er det behov for en veileder i personvern og informasjonssikkerhet som er spesielt rettet mot apotek/kjedekontor. Hensikten med veilederen er i første rekke å gi apoteket/kjedekontoret et praktisk verktøy i arbeidet med å ivareta gjeldende krav til personvern- og informasjonssikkerhet. Målsetningen er at det enkelte apotek ivaretar gjeldende lovkrav ved å følge anbefalingene i veilederen. I denne veilederen benyttes uttrykket fagsystem for den programløsningen som brukes i forbindelse med reseptdokumentasjon i apoteket/kjedekontoret. Et eksempel på fagsystem er FarmaPro. Veilederen er utarbeidet for styringsgruppen for Norm for informasjonssikkerhet med støtte fra Helsedirektoratet av selskapene Advokatfirmaet Wiegaard, INCERTUS og INFOSEC i samarbeid med apoteksektoren (se kapittel 4.4), og kvalitetssikret av Pharos. 1.2 Om Normen Norm for informasjonssikkerhet (Normen) ble lansert i august Normen skal bidra til tilfredsstillende informasjonssikkerhet hos den enkelte virksomhet, og i helse-, omsorgs- og sosialsektoren generelt. I tillegg skal Normen bidra til å harmonisere informasjonssikkerheten, slik at virksomhetene kan ha gjensidig tillit til hverandre. Normen bygger på gjeldende bestemmelser om personvern og informasjonssikkerhet, bl.a. reglene i personopplysningsloven og helseregisterloven. Kravene i Normen er derfor basert på gjeldende regler på personvern- og informasjonssikkerhetsområdet. Enhver virksomhet som etterlever Normen vil tilfredsstille alle krav i lovverket til informasjonssikkerhet. Alle som knytter seg til helsenettet er - gjennom avtalen om tilknytning - forpliktet til å følge Normen. Personvern og informasjonssikkerhet - Apotek 1.1 side 5 av 30

6 1.3 Målgruppe Denne veilederen er primært rettet mot personell med ansvar, oppgaver og roller i forbindelse med personvern og informasjonssikkerhet ved apotek/kjedekontor. Eksempler på slikt personell er: Apoteker Leder for apotekkjede Ansatte ved kjedekontor med ansvar for koordinering av internkontroll, personvern og informasjonssikkerhet Den enkelte ansatte ved apoteket/kjedekontoret Databehandler (driftsleverandør, ekstern fakturatjeneste, multidosepakkfirmaet mv.) Leverandør av fagsystem IKT-leverandører Sikkerhetskoordinatorer Spesialisthelsetjenesten 1.4 Definisjoner Definisjoner fra Normen (av 2. juni 2010) Med autentisering menes i Normen prosessen som gjennomføres for å bekrefte en påstått identitet. Med autorisere/autorisert/autorisasjon menes i Normen at en person i en bestemt rolle kan gis eller er gitt bestemte rettigheter til lesing, registrering, redigering, retting, sletting og/eller sperring av helse- og personopplysninger. Autorisasjon kan bare gis i den grad det er nødvendig for vedkommendes arbeid, er begrunnet ut fra tjenstlig behov og er i henhold til bestemmelser om taushetsplikt. Med autorisasjonsregister menes i Normen et register over utstedte autorisasjoner som føres av den databehandlingsansvarlige. Med avvik menes i Normen enhver håndtering av helse- og personopplysninger som ikke utføres i henhold til gjeldende regelverk, retningslinjer og/eller prosedyrer, samt andre sikkerhetsbrudd. Med behandling menes i Normen enhver formålsbestemt bruk av helse- og personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, jf. helseregisterloven 2 nr. 5 og personopplysningsloven 2 nr. 2). Med databehandler menes den som behandler helse- og personopplysninger på vegne av den databehandlingsansvarlige, jf. helseregisterloven 2 nr. 9 og personopplysningsloven 2 nr. 5). Det presiseres at en databehandler er en ekstern person eller virksomhet utenfor den databehandlingsansvarliges virksomhet. Det vil si at den databehandlingsansvarliges egne medarbeidere ikke er dennes databehandlere. Med databehandlingsansvarlig menes den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes, hvis ikke databehandlingsansvaret er særskilt angitt i Personvern og informasjonssikkerhet - Apotek 1.1 side 6 av 30

7 loven eller i forskrift i medhold av loven, jf. helseregisterloven 2 nr. 8 og personopplysningsloven 2 nr. 4) (her benyttes begrepet behandlingsansvarlig ). Det presiseres at det er virksomheten som er databehandlingsansvarlig for behandling av helseog personopplysninger. Ansvaret skal ivaretas av den daglige ledelsen av virksomheten, og virksomheten er pliktsubjekt. Med fagsystem menes i Normen en applikasjon eller et IT-system som behandler helse- og personopplysninger. Begrepet systemløsning brukes også om et fagsystem. Eksempler på fagsystem er: pleie- og omsorgsystem (PLO), legekontorsystem og barnevernsystem. Opplysninger i ulike fagsystemer kan både utgjøre elektronisk pasientjournal (EPJ) og annen tjenestedokumentasjon. helse- og personopplysninger benyttes i Normen som en fellesbetegnelse for helseopplysninger og/eller personopplysninger innenfor Normens virkeområde slik det er definert nedenfor. Med helsenettet menes i Normen nettverket som tilbys av Norsk Helsenett SF. Med helseopplysninger menes i Normen taushetsbelagte opplysninger i henhold til helsepersonelloven 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson, jf. helseregisterloven 2 nr. 1. Med hendelsesregister menes i Normen et logisk register der hendelser i informasjonssystemet er nedtegnet, se neste definisjon. Med hendelsesregistrering menes i Normen registrering av hendelser i et informasjonssystem, bl.a. med sikte på å forebygge, avdekke og hindre gjentagelse av sikkerhetsbrudd. Med hjemmekontor menes i Normen behandling av helse- og personopplysninger på PC som virksomheten har stilt til disposisjon, fra f.eks. hjem, hytte, hotellrom eller lignende. Bruk av PC som virksomheten ikke har stilt til disposisjon (for eksempel PC på Internettkafé, hotell-pc, flyplass-pc) er ikke definert som hjemmekontor. Med integritet menes i Normen at helse- og personopplysninger må være sikret mot utilsiktet eller uautorisert endring eller sletting. Med internkontroll menes i Normen planlagte og systematiske tiltak som skal sikre at virksomhetens aktiviteter planlegges, organiseres, utføres og vedlikeholdes i samsvar med krav fastsatt i eller i medhold av lovgivningen. Med konfidensialitet menes i Normen at helse- og personopplysninger må være sikret mot at uvedkommende får kjennskap til opplysningene. Med konfigurasjon menes i Normen informasjonssystemets utforming inklusive både teknisk utstyr og programvare. Med konfigurasjonsendring menes i Normen en endring av informasjonssystemets utforming som følge av installasjon, oppgradering eller fjerning av utstyr eller programvare. Personvern og informasjonssikkerhet - Apotek 1.1 side 7 av 30

8 Med kvalitet menes i Normen at helse- og personopplysninger må være korrekte, oppdaterte, relevante og tilstrekkelige som grunnlag for å yte helsehjelp. Med personopplysninger menes i Normen opplysninger og vurderinger som kan knyttes til en enkeltperson, jf. personopplysningsloven 2 nr. 1). Med register menes i Normen en logisk sammenstilling av opplysninger. En database eller et regneark er en teknisk løsning for et register. Med registrert/den registrerte menes i Normen den som opplysninger kan knyttes til, jf. personopplysningsloven 2 nr. 6. Eksempler og begreper som brukes om den registrerte er søker, pasient/bruker og tjenestemottaker. En ansatt kan være omfattet av begrepet. Med sikkerhetsnivå 4 menes i Normen to-faktor autentisering hvor en faktor er dynamisk basert på kvalifiserte sertifikater og ellers tilfredsstiller kravene til sikkerhetsnivå 4 i Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor. Med taushetsplikt menes i Normen lovpålagt eller avtalt plikt til å hindre at andre får adgang eller kjennskap til helse- og personopplysninger, jf. helsepersonelloven 21, helseregisterloven 15, helse- og omsorgstjenesteloven 12-1 og forvaltningsloven 13 til 13e, samt annen informasjon med betydning for informasjonssikkerheten, jf. personopplysningsforskriften 2-9. Taushetsplikt innbefatter både en passiv plikt til å tie og en plikt til aktivt å hindre uvedkommende i å få kunnskap om taushetsbelagte opplysninger. Med tekniske tiltak menes i Normen tiltak av teknisk karakter som ikke kan påvirkes eller omgås av medarbeidere, og ikke er begrenset av handlinger som den enkelte forutsettes å utføre. Eksempler på slike tiltak kan være autentisering på sikkerhetsnivå 4 eller konfigurering av en brannmur slik at den kun tillater bestemt trafikk eller en meldingstjeneste som er laget slik at alle meldinger automatisk blir kryptert. Med tilgang menes i Normen at helse- og personopplysninger om en eller flere bestemte pasienter/brukere er eller gjøres tilgjengelige for autorisert personell. Beslutning om tilgang til behandlingsrettede helseregistre skal treffes etter en konkret vurdering basert på at det ytes helsehjelp til pasienten. Tilgang til fagsystemer i forbindelse med ytelser til pasient/bruker skal iverksettes basert på tjenstlig behov. Tilgang i forbindelse med kvalitetssikring og administrative oppgaver skal også besluttes ut fra tjenstlig behov. Med tilgjengelighet menes i Normen at helse- og personopplysninger som skal behandles, er tilgjengelig til den tid og på det sted det er behov for opplysningene. Med tilstedeværelsesregister menes i Normen et register som viser faktisk tilstedeværelse av personell, for eksempel hendelsesregister fra adgangskontroll (nøkkelkort), timeregistreringssystem og stemplingsur. Tilstedeværelsesregisteret kan også inneholde informasjon om bruk av mobilt utstyr og hjemmekontor. Med virksomhet menes i Normen juridisk enhet som helseforetak, kommune, sykehus, legepraksis, tannklinikk, apotek, apotekkjede, røntgeninstitutt, frittstående laboratorium, universitet, høyskole, stiftelse m.v. Personvern og informasjonssikkerhet - Apotek 1.1 side 8 av 30

9 Nye definisjoner i denne veilederen Med apotek menes i dette dokumentet salgssted for legemidler til sluttbruker hvor det gis legemiddelfaglig veiledning, som er fysisk tilgjengelig for publikum. Dette inkluderer også sykehusapotek. Med apoteker menes i dette dokumentet person med driftskonsesjon til apotek etter apotekloven 3-2. Med fjernaksess menes i dette dokumentet ekstern tilgang fra leverandør til helsevirksomhet via kommunikasjonslinje for å utføre vedlikehold og oppdateringer av ITløsninger. Med kjedekontor menes i dette dokumentet hovedkontor for flere apotek. Kjedekontoret kan, avhengig av organisasjonsmodell, være databehandlingsansvarlig for samtlige apotek i kjeden. Med PKI/Public Key Infrastructure menes en teknologi for utstedelse, administrasjon og bruk av digitale sertifikater over datanett. Anvendelsesområder for PKI er autentisering (legitimering av en person, organisasjon eller gjenstands identitet), digital signatur (av dokumenter eller programvare), kryptering ende-til-ende og verifisering av dataintegritet (jf. lov om elektronisk signatur). Med reseptdokumentasjon menes i dette dokumentet den lovpålagte dokumentasjon (på papir og elektronisk) av ekspedisjon og utlevering av legemidler og handelsvarer etter resept og rekvisisjon (jf. apotekloven 5-5a). Begrepet omfatter også registrering av informasjon ifm kontakt med annet helsepersonell. Personvern og informasjonssikkerhet - Apotek 1.1 side 9 av 30

10 2 OVERSIKT OVER SENTRALE LOVREGLER OG TILSYNSMYNDIGHETENS ROLLE 2.1 Helsepersonelloven Etter helsepersonelloven ( 48) er apotektekniker, provisorfarmasøyt og reseptarfarmasøyt autorisert helsepersonell. Loven gir regler om taushetsplikt. Helsepersonell har som hovedregel taushetsplikt om pasientforhold ( 21). I tillegg har øvrige tilsatte ved apotek/kjedekontor taushetsplikt etter helsepersonelloven 21. Taushetsplikten hindrer ikke at opplysninger gis til samarbeidende personell når det er nødvendig for å kunne yte forsvarlig helsehjelp. Imidlertid har pasienten reservasjonsrett, dvs. rett til å motsette seg at opplysninger gis til samarbeidende personell ( 25). Loven åpner for at personell som bistår med elektronisk bearbeiding av opplysningene, eller som bistår med service og vedlikehold av utstyr, kan få tilgang til opplysninger som er taushetsbelagte. Dette gjelder når slik bistand er nødvendig for å oppfylle lovbestemte krav til dokumentasjon, dvs. nødvendig for å oppfylle reseptdokumentasjonsplikten. Slikt personell må underlegges samme taushetsplikt som helsepersonell som yter helsehjelp. Apoteket/kjedekontoret kan derfor benytte seg av ulike grupper leverandører uten at taushetsplikten er til hinder for det. Reseptdokumentasjon kan behandles hos en databehandler, fagsystemet kan driftes av en databehandler, servicepersonell kan bistå ved håndteringen av informasjonssikkerheten. Når apoteket/kjedekontoret gir servicepersonell mv. tilgang til informasjonssystemet, skal den sørge for at personellet undertegner taushetserklæring. Det heter også i helsepersonelloven at en virksomhet som yter helsehjelp, skal organiseres slik at helsepersonellet blir i stand til å overholde sine lovpålagte plikter ( 16). God organisering av arbeidet med informasjonssikkerhet er derfor en plikt apoteket/kjedekontoret har etter lovverket. 2.2 Helseregisterloven Helseregisterloven gir sentrale definisjoner. De viktigste er gjengitt i kapittel 1.4. Etter loven ( 13) er det bare den databehandlingsansvarlige, databehandlere og den som arbeider under den databehandlingsansvarliges instruksjonsmyndighet, som kan gis tilgang til helseopplysninger. Helseregisterloven 13 b og helsepersonelloven 21 a slår fast forbudet mot urettmessig tilegnelse av helseopplysninger, jf. helseregisterloven 13a (snoking) i helseopplysninger, presisert på den måten at det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger uten at det er begrunnet i helsehjelp til pasienten, administrasjon av helsehjelp eller har særskilt hjemmel i lov. Personvern og informasjonssikkerhet - Apotek 1.1 side 10 av 30

11 2.3 Lov om apotek (apotekloven) med forskrifter Apotekloven fastsetter krav til dokumentasjon av reseptekspedisjonen ( 5-5a). Kravet fastsetter at apoteket er forpliktet til å oppbevare opplysninger om ekspedisjon og utlevering av legemidler og handelsvarer etter resept og rekvisisjon. Etter loven skal apoteket etablere internkontroll for virksomheten og må kunne dokumentere at virksomhet og tjenester planlegges, utføres og vedlikeholdes i samsvar med krav fastsatt i lov og forskrift ( 5-6). Apotekloven fastsetter at for pasienters innsynsrett i lagrede opplysninger gjelder pasientrettighetsloven ( 5-5a). Apotekforskriften stiller i sikkerhetssammenheng bl.a. krav til: utforming av lokalene ( 21) innbruddssikring av lokalene ( 21) føring av narkotikaregnskap ( 31) internkontroll ( 35) innholdet i internkontrollen ( 36) dokumentasjon at apoteket drives i henhold til de til enhver tid gjeldende regler ( 37) informert og skriftlig samtykke ved reklame rettet mot den enkelte kundes bestemte legemiddelbruk eller sykdomstilstand ( 47) 2.4 Pasientrettighetsloven Pasientrettighetsloven skal bidra til å sikre at pasienter får tilgang på helsehjelp av god kvalitet. Loven skal også bidra til å fremme tillitsforholdet mellom pasient og helsetjeneste og ivareta respekten for den enkelte pasients liv, menneskeverd og integritet. Opplysninger om sykdomsforhold - og andre personlige opplysninger - skal behandles i samsvar med taushetsplikten jf At helse- og personopplysninger skal behandles med varsomhet og respekt for integriteten til den opplysningene gjelder, er derfor både en plikt for helsepersonellet og en rettighet for pasienten. Gode informasjonssikkerhetsprosedyrer bidrar til etterlevelse av dette. Den som har krav på taushet kan samtykke i at helse- og personopplysninger gis videre, og taushetsplikten faller da bort så langt samtykket dekker. Pasienten har også rett til å motsette seg utlevering og overføring av journalopplysninger med mindre det foreligger tungtveiende grunner ( 5-3). Pasientrettighetsloven slår fast at pasienten som hovedregel har rett til innsyn i sin egen journal ( 5-1). 2.5 Personopplysningsloven Personopplysningsloven gir grunnleggende regler og definisjoner innen personvern og informasjonssikkerhet. Som nevnt under pkt. 1.2, bygger Normen bl.a. på reglene i personopplysningsloven. Personopplysningsloven stiller i 13 krav til planlagte og systematiske tiltak for å oppnå tilfredsstillende informasjonssikkerhet. Etablering av styringssystem for Personvern og informasjonssikkerhet - Apotek 1.1 side 11 av 30

12 informasjonssikkerhet og tekniske sikkerhetstiltak må gjennomføres for å ivareta kravene. Etter loven har apoteket/kjedekontoret meldeplikt til Datatilsynet for sine behandlinger av reseptdokumentasjon. Meldeplikten gjennomføres ved å fylle ut og sende elektronisk skjema via Meldingen skal fornyes hvert tredje år. 2.6 Tilsynsmyndigheters rolle og ansvar Helse- og omsorgsdepartementet Etter apotekloven ( 8-1) er Helse- og omsorgsdepartementet tilsynsmyndighet som skal føre tilsyn med reseptdokumentasjonen. Datatilsynet Etter personopplysningsloven og helseregisterloven skal Datatilsynet føre tilsyn med hvordan helse- og personopplysninger behandles og sikkerheten rundt dem. Helsetilsynet Helsetilsynet fører tilsyn med helsepersonellets yrkesutøvelse ved apoteket. Apoteket kan på eget initiativ sende bekymringsmelding til Helsetilsynet knyttet til helsepersonellets yrkesutøvelse (f.eks. legers forskrivning). På forespørsel skal apoteket sende resepter og/eller reseptdokumentasjon til Helsetilsynet og ellers bistå Helsetilsynet i tilsynets arbeid. Legemiddelverket Legemiddelverket fører tilsyn med dokumentasjon av faglige aktiviteter i apoteket. Legemiddelverket fører ikke spesielt tilsyn med dokumentasjon av reseptekspedisjon (jf. apotekloven 5-5 a), fordi det foreløpig ikke er gitt nærmere bestemmelser (forskrifter). Alle tilsyn nevnt ovenfor har taushetsplikt ift reseptdokumentasjon. Personvern og informasjonssikkerhet - Apotek 1.1 side 12 av 30

13 3 VEILEDNING I ARBEIDET MED INFORMASJONSSIKKERHET Dette kapittelet gir en oversikt over og en veiledning i nødvendige sikkerhetstiltak for apoteket/kjedekontoret. Det er gitt en forklaring for hvert enkelt sikkerhetstiltak. På denne måten vil leseren få en forståelse av tiltaket før det konkret iverksettes. Ivaretakelse av informasjonssikkerheten, bl.a. etablering av styringssystem for informasjonssikkerhet, er en del av virksomhetens internkontrolldokumentasjon og er en del av kvalitetssystemet ved apoteket/kjedekontoret. Gjennomføring av risikovurderinger danner grunnlaget for å iverksette de nødvendige organisatoriske og tekniske sikkerhetstiltakene. Kapittelet er delt i en styrende del, en gjennomførende del og en kontrollerende del. Hver del inneholder de viktigste sikkerhetstiltakene apoteket/kjedekontoret må gjennomføre for å ivareta kravene. Vær oppmerksom på at ingen apotek er like - de skiller seg fra hverandre i størrelse og type. Omfanget på tiltakene må derfor tilpasses det enkelte apotek. Ikke alle tiltakene er like relevante for alle apotek. 3.1 Styrende del I styrende del skal alle prinsipper for gjennomførende og kontrollerende informasjonssikkerhetstiltak beskrives. I styrende del skal det fremkomme hva som er apotekets/kjedekontorets sikkerhetsmål og sikkerhetsstrategi og apoteket/kjedekontoret skal utarbeide oversikt over behandlinger av reseptdokumentasjon. Apoteket/kjedekontoret skal videre fastsette nivå for akseptabel risiko Ansvar Det er databehandlingsansvarlig som er ansvarlig for informasjonssikkerheten. Den daglige ivaretakelsen av informasjonssikkerheten på vegne av virksomhetens ledelse ligger hos apoteker. Den som har det daglige ansvaret for informasjonssikkerheten, kan delegere oppgaver til andre ansatte. Oppgaver kan også, ved hjelp av avtaler, overlates til eksterne, f.eks. til driftsleverandører, sikkerhetsleverandører og databehandlere. Uansett om oppgaver er delegert eller ikke, ligger det juridiske ansvaret hos databehandlingsansvarlig. I apoteket/kjedekontoret vil databehandlingsansvaret kunne være ulikt organisert. Personvern og informasjonssikkerhet - Apotek 1.1 side 13 av 30

14 Apotekforskriften fastsetter også at apotekeren er ansvarlig for at driften av underlagte medisinutsalg er forsvarlig og i samsvar med myndighetskrav ( 62). Videre skal apoteker eller bemyndiget person føre nødvendig tilsyn med medisinutsalget minst en gang hvert år. Tilsyn skal dokumenteres. Kjedekontor Enkelte apotekkjeder er organisert ved at kjedekontoret (eier) er databehandlingsansvarlig og det enkelte apotek ikke er egne juridiske enheter med eget ansvar. Apoteker ved det enkelte apotek bør ivareta lokale oppgaver ifm personvern og informasjonssikkerhet. Apotek Når det enkelte apotek er selvstendig juridisk enhet er apoteket databehandlingsansvarlig. Filialapotek Stedlig leder av filialapotek bør ivareta lokale oppgaver ifm personvern og informasjonssikkerhet etter instruks fra databehandlingsansvarlig (apoteker/kjedekontor). Medisinutsalg og kommisjonær Stedlig leder av medisinutsalg og kommisjonær bør ivareta lokale oppgaver ifm personvern og informasjonssikkerhet etter instruks fra apoteker eller kjedekontor Styringssystem for informasjonssikkerhet Etter Normen plikter apoteket/kjedekontoret å etablere et styringssystem for informasjonssikkerhet. Et styringssystem angir aktiviteter for å rettlede og styre apoteket/kjedekontoret og er basert på alminnelige internkontrollprinsipper. Kravene og anbefalingene som er angitt i kapittel 3 er normalt en del av dette styringssystemet. Ansvar for prosedyrer Databehandlingsansvarlig skal påse at det etableres nødvendige prosedyrer i styringssystemet. For apotekvirksomheter som består av flere enkeltapotek, anbefales det at prosedyrene for personvern og informasjonssikkerhet etableres i et felles styringssystem, slik at det enkelte apotek enkelt kan tilpasse prosedyrene til lokale forhold før de tas i bruk Sikkerhetsmål Apoteket/kjedekontoret skal ha utarbeidet sikkerhetsmål. Behandlingen av reseptdokumentasjon og apotekets/kjedekontorets sikkerhetstiltak skal gjennomføres i tråd med disse. Sikkerhetsmålene er apotekets/kjedekontorets overordnede føringer for behandling av reseptdokumentasjon. Sikkerhetsmålene bør være konkrete, målbare og lett å operasjonalisere i en sikkerhetsstrategi. Personvern og informasjonssikkerhet - Apotek 1.1 side 14 av 30

15 3.1.4 Sikkerhetsstrategi Med utgangspunkt i sikkerhetsmålene skal apoteket/kjedekontoret utarbeide en sikkerhetsstrategi. En sikkerhetsstrategi er en overordnet beskrivelse av hvordan sikkerhetsmålene skal oppnås gjennom ulike sikkerhetstiltak. Sikkerhetsstrategien skal være så entydig at apoteket/kjedekontoret ut fra den kan utarbeide prosedyrer i sitt styringssystem for informasjonssikkerhet Nivå for akseptabel risiko Apoteket/kjedekontoret skal ha fastsatt nivå for akseptabel risiko. Med akseptabel risiko menes hvor stor risiko apoteket/kjedekontoret kan akseptere for at det inntreffer en hendelse som kan forårsake brudd på konfidensialitet, tilgjengelighet, integritet eller kvalitet for reseptdokumentasjon. Nivå for akseptabel risiko skal minst være i samsvar med Normens kriterier for akseptabel risiko Oversikt over behandlinger av reseptdokumentasjon Apoteket/kjedekontoret skal til enhver tid ha oversikt over hvilke behandlinger av reseptdokumentasjon og annen behandling av helse- og personopplysninger som skjer i apoteket/kjedekontoret. Oversikten over behandlinger bør inneholde følgende informasjon: - formålene med behandlingen (overordnet, for eksempel: ekspedering, reseptdokumentasjon, regnskap, fordelprogram mv.) - kategorier av helse- og personopplysninger (sensitive/ikke-sensitive) - daglig ansvar (person ved apoteket som har ansvaret eller som har fått oppgaver delegert til seg) - fagsystem som benyttes til behandlingen - meldeplikt (utført/ikke-utført, informasjon om fornyelse hvert tredje år, ansvar mv.) - evt. databehandler (navn, kontaktinformasjon, avtaleforhold mv.) Det er viktig at apoteket/kjedekontoret er bevisst at den ikke kan bruke reseptdokumentasjon til nye formål og i andre sammenhenger uten at det foreligger samtykke fra den registrerte (kunden) eller annen hjemmel for utveksling av reseptdokumentasjon. Oversikt over behandlinger skal også inkludere personaladministrasjon. Nærmere om meldeplikten Ved apoteket/kjedekontoret skal alle behandlinger av reseptdokumentasjon meldes til Datatilsynet før behandlingen tar til. Når det skjer endringer i behandlingsmåten, skal det sendes en endringsmelding. Innsendte meldinger skal fornyes etter 3 år. Alle meldinger sendes inn via Datatilsynets nettsted, Det er databehandlingsansvarlig som har ansvaret for å melde (jfr. avsnitt Ansvar). Personvern og informasjonssikkerhet - Apotek 1.1 side 15 av 30

16 3.2 Gjennomførende del Taushetsplikt, tilgangsstyring, autorisasjon og autentisering Taushetsplikten og generelle personvernprinsipper gjør at tilgang til reseptdokumentasjon bare skal gis i den grad dette er nødvendig for å yte tjenesten og i den grad den registrerte ikke motsetter seg det. Tilgang skal tildeles medarbeiderne etter hvilke roller og arbeidsoppgaver de har. Medarbeiderens rolle skal ikke alene gi tilgang til reseptdokumentasjon og bruk av informasjonssystemene. Tilgangen som gis skal være basert på et konkret tjenstlig behov knyttet til arbeidsoppgaver, f.eks. i forbindelse med reseptdokumentasjon og bruk av eresept mv. Tilgangsstyringen må derfor ta utgangspunkt i hvordan det enkelte apotek konkret er organisert (jfr. avsnitt 3.1.1), og tilgangen må avpasses etter forholdene i apoteket. Prosedyrene som beskriver tilgangsrettighetene skal speile denne praksisen i apoteket. Apoteket/kjedekontoret har vide muligheter til å organisere seg i tråd med egne forutsetninger og behov. Momenter som vil kunne påvirke den konkrete tilgangsstyringen er bl.a.: størrelsen på apoteket organisasjonsform (jfr ) bruk av databehandler, f.eks. ved at en tredjepart drifter og lagrer reseptdokumentasjonen eller ved bruk av multidosepakkfirma fjernaksess fra applikasjonsleverandør og driftsleverandør Når en person er autorisert for tilgang, skal vedkommende rent faktisk oppnå tilgang i samsvar med autorisasjonen. Apoteket må derfor opprette brukere i fagsystemet (brukerkontoer) iht. dette. Apoteket/kjedekontoret skal føre alle tildelte autorisasjoner i et autorisasjonsregister. For å motvirke at en tilgang til informasjonssystemet misbrukes, skal den enkelte bruker autentiseres, i praksis ved hjelp av passord eller PKI. Autentiseringen skal uansett være forholdsmessig ut fra apotekets størrelse og virkefelt. Hvilke interne prosedyrer for autentisering apoteket etablerer, bør være basert på en risikovurdering på en slik måte at risikovurderingen viser begrunnelsen for den etablerte tilgangstyringen. Apoteket/kjedekontoret bør utarbeide en oversikt som viser tilgangene per rolle, basert på tilgangsstyringen i det aktuelle fagsystem. Det er viktig å være klar over at helseregisterloven ikke tillater at personell utenfor apotekets/kjedekontorets (den databehandlingsansvarliges) instruksjonsmyndighet har tilgang til apotekets/kjedekontorets reseptdokumentasjon. Dette kan føre til praktiske utfordringer for tilgangsstyringen, fordi dette innebærer at det bare er de ansatte (herunder elever og studenter) og andre som er underlagt instruksjonsmyndighet - i tillegg til den databehandlingsansvarlige selv - som kan gis tilgang til fagsystemet. En praktisk ufordring kan være at enkelte Personvern og informasjonssikkerhet - Apotek 1.1 side 16 av 30

17 apotek/kjedekontor har automatisk varebestilling ved at grossisten har tilgang til apotekets lagermodul i fagsystemet. Helseregisterloven og helsepersonelloven slår fast forbudet mot snoking i helseopplysninger, presisert på den måten at det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger uten at det er begrunnet i helsehjelp, administrasjon av helsehjelp eller har særskilt hjemmel i lov eller forskrift Hendelsesregistrering Apoteket/kjedekontoret skal ha etablert hendelsesregistrering og prosedyre for kontroll av hendelsesregistre, slik at den har kontroll med aktiviteten i informasjonssystemet. Dermed kan avvik oppdages. Følgende hendelser skal som et minimum registreres: tildeling av tilganger bruk av tilganger uautorisert eller forsøk på uautorisert bruk av tilganger Det skal etableres prosedyrer for å analysere hendelsesregistrene slik at avvik oppdages før de får alvorlige konsekvenser, og fortrinnsvis innen 1 uke. Hendelsesregisteret skal kunne sammenstilles med autorisasjonsregisteret og tilstedeværelsesregisteret. Hendelsesregistret skal oppbevares i minimum 2 år (fortrinnsvis i elektronisk form) Informasjon til den registrerte og informert samtykke Når apoteket registrerer reseptdokumentasjon skal den registrerte være informert om at registreringen skjer. Bare ved å være informert om registreringen, vil den registrerte være i stand til å ivareta sine rettigheter. Den registrerte skal ha informasjon om sine rettigheter knyttet til samtykke, reservasjon, innsyn, retting og sletting. Apoteket kan gi informasjonen til den registrerte ved oppslag i apoteket eller i en brosjyre. Det kreves ikke samtykke for å opprette reseptdokumentasjon. Ved registrering av andre opplysninger kan dette kreve samtykke (for eksempel ifm veiledning og fordelsprogram). Den registrerte kan ikke motsette seg at reseptdokumentasjon blir ført hvis legemidler utleveres; personellets dokumentasjonsplikt går foran den enkeltes individuelle rett til å samtykke til eller nekte registreringen. Den registrerte har rett til både å gi og å tilbakekalle samtykke etter eget valg. Den registrerte har ikke noen plikt til å begrunne valget Innsynsretten Apotekloven gir den registrerte rett til innsyn i lagrede opplysninger. Innsynsretten består av tre elementer, som apoteket må kunne håndtere for at innsynsretten skal bli reell og effektiv: - den registrerte har rett til å se på og lese i sin egen reseptdokumentasjon med bilag - den registrerte har - etter nærmere forespørsel - rett til kopi av hele eller deler av reseptdokumentasjonen Personvern og informasjonssikkerhet - Apotek 1.1 side 17 av 30

18 - den registrerte har - etter nærmere forespørsel - rett til en enkel og kortfattet forklaring av faguttrykk eller lignende Det er viktig å være klar over at den registrerte har rett til innsyn i reseptdokumentasjon med bilag. Bilag er for eksempel legemiddeloversikt og andre skriftlige nedtegnelser. Alle former for reseptdokumentasjon omfattes av innsynsretten, både papir- og IKT-baserte. Innsynsretten gjelder også for andre behandlinger av helse- og personopplysninger slik som fordelprogram, nettbutikk, osv. Den registrerte har krav på innsyn i hendelsesregistre og autorisasjonsregistre som gjelder den registrerte. Dersom den registrerte samtykker til det, eller forholdene tilsier det, skal den registrertes nærmeste pårørende ha informasjon om hva som er lagret i fagsystemet. Det anbefales at apoteket dokumenterer kravet på innsyn og hvilke opplysninger som det eventuelt ble gitt innsyn i. Nærmeste pårørende har rett til innsyn i reseptdokumentasjon etter en pasients død, om ikke særlige grunner taler mot dette. Apoteket kan etter en konkret vurdering i hvert enkelt tilfelle, tillate at legemidler utlevers til tredjeperson på andres vegne Retting og sletting av reseptdokumentasjon, herunder oppbevaring av reseptdokumentasjon mv. Den registrerte kan i en rekke sammenhenger kreve at feil i reseptdokumentasjon om vedkommende, blir rettet eller slettet. F.eks. følger det av personopplysningsloven, helsepersonelloven og pasientjournalforskriften at den registrerte kan kreve at mangelfull, feilaktig eller utilbørlig reseptdokumentasjon eller utsagn blir rettet. Det er helsepersonellet som må vurdere om det er adgang til å rette eller slette opplysninger i reseptdokumentasjonen. Sletting bør suppleres med registrering av korrekte og fullstendige opplysninger. Dersom dette ikke er mulig, og dokumentet som inneholdt de slettede opplysningene av den grunn gir et åpenbart misvisende bilde, skal hele dokumentet slettes. Oppbevaringstid på reseptdokumentasjon: - A-resept: 5 år - B-resept: 1 år - H-resept: 2 år (oppbevaringstiden er basert på avtale mellom de regionale helseforetakene og apotekene) - Telefonresept: 1 år - Narkotikaregnskap med bilag: 5 år Når oppbevaringstiden er løpt ut, skal opplysningene slettes (makuleres), om ikke særlige regler, f.eks. i arkivlovgivningen eller regnskapslovgivningen, bestemmer noe annet. Slettingen skal finne sted uansett om opplysningene er lagret på papir eller elektronisk. Personvern og informasjonssikkerhet - Apotek 1.1 side 18 av 30

19 3.2.6 Utlevering av reseptdokumentasjon Lovpålagt utlevering av reseptdokumentasjon til Helsetilsynet (melding ifm legers foreskrivning av A- og B-preparater) Apoteket/kjedekontoret skal påse at kun informasjon det er avtalt med Helsetilsynet overføres. Det er ikke nødvendig med databehandleravtale med Helsetilsynet. Helsepersonelloven 30 lyder Helsepersonell skal gi Statens helsetilsyn og Helsetilsynet i fylket adgang til virksomhetens lokaler, og gi alle de opplysninger som ansees påkrevd for utøvelsen av tilsyn med helsepersonells virksomhet. Helsepersonell skal uten hinder av taushetsplikten utlevere de dokumenter, lyd- og bildeopptak o.l. som kreves av Statens helsetilsyn og Helsetilsynet i fylket. Utlevering av reseptdokumentasjon til Helsetilsynet i forbindelse med bekymringsmeldinger Apoteket/kjedekontoret kan utlevere reseptdokumentasjon til Helsetilsynet i forbindelse med bekymringsmeldinger om legers forskrivning av A- og B-preparater. Utlevering av opplysninger til Reseptregisteret vedrørende alle som henter legemidler på resept Apoteket/kjedekontoret skal påse at opplysninger om hver enkelt ekspedert resept og rekvisisjon blir sendt til Folkehelseinstituttet iht de tidsfrister instituttet har fastsatt. Utlevering av reseptdokumentasjon ifm fakturering Apoteket/kjedekontoret skal påse at kun relevant informasjon utleveres til leverandør som utfører fakturering. Utleveres det helseopplysninger skal det opprettes databehandleravtale med leverandør som forestår fakturering. Det anbefales å opprette databehandleravtale når fakturering utføres av kjedekontor som er databehandlingsansvarlig. Utlevering av reseptdokumentasjon ifm oppgjørskrav Utlevering av oppgjørskrav til HELFO skal gjøres iht avtale om direkte oppgjør med apotek (oppgjørsavtalen). Annen utlevering Utlevering av reseptdokumentasjon til for eksempel spesialisthelsetjenesten (legemiddelassistert rehabilitering - LAR), helseforetak (bl.a. ifm. H-resepter), multidosepakkfirma, barnevern (bekymringsmelding), politi, NAV, foreldre, pårørende og andre kan kun skje med hjemmel i lov eller forskrift eller etter samtykke fra den registrerte Fysisk sikring av områder og utstyr Det er viktig at apoteket sikrer både sitt fysiske område (utgangskasse, reseptur, kontorer, bakreseptur, arkivrom, mv.) og utstyret som inneholder reseptdokumentasjon (hver enkelt PC, server med fagsystem mv.). Sikringen har som formål å hindre at uautoriserte får tilgang. Konkret bør apoteket utarbeide prosedyrer for daglig sikring av dører/-vinduer (låsing, alarmsystemer), alle arealer, PC-er, printere, servere, telefakser, kopimaskiner, bærbare datamaskiner mv. Apoteket skal sikre at utskrifter ikke kommer på avveie. Dokumenter som inneholder reseptdokumentasjon, og som ikke skal tas vare på, skal slettes fullstendig, helst ved makulering. Apoteket skal ha innbruddssikring (jf. apotekforskriften 21). Personvern og informasjonssikkerhet - Apotek 1.1 side 19 av 30

20 3.2.8 Sikkerhet i nettverket og datautstyret Tilkoblingssikkerhet Ved tilkobling til nettverk utenfor apoteket/kjedekontoret (f.eks. Norsk Helsenett og Internett) skal det etableres tekniske tiltak som ivaretar at: Kun eksplisitt angitt tillatt trafikk kan passere, annet stoppes Trafikk kan ikke passere direkte utenfra og inn; all slik ekstern trafikk må initieres fra virksomhetens systemer Tilkoblingen til eksterne datanettverk (for eksempel Internett) sikres med to uavhengige tekniske virkemidler fra der det behandles reseptdokumentasjon Nettjenesten (for eksempel Internett) er logisk atskilt fra der reseptdokumentasjon behandles Hendelsesregistrering iverksettes for å kontrollere at regler ikke brytes; ved brudd stenges kanalen inntil ny sikker løsning finnes I figuren i pkt. 4.5 er mekanismer som ivaretar kravene over, illustrert ved hjelp av bl.a. sikkerhetsbarrierer. Meldingsformidling (eresept) som inneholder helseopplysninger Apoteket/kjedekontoret skal påse at det er inngått avtale om ansvarsforhold vedr. meldingsformidling mellom avsender, mottaker og eventuell meldingsformidler. Fagsystemet som apoteket/kjedekontoret benytter til meldingsformidling (eresept) skal ha funksjonalitet som ivaretar sikkerhetskravene ved oppslag mot reseptformidleren (se figur i kapittel 4.5) og utlevering av legemidlene. Konfigurasjonskontroll utenfor det enkelte apotek/kjedekontor: Det er apotekets/kjedekontorets ansvar å påse at teknisk løsning utenfor egen virksomhet også ivaretar sikkerhetskravene i Normen. Oppgavene kan ivaretas av databehandler iht databehandleravtale. Se eksempel på teknisk løsning i kapittel 4.5. Dokumentasjonen ved apoteket skal illustrere at apoteket/kjedekontoret er tilknyttet ekstern leverandør med følgende tilknytninger: apotekkjedens kjedekontor andre apotek i kjeden andre apotekkjeders kjedekontor andre apotek fra andre apotekkjeder Norsks Helsenett for elektronisk samhandling med øvrige deler av helsesektoren samt tilknytning til reseptformidleren for elektroniske resepter Internett løsning for hjemmekontor / fjernaksess Apotekforeningen databehandler for oppdatering, support og vedlikehold av apotekets fagsystem tilgang fra grossist for automatisk varebestilling Konfigurasjonskart og konfigurasjonsbeskrivelser over tilknytningen ovenfor ivaretas av databehandler. Disse kan innhentes på forespørsel og trengs ikke å utarbeides og oppbevares av det enkelte apotek. Personvern og informasjonssikkerhet - Apotek 1.1 side 20 av 30

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten - en veileder Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.3 www.normen.no

Detaljer

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1 Introduksjonskurs til Normen Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS 1 Innhold 1. Litt om personvern og informasjonssikkerhet 2. Norm for informasjonssikkerhet 3. Risikovurdering 4.

Detaljer

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten - en veileder Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 2.0 www.normen.no

Detaljer

Personvern og informasjonssikkerhet for legekontorer

Personvern og informasjonssikkerhet for legekontorer Personvern og informasjonssikkerhet for legekontorer - en veileder Veilederen er et støttedokument til Norm for informasjonssikkerhet i helsesektoren Utgitt med støtte av: Versjon 1.1 www.normen.no INNHOLD

Detaljer

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Kapittel 1. Generelle bestemmelser 1.Lovens formål Formålet med loven er at behandling av helseopplysninger skal skje

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet) Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 4.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud Helseopplysninger på tvers - rammer for deling og tilgang HelsIT 15. oktober 2014 Marius Engh Pellerud Hva er personvern? 18.06.2014 Side 2 Retten til privatliv Selvbestemmelse Rett til å vite og forstå

Detaljer

Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner

Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner Veilederen er et støttedokument til Norm for informasjonssikkerhet www.normen.no Utgitt med støtte av: Versjon 1.2

Detaljer

Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Norm for informasjonssikkerhet Helse, omsorgs og sosialsektoren Utgitt med støtte av: Oslo, 2010 FORORD Stadig mer av arbeidet i helsesektoren er basert på elektronisk behandling av pasientenes opplysninger.

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

mellom leverandør og virksomhet

mellom leverandør og virksomhet Veileder for fjernaksess mellom leverandør og virksomhet Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 2.0 www.normen.no INNHOLD 1 INNLEDNING... 4 1.1

Detaljer

Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner

Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner Veilederen er et støttedokument til Norm for informasjonssikkerhet www.normen.no Utgitt med støtte av: Versjon 2.0

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Personvern og informasjonssikkerhet i kontakten med pasient/bruker Personvern og informasjonssikkerhet i kontakten med pasient/bruker En veileder i bruk av portalløsninger, SMS og e-post Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte

Detaljer

Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag. Tor Ottersen

Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag. Tor Ottersen Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag Tor Ottersen Bakgrunn Helse-, sosial- og omsorgssektoren er: Enorm både i antall årsverk og omsetning Organisatorisk fragmentert Har

Detaljer

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner Velkommen til Fagkurs i informasjonssikkerhet basert på Normen for kommuner 1 Mål for fagkurset (1) Deltakerne skal etter gjennomføring av kurset: Ha kunnskap om og kunne formidle hvorfor ivaretakelse

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Helse- og omsorgsdepartementet HØRINGSNOTAT

Helse- og omsorgsdepartementet HØRINGSNOTAT Helse- og omsorgsdepartementet HØRINGSNOTAT Forslag til endringer i forskrift om nasjonal kjernejournal og forskrift om nasjonal database for elektroniske resepter (reseptformidleren) Utsendt: 23. mai

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN Norm for informasjonssikkerhet Helse- og omsorgstjenesten Tor Ottersen HVA - HVORFOR - HVORDAN Hva er Normen Et omforent sett av adferdsregler og tiltak Besluttet og forvaltet av sektoren, forankret i

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet

Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veilederen er et støttedokument til Norm for informasjonssikkerhet www.normen.no Utgitt med støtte av: Versjon

Detaljer

Datasikkerhet internt på sykehuset

Datasikkerhet internt på sykehuset Datasikkerhet internt på sykehuset DRG Konferansen 11. mars 2009 Informasjonssikkerhetsleder Jan Gunnar Broch Sykehuset Innlandet HF Agenda Informasjonssikkerhet; Hva, hvorfor og hvordan Hvordan håndterer

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01090 Dato for kontroll: 04.12.2013 Rapportdato: 22.05.2014 Endelig kontrollrapport Kontrollobjekt: Drammen Helsehus Sted: Drammen Utarbeidet av: Camilla Nervik Grete Alhaug Marius Engh

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Personvern og informasjonssikkerhet i kontakten med pasient/bruker Personvern og informasjonssikkerhet i kontakten med pasient/bruker En veileder i bruk av portalløsninger, SMS og e-post Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte

Detaljer

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN LÆRINGS- og GJENNOMFØRINGSPLAN Fagkurs i informasjonssikkerhet og personvern for kommuner basert på Normen Planen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.

Detaljer

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN LÆRINGS- og GJENNOMFØRINGSPLAN Fagkurs i informasjonssikkerhet og personvern for kommuner basert på Normen Planen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.1

Detaljer

Høringsuttalelse - Forslag til ny kommunal helse- og omsorgslov

Høringsuttalelse - Forslag til ny kommunal helse- og omsorgslov Helse- og Omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Deres ref. Deres dato Vår ref. Vår dato 200903950-/ATG 18.10.2010 010/11ToNy 13.01.2011 Høringsuttalelse - Forslag til ny kommunal helse- og omsorgslov

Detaljer

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune Kongsvinger kommune Fjellg 2 2226 KONGSVINGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato ARI/14/4710/K2- G90, K3-&40/ 13/01091-8/MEP 26. mars 2014 Vedtak om pålegg og endelig kontrollrapport

Detaljer

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO.

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO. MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT HELSEDIREKTORATET Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO Deres ref Vår ref Dato 10/2494 200800923-/OS 10.10.2011 Uttalelse

Detaljer

Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet

Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veilederen er et støttedokument til Norm for informasjonssikkerhet i helsesektoren Utgitt med støtte av:

Detaljer

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Personvernombud Støttedokument Faktaark nr. 35 Versjon: 2.1 Dato: 15.12.2010 Målgruppe Dette faktaarket er spesielt relevant for: Ansvar

Detaljer

Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak]

Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak] Databehandleravtale Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak] 1 Kontraktens parter Kontrakten inngås mellom databehandlingsansvarlig

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Det skal ikke være lett! Elektronisk sårjournal: Liten brikke i stort spill

Det skal ikke være lett! Elektronisk sårjournal: Liten brikke i stort spill Det skal ikke være lett! Elektronisk sårjournal: Liten brikke i stort spill Juridiske og sikkerhetsmessige problemstillinger HelsIT, 28. september 2011 Eva Skipenes, sikkerhetsrådgiver NST eva.skipenes@telemed.no

Detaljer

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen.. (behandlingsansvarlig)

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

IS-7/2006. Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler

IS-7/2006. Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler IS-7/2006 Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler Heftets tittel: Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Utvikling og innføring av e-resept

Utvikling og innføring av e-resept Utvikling og innføring av e-resept TKS Senter for rettsinformatikk 6.11.2012 Jon-Are Bækkelie 16.11.12 Tema for presentasjonen 1 e-resept for tryggere og enklere medisinering 4. Pasienter eller deres omsorgspersoner

Detaljer

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum. Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.no OH 1 Agenda Hva er personopplysninger Personvern vs informasjonssikkerhet

Detaljer

Tjenesteavtale nr. 9. mellom. Berlevåg kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt

Tjenesteavtale nr. 9. mellom. Berlevåg kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt Tjenesteavtale nr. 9 mellom Berlevåg kommune og Helse Finnmark HF Om Samarbeid om IKT-løsninger lokalt Parter Denne avtalen er inngått mellom Berlevåg kommune og Helse Finnmark HF Bakgrunn Denne tjenesteavtalen

Detaljer

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Rapport informasjonssikkerhet Helgelandssykehuset 2015 Rapport informasjonssikkerhet Helgelandssykehuset 2015 1. Innledning I Oppdragsdokumentet 2015 punkt 4.4. Beredskap, er et av punktene: Området informasjonssikkerhet med tilhørende status på ROS [1] -analyser

Detaljer

BILAG 1 DATABEHANDLERAVTALE

BILAG 1 DATABEHANDLERAVTALE BILAG 1 DATABEHANDLERAVTALE Inngått iht.personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kap. 2 mellom UNINETT AS ("Databehandler") og Virksomheten ("den Behandlingsansvarlige") heretter

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01089 Dato for kontroll: 08.11.2013 Rapportdato: 26.03.2014 Endelig kontrollrapport Kontrollobjekt: Byhagen legesenter Sted: Alta Utarbeidet av: Camilla G. Nervik Grete Alhaug Marius Engh

Detaljer

Innholdsfortegnelse. Veiledning i selvdeklarering av programvare

Innholdsfortegnelse. Veiledning i selvdeklarering av programvare Innholdsfortegnelse 1. Innledning... 2 2. Om selvdeklarering... 2 3. Programvare som selvdeklareringen anbefales brukt på... 2 4. Veiledningsdokumenter... 3 5. Utfylling av skjematikk... 3 6. Eksempel

Detaljer

Kontroll av reseptformidleren 11122013 endelig kontrollrapport

Kontroll av reseptformidleren 11122013 endelig kontrollrapport Helsedirektoratet Postboks 7000 St Olavs plass 0130 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/10134-6 13/01268-8/MEP 27. februar 2014 Kontroll av reseptformidleren 11122013 endelig

Detaljer

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN LÆRINGS- og GJENNOMFØRINGSPLAN Instruktørkurs i informasjonssikkerhet basert på Normen for helseforetak, regionale helseforetak og deres IKT-driftsenheter Kurs i informasjonssikkerhet for utvalgte grupper

Detaljer

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Nr Sjekkpunkt Faktaark /ikke ok Beskrivelse 7 Ikke ok Er gjennomført en rekke ROS-analyser vedr. FIKS. Det mangler i vesentlig

Detaljer

Helse- og omsorgsdepartementet Kultur- og kirkedepartementet. Deres ref Vår ref Dato 200605006-/EMK 09.01.2007

Helse- og omsorgsdepartementet Kultur- og kirkedepartementet. Deres ref Vår ref Dato 200605006-/EMK 09.01.2007 Helse- og omsorgsdepartementet Kultur- og kirkedepartementet De regionale helseforetakene Alle kommunene Alle fylkeskommunene Deres ref Vår ref Dato 200605006-/EMK 09.01.2007 Forholdet mellom lovbestemt

Detaljer

Ny lov nye muligheter for deling av pasientopplysninger

Ny lov nye muligheter for deling av pasientopplysninger Ny lov nye muligheter for deling av pasientopplysninger - regelverksendringene - felles journal i Helse Nord 17.09.15 - STYRK Årskonferanse 2015 Juridisk rådgiver Heidi Talsethagen, FIKS Fra én journal

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Firma:. behandlingsansvarlig og

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01088 Dato for kontroll: 07.11.2013 Rapportdato: 26.03.2014 Endelig kontrollrapport Kontrollobjekt: Alta sykestue Sted: Alta helsesenter Utarbeidet av: Camilla Nervik Grete Alhaug Marius

Detaljer

Hvordan få tilgang til journalopplysning fra andre virksomheter

Hvordan få tilgang til journalopplysning fra andre virksomheter Hvordan få tilgang til journalopplysning fra andre virksomheter Avdelingssjef, KITH Tema Løsninger for utlevering og tilgang til helseopplysninger Utlevering ved hjelp av web-publisering Samhandlingsarkitektur

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 10/01153-3 Dato for kontroll: 05.10.2010 Rapportdato: 18.01.2012 Endelig kontrollrapport Kontrollobjekt: Stiftelsen SUSS-telefonen Sted: Gøteborggata 23, Oslo Utarbeidet av: Henok Tesfazghi

Detaljer

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom Elkotek Sikkerhet AS (databehandler) Og ---------------------------------------------------

Detaljer

Veileder i. Personvern og informasjonssikkerhet -medisinsk utstyr

Veileder i. Personvern og informasjonssikkerhet -medisinsk utstyr Veileder i Personvern og informasjonssikkerhet -medisinsk utstyr Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.0 www.normen.no INNHOLD 1 INNLEDNING...

Detaljer

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning.

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning. Policydokument nr. 3/2011 Etablering og bruk av helseregistre Legeforeningen arbeider for å bedre kvaliteten i helsetjenesten og for en helsetjeneste som er mest mulig lik for alle. Bruk av valide og kvalitetssikrede

Detaljer

Personvern og informasjonssikkerhet i forskningsprosjekter innenfor helse- og omsorgssektoren

Personvern og informasjonssikkerhet i forskningsprosjekter innenfor helse- og omsorgssektoren Personvern og informasjonssikkerhet i forskningsprosjekter innenfor helse- og omsorgssektoren Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.2 www.normen.no

Detaljer

Studenters tilgang til elektronisk pasientjournal

Studenters tilgang til elektronisk pasientjournal Studenters tilgang til elektronisk pasientjournal Helge Grimnes Personvernrådgiver Kompetansesenter for personvern og sikkerhet Konsern IT Oslo universitetssykehus HF Helsepersonell, som ikke deltar i

Detaljer

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18. Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.september 2012 Om Datatilsynet Et forvaltningsorgan med stor grad av faglig uavhengighet

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

AVTALEEKSEMPEL FOR GRUPPEPRAKSIS Avtaleparter Databehandlingsansvarlig

AVTALEEKSEMPEL FOR GRUPPEPRAKSIS Avtaleparter Databehandlingsansvarlig Virksomhet Lege 1 Lege 2 Lege 3 Lege 4 AVTALEEKSEMPEL FOR GRUPPEPRAKSIS Avtaleparter Organisasjonsnummer xxx xxx xxx xxx Databehandlingsansvarlig Meldingsnummer fra Datatilsynet 1 (Det skal kun sendes

Detaljer

Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig kontrollrapport

Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig kontrollrapport Oppegård Kommune Postboks 510 1411 KOLBOTN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/137-11 13/01092-10/MEP 21. mai 2014 Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig

Detaljer

oppgaver og kompetanse

oppgaver og kompetanse Personvernombudet Personvernombudet oppgaver og kompetanse TEMA Personvernombudsordningen Råd og veiledning for ledelse og den enkelte, Grunnlag for oppslag i journal Utlevering Data til NPR Kreftregisteret

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26 Datatilsynet Postboks 8177 Dep 0034 OSLO Deres ref.: Vår ref.: 12/5062-3 Saksbehandler: Elisabeth Sagedal Dato: 18.12.2012 Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven

Detaljer

IKT-reglement for NMBU

IKT-reglement for NMBU IKT-reglement for NMBU Vedtatt av Fellesstyret for NVH og UMB 23.05.2013 IKT-reglement for NMBU 1 Innhold 1 Virkeområde for NMBUs IKT-reglement... 3 1.1 Virkeområde... 3 1.2 Informasjon og krav til kunnskap

Detaljer

Lovlig journalbruk Oppslag i og bruk av pasientjournalen

Lovlig journalbruk Oppslag i og bruk av pasientjournalen Lovlig journalbruk Oppslag i og bruk av pasientjournalen Stab fag og pasientsikkerhet Seksjon for personvern og informasjonssikkerhet OPPSLAG I OG BRUK AV PASIENTJOURNALEN Journalen er et viktig verktøy

Detaljer

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres.

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres. Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 200902492-/STL 11/00288-2 /MOF 5. april 2011 Kommentarer til forprosjektrapport om nasjonal

Detaljer

Internkontroll ved behandling av helseopplysninger i Sykehusapotek Nord HF. Internrevisjonsrapport nr.: 02/2010

Internkontroll ved behandling av helseopplysninger i Sykehusapotek Nord HF. Internrevisjonsrapport nr.: 02/2010 Internkontroll ved behandling av helseopplysninger i Sykehusapotek Nord HF Internrevisjonsrapport nr.: 02/2010 Dato: 17.09.2010 INNHOLDSFORTEGNELSE 1 SAMMENDRAG... 3 2 INNLEDNING... 4 2.1 Definisjoner...

Detaljer

1.6 Sentrale lover og forskrifter

1.6 Sentrale lover og forskrifter 1.6 Sentrale lover og forskrifter Innledning For Midt-Telemarkkommunenes informasjonssikkerhet gjelder en rekke lover og bestemmelser som blant annet tar sikte på å hindre at noen uten lovlig hjemmel får

Detaljer

Oversiktstabell for faktaark, veiledere og kurs til Normen

Oversiktstabell for faktaark, veiledere og kurs til Normen på hnett Utgitt med støtte av: Norm for informasjonssikkerhet Oversiktstabell for faktaark, veiledere og kurs til Normen Støttedokument Versjon: 4.0 Dato: 19.12.2013 Det er utviklet en rekke faktaark og

Detaljer