Haraldsplass. Svar på varsel om vedtak - Uautorisert uthenting av helseopplysninger gjennom leverandørenes fjerntilgang.
|
|
- Inga Kleppe
- 8 år siden
- Visninger:
Transkript
1 Haraldsplass DIAKONALE SYKEHUS Bergen Diakon isse k j em Datatilsynet Postboks 8177 Dep 0034 Oslo Deres ref: 12/ /HVE Vår ref: Bergen, Svar på varsel om vedtak - Uautorisert uthenting av helseopplysninger gjennom leverandørenes fjerntilgang. Viser til Deres varsel om vedtak datert Bakgrunn for saken: HDS har en MR maskin av fabrikat GE Healthcare Systems (GEHCS). Sykehuset har ikke egen kompetanse til å vedlikeholde denne type teknologi og har av den grunn inngått en vedlikeholdsavtale med GEHCS. For å kunne opprettholde avtalt oppetid har det vært etablert en Site - to - Site VPN-forbindelse mellom GEHCS globale supportorgansiasjon og vår MR. Denne oppkoblingen er designet og administrert av Helse Vest IKT og ble opprettet Avtalen med GEHCS om fjemdiagnostikk er basert på at kun tekniske data skal overføres til deres servere for analyseformål. Imidlertid viser det seg at GEHCS ved en feil har lastet ned 368 personnummer med tilhørende informasjon om pasientvekt. Beskrivelse av hendelsesforløp: HDS mottok den skriftlig melding fra GE Healthcare om at pasientrelatert informasjon ved en feiltakelse var lagret ned på selskapets servere. HDS meldte hendelsen til Datatilsynet den HDS ba den Helse Vest IKT om å stenge ned den aktuelle forbindelsen. Dette ble utført samme dag. HDS tok kontakt med GE den og ba om å få kopi av filene, for å kunne vurdere skadeomfang og hvilken type informasjon som var lastet ned. HDS mottok kryptert datafil den Denne filen ble åpnet den Denne viser en liste over 368 personnummer, samt at pasientenes vekt er registret for disse personene. Disse personopplysningene har vært overført fra vår MR til GEHCS i tidsrommet 2. januar 2010 til november Noen annen pasientrelatert informasjon skal ikke være eksportert fra vår MR.
2 Saksgangen har vært håndtert i linjen på HDS i tett samarbeid med Helse Vest IKT og Helse Vest RHF. Som vedlegg følger svarbrev fra GE Healtheare Technologies Norway AS ril Helse Vest RHF mottatt 13. april Vi gjør oppmerksom på at GE har bedt om at deres svarbrev blir unntatt offentlighet og ber om at brevet blir handtert i tråd med dette. Det siste svaret fra GEHCS bekrefter den informasjonen vi har fremskaffet underveis i saksbehandlingen. (Vedlegg 2) Beskrivelse av løsningen: Vi har mottatt følgende beskrivelse av forbindelsen mellom vårt utstyr og GEHCS av vår tjenesteleverandør Helse Vest IKT: Dette er løsninger av så høy kompleksitet at helseforetakene og Helse Vest IKT alene ikke har kompetanse og kapasitet for alt service og vedlikehold. For å sørge for en sikker og effektiv håndtering av slikt teknisk samarbeid, har Helse Vest IKT etablert løsninger for å gi tilgang for avtalte leverandører til avgrensede sett av systemer og utstyr i Helse Vest IKTs nettverk. Helse Vest IKT har etablert to ulike tekniske løsninger for slik fjerntilgang. (1) Løsning for tilgang til gitte systemer basert på eksplisitt brukerautentisering ved fjerntilgang og deretter brukerautentisering ved pålogging til våre systemer (Leverandør-VPN). (2) Løsning for tilgang til definerte MTU basert på en sikret kanal mellom leverandør og Helse Vest IKT (Site-to-site VPN). l denne saken med GE Health Services (GEHCS) er det Site-to-site VPN som er benyttet (se punkt 4 for de tekniske deta jene). GEHCS benytter løsningen «Insight» for å sørge for service- og vedlikehold på noen varianter av medisinsk-teknisk utstyr (MTU) i helseforetakene i Helse Vest. I denne sammenheng er dette MTU for CT, mammografi, MR, digital radiografi og «vascular». Hensikten med Insight er å oppnå redusert nede tid for dette kostbare utstyret ved at GE mottar diagnostisk informasjon fra utstyret og ved at GE kan koble seg til utstyret for å igangsette diagnostikk eller service. Det var en forutsetning for løsningen at Insight bare skulle gjør bruk av teknisk informasjon fra utstyret, Insight skulle ikke ha behov for tilgang til pasientinformasjon eller sensitive data. I ettertid er det lett å se at de inngåtte service- og vedlikeholdsavtalene har fokusert på hva løsningen skulle benyttes til, uten eksplisitt å omtale hva løsningen ikke skulle benyttes for. Det faktum at løsningen bare skulle benyttes for teknisk informasjon er også bekreftet av GEHCS gjennom deres notater og brev i saken. Det er implementert en rekke teknologiske hindringer rundt denne løsningen for å sikre at informasjonen som utveksles ikke kommer til andre parter enn de to samarbeidende parter. De viktigste teknologiske hindringene er brannmurer og bruk av kryptert VPN med 128-bit kryptering (for detaljer se punkt 4). All granskning i denne saken som er utført av ekstern part for GEHCS har vist at disse sikkerhetstiltakene har fungert etter hensikten, dvs. det er ingen ting som tyder på at informasjon er kjent utenfor GE. Det er MTU som er konfigurert slik at det har sendt ut data som ikke skulle sendes. DOKNR 2
3 Trafikken har altså startet på innsiden, uten at det er involvert noen bruker. Helse Vest vil, basert på denne hendelsen, utrede hvordan innholdet i slike kommunikasjonskanaler bedre kan overvåkes teknologisk. Vurdering av årsak til hendelsen: Vårt standpunkt er at avtalen mellom HDS og GEHCS fra begge parters side har hatt som intensjon at pasientrelatert informasjon ikke skulle eksporteres fra våre system. Den aktuelle hendelsen anser vi som et brudd fra GE sin side på denne avtalen. Oppfølging overfor pasienter: Vår oppfatning er at den informasjon som er lagret hos GEHCS i seg selv ikke representerer noen betydelig risiko. Rekommandert skriftlig informasjon vil i seg selv gi mottakere et inntrykk av at de som enkeltperson er påført betydelig skade. Selv om kun en liten andel av de som mottar informasjon skulle reagere med betydelig engstelse, er det tvilsomt om denne påførte belastning står i et rimelig forhold til den begrensede skade den enkelte er påført og mottakernes behov for denne informasjon for å kunne ivareta egne interesser. For å sikre at kun relevante mottagere som fortsatt lever blir mottagere må det gjennomføres uttak og omfattende behandling av de data som er lagret hos GE, noe som i seg selv er personvernmessig betenkelig. Det er tvilsomt om denne risiko står i et rimelig forhold til den begrensede skade den enkelte er påført mottakernes behov for denne informasjon for å kunne ivareta egne interesser. HDS avventer aksjoner i forbindelse med informasjon til pasienter inntil vi mottar Datatilsynets vedtak. Teknisk beskrivelse av løsningen: Vi har mottatt følgende beskrivelse av den tekniske oppkoblingen fra Helse Vest IKT: Figuren i vedlegg 1 viser den tekniske innretningen av site-to-site VPN benyttet overfor GEHCS. Figuren viser brannmur og VNP konsentrator hos Helse Vest IKT og default innstillingene for trafikk gjennom disse. Trafikk fra Helse Vest til GEHCS er satt åpen fra Helse Vest til GEHCS for å kunne understøtte den kontinuerlige diagnostiske trafikken av teknisk informasjon fra MTU til GE. Krypteringen er 128, bits.
4 For det utstyr som er i bruk i denne situasjonen, har utstyret behov for å snakke med utstyr i den andre enden, derfor blir en slik Site-to-site VPN tunell definert som at den er åpen. Det er her viktig å understreke at trafikk ut gjennom denne kanalen og med de sikkerhetsløsningene som er benyttet, er avgrenset til GEHCS sitt overvåkningssystem. Utgå ende trafikk kan ikke sendes til andre parter, og informasjonen kan heller ikke dekrypteres av andre parter. Internt i Helse Vest sitt nettverk er kanalen rettet og dermed avgrenset til det MTU som kanalen er satt opp for å understøtte. Dette er således ikke en åpen kanal inn i Helse Vest sitt nettverk, men en avgrenset kanal til definert utstyr. I lys av at dette er en kanal for direkte samhandling mellom systemer, MTU og GEHS sitt overvåkningssystem, er det ikke brukerautentisering i denne VPN løsningen. Som nevnt under punkt 1, er det eksplisitt brukerautentisering ved fjernpålogging til leverandør-vpn. På tidspunktet for denne hendelsen var det ikke gjort en egen risiko- og sårbarhetsvurdering av denne tekniske løsningen. Det er like fult vårt syn at det ikke er mangler eller svakheter i den tekniske løsningen for fjerntilgang som har ledet til at GEHCS urettmessig hentet ut personsensitiv informasjon og valgte å lagre denne informasjonen hos seg. Tiltak for å bedre sikkerheten i fremtiden: HDS har som nevnt over allerede koblet ned forbindelsen til GEHCS for å forhindre videre ureglementert nedlasting av personrelatert informasjon fra vårt utstyr. Dette er å betrakte som et strakstiltak, og vi har til intensjon å igjen etablere en forbindelse. Denne tjenesten er av avgjørende betydning for å sikre tilgjengelighet på kritisk medisinsk utstyr. En permanent frakobling vil få kvalitative konsekvenser for HDS. Alternativt vil vi få en redusert pålitelighet på vårt medisinske utstyr, noe vi ikke kan leve med over tid. Vi ser i ettertid at det er nødvendig å etablere klarere avtaler mellom brukermiljøet og utstyrsleverandør når det gjelder anvendelse av teknologien knyttet til fjerndiagnostikk på MTU. Dette innebærer klare prosedyrer for rapportering av aktivitet, og rapportering av hvilket innhold som er hentet fra vårt utstyrt. I tillegg vil det være nødvendig å utdype avtaleverket i forbindelse med anskaffelse av nytt medisinsk teknisk utstyr, slik at kravene til informasjonssikkerhet blir mer i samsvar med praksis for øvrige IKT-løsninger. DOKNR 4
5 Dette arbeidet vil bli koordinert på regionalt nivå. Med vennlig hilsen Radina Trengereid Adm. direktør Haraldsplass Diakonale Sykehus AS Vedlegg 1: Systemskisse VPN MTU Helse Vest IKT Vedlegg 2: Brev til Helse Vest fra GE, datert Vedlegg 3: Oversikt over utstyr ved HDS som er koblet opp mot GEHCS DOKNR 5
Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012
Stavanger Universitetssjukehus Helse Stavanger HF Fag- og foretaksutvikling Datatilsynet v/ Helge Veum Postboks 8177 Dep 0034 OSLO Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE
DetaljerDeres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014
Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til
DetaljerDeres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014
Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets
DetaljerDeres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014
Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll
DetaljerMEDISINSK UTSTYR OG DIGITALE SÅRBARHETER
MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER Bergen, september 2017 ved HelseCERT HELSECERT ER HELSE- OG OMSORGSSEKTORENS NASJONALE SENTER FOR INFORMASJONSSIKKERHET HELSECERTS OPPGAVE ER Å ØKE SEKTORENS EVNE
DetaljerVedr. informasjonssikkerheten i ISY ProAktiv og Norconsults håndtering av saken
Norconsult Informasjonssystemer AS v/direktør Ola Greiff Johnsen Deres ref.: Vår ref.: 18/447-3/JS Dato: 19.09.2018 Vedr. informasjonssikkerheten i ISY ProAktiv og Norconsults håndtering av saken Viser
DetaljerSAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET
Sykehuset Innlandet HF Styremøte 29.08.18 SAK NR 061 2018 INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET Forslag til VEDTAK: Styret
DetaljerDeres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON
Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle
DetaljerDelavtale mellom Sørlandets sykehus HF og Lund kommune
Delavtale mellom Sørlandets sykehus HF og Lund kommune Delavtale nr. 9 Samarbeid om IKT-løsninger lokalt Enighet om hvilke plikter og ansvar som partene er ansvarlig for, knyttet til innføring og forvaltning
DetaljerStyresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon
Møtedato: 14. desember 2016 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen, 75 51 29 00 Bodø, 2.12.2016 Styresak 157-2016/4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2015
DetaljerHøringssvar - Forslag til ny pasientjournallov og ny helseregisterlov
Vår dato Vår referanse 15.10.2013 13/00959-2 Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Deres dato: Deres referanse 13/2992 Saksbehandler: Caroline Ringstad Schultz Høringssvar - Forslag
DetaljerRevisjonsplan Konsernrevisjonen Helse Sør-Øst
Revisjonsplan 2016-2017 Konsernrevisjonen Helse Sør-Øst Behandles av styret i Helse Sør-Øst RHF 21.4.2016 Innholdsfortegnelse 1. Innledning... 2 2. Revisjonsområder 2016-2017... 3 3. Utdypning av revisjonsområdene
DetaljerSIKKERHETSINSTRUKS - Informasjonssikkerhet
SIKKERHETSINSTRUKS - Informasjonssikkerhet Sikkerhetsinstruksen er fastsatt av fylkesdirektøren 23.08.2017, og erstatter «Reglement for bruk av fylkeskommunens IT-løsninger» fra 2014. Instruksen er en
DetaljerTillegg til tildelingsbrev nr 4 - Informasjonssikkerhet ved bruk av private leverandører
v4-29.07.2015 Adresseinformasjon fylles inn ved ekspedering. Se mottakerliste nedenfor. Adresseinformasjon fylles inn ved ekspedering. Se mottakerliste nedenfor. Deres ref.: 17/1131 Vår ref.: 16/1114-19
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerPersonvernerklæring om behandling av personopplysninger Felleskatalogen AS
Personvernerklæring om behandling av personopplysninger Felleskatalogen AS Innledning Denne personvernerklæringen beskriver hvordan Felleskatalogen AS behandler personopplysninger. Erklæringen beskriver
DetaljerAvtale om leveranse av IKT-tjenester. Del II - Databehandleravtale
Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:
DetaljerDatabehandleravtale digitale arkiv og uttrekk for deponering
/X,4 finnmark IXS - J.Ki2tfinmarkun IXS - I3C finnmcirku IXS Deanu gielda - Tana kommune Rådhusveien 24 9845 TANA Vår ref Deres ref Saksbehandler Dato 2017/247-2 Gunnhild Engstad 07.12.2017 direkte tlf.:92671905
DetaljerLaget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016
Laget av Dato Orginal plassering fil. Johnny ndre Sunnarvik Nov 2015 http://innsiden.helse-vestikt.no/avdelinger/tjenesteproduksjon/anbudskrav/documents/sikkerhet.docx Dato Nov 2015 Des 2015 Nov 2016 Beskrivelse
DetaljerSamarbeidsavtale om IKT-løsninger lokalt
Delavtale nr. 9 Samarbeidsavtale om IKT-løsninger lokalt Samarbeidsavtale mellom Helse Stavanger HF og kommunene i helseforetaksområdet Side 1 av 5 Innhold 1. Parter... 3 2. Bakgrunn... 3 3. Formål...
DetaljerVirksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.
CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.
DetaljerIKT-infrastrukturmodernisering i Helse Sør-Øst Styresak september 2016 Cathrine M. Lofthus
IKT-infrastrukturmodernisering i Helse Sør-Øst Styresak 069-2016 8. september 2016 Cathrine M. Lofthus IKT-infrastruktur - dagens situasjon Helse Sør-Øst har en aldrende og komplisert IKT-infrastruktur
DetaljerDet må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning.
Policydokument nr. 3/2011 Etablering og bruk av helseregistre Legeforeningen arbeider for å bedre kvaliteten i helsetjenesten og for en helsetjeneste som er mest mulig lik for alle. Bruk av valide og kvalitetssikrede
DetaljerPersonidentfiserbart pasientregister Øyvind Christensen /
Personidentfiserbart pasientregister Øyvind Christensen oyc@shdir.no 24 16 35 46 / 922 99 322 Innhold Bakgrunn for et personidentifisert NPR Personvern, sikkerhet og nye rapporteringsrutiner Videreutvikling
DetaljerHøringssvar: Forslag til forskrift om Norsk helsearkiv og Helsearkivregisteret
c Helse- og omsorgsdepartementet Postboks 8011 Dep. 0030 Oslo Vår ref.: 2014/4 Deres ref.: 13/443 Dato: 25.03.2014 Høringssvar: Forslag til forskrift om Norsk helsearkiv og Helsearkivregisteret Bioteknologinemnda
DetaljerDeres ref Vår ref Dato
Ifølge liste Deres ref Vår ref Dato 16/1651-13.06.2016 Endringer i pasient- og brukerrettighetsloven - krav til informasjon til nyhenviste pasienter Departementet ønsker med dette brevet å informere om
DetaljerSamarbeid om IKT-løysingar lokalt
Delavtale mellom XX kommune og Helse Førde HF Samarbeid om IKT-løysingar lokalt Avtale om samarbeid om IKT-løysingar lokalt 1. Partar Avtalen er inngått mellom XX kommune og Helse Førde HF. 2. Bakgrunn
DetaljerVedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)
Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold
DetaljerLeverandørtilganger. Pål-Øivind Kjeserud Enhetsleder Sykehuspartner 24.01.2014. Sykehuspartner
Leverandørtilganger Pål-Øivind Kjeserud Enhetsleder Sykehuspartner 24.01.2014 Sykehuspartner Agenda Hvem og hva er Sykehuspartner Leverandørtilgang Leverandørtilgang i praksis Hvem og hva er Sykehuspartner?
DetaljerDigitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.
Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.april 2015 Innhold 1. INNLEDNING... 3 2. GJENNOMFØRING... 4 3. SATSINGSOMRÅDER...
DetaljerKDRS digitalt depot Spesifikasjon av tjenesten
KDRS digitalt depot Spesifikasjon av tjenesten Versjoner: 20110830 Versjon 1.0 Første versjon publisert Tor Eivind Johansen 20170823 Versjon 1.1 Oppdatert versjon Tor Eivind Johansen 20180619 Versjon 1.2
DetaljerPersonvern og informasjonssikkerhet
Det frivillige Skyttervesen Personvern og informasjonssikkerhet Personvernerklæring Veiledning for skytterlag og samlag Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1
DetaljerMed forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.
Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for
DetaljerVEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE
VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler
DetaljerReglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)
Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde
DetaljerBilag 7. Helse Midt-Norge RHF. Strategiske hovedmål HMN
Bilag 7 Helse Midt-Norge RHF Strategiske hovedmål HMN Innhold 1 Strategiske hovedmål... 3 1.1 Standardisering... 3 1.2 Informasjonsdeling gjennom hele pasientforløp... 4 1.3 Journalsystemer i strukturert
DetaljerRealisering av Handlingsplan for medisinske bilder i Helse Midt-Norge. HelsIT Trondheim - 22.09.2009 Bjørn Våga, Prosjektleder Hemit
Realisering av Handlingsplan for medisinske bilder i Helse Midt-Norge HelsIT Trondheim - 22.09.2009 Bjørn Våga, Prosjektleder Hemit Hemit betjener 20.000 av Norges mest krevende IT-brukere 24 timer i døgnet
DetaljerStyresak. Styresak 031/04 B Styremøte
Styresak Går til: Styremedlemmer Selskap: Helse Vest RHF Dato skrevet: 17.03.2004 Saksbehandler: Vedrørende: Åsmund Norheim Nasjonal Styresak 031/04 B Styremøte 26.03.2004 Administrerende direktørs anbefalinger/konklusjon
DetaljerDatabehandleravtaler
Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7
DetaljerPERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om
PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS Sist endret: 20.07.2018 Denne personvernerklæringen gjelder for Larsen Advokatfirma AS («vi»). Vi er behandlingsansvarlige for behandlingen av personopplysninger
DetaljerAvviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Avviksbehandling Støttedokument Faktaark nr 8 Versjon: 5.1 Dato: 11.12.2018 Formål Formålet med avviksbehandling er å: Håndtere sikkerhetsbrudd
DetaljerAvvisning av klage på offentlig anskaffelse
Klagenemnda for offentlige anskaffelser Slipen Mekaniske AS Kirkeveien 1 8805 SANDNESSJØEN Deres referanse Vår referanse Dato: 2012/0200-10 13.06.2014 Avvisning av klage på offentlig anskaffelse Det vises
DetaljerStol på deg selv!! KOFA har ikke alltid rett. Av advokat Esther Lindalen R. Garder (esther@gille.no)
Stol på deg selv!! KOFA har ikke alltid rett Av advokat Esther Lindalen R. Garder (esther@gille.no) Jeg gir i økende grad råd til klienter i saker der KOFA har kommet med uttalelser partene er sterkt uenige
DetaljerTjenesteavtale nr. 9. mellom. Berlevåg kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt
Tjenesteavtale nr. 9 mellom Berlevåg kommune og Helse Finnmark HF Om Samarbeid om IKT-løsninger lokalt Parter Denne avtalen er inngått mellom Berlevåg kommune og Helse Finnmark HF Bakgrunn Denne tjenesteavtalen
DetaljerNy lov nye muligheter for deling av pasientopplysninger
Ny lov nye muligheter for deling av pasientopplysninger - regelverksendringene - felles journal i Helse Nord 17.09.15 - STYRK Årskonferanse 2015 Juridisk rådgiver Heidi Talsethagen, FIKS Fra én journal
DetaljerDen mobile arbeidshverdagen
Den mobile arbeidshverdagen - Sikkerhetsutfordringer og løsninger Siv Hilde Houmb & Øystein Hermansen Kort om Secure-NOK AS Inkubatorbedrift ipark Stavanger Sikkerhetsspesialister Fokusområder Strategisk
DetaljerPersonvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen
Det frivillige Skyttervesen Del 1 Personvernerklæring Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1 av
DetaljerSaksframlegg. Saksgang: Styret Sykehuspartner HF 5. februar 2019 SAK NR DRIFTSORIENTERINGER FRA ADMINISTRERENDE DIREKTØR. Forslag til vedtak
Saksframlegg Saksgang: Styre Møtedato Styret Sykehuspartner HF 5. februar 2019 SAK NR 010-2019 DRIFTSORIENTERINGER FRA ADMINISTRERENDE DIREKTØR Forslag til vedtak Styret tar driftsorienteringer fra administrerende
DetaljerUNIVERSITETET I BERGEN Regional komité for medisinsk og helsefaglig forskningsetikk, Vest-Norge (REK Vest)
UNIVERSITETET I BERGEN Regional komité for medisinsk og helsefaglig forskningsetikk, Vest-Norge (REK Vest) Randi Rolvsjord randi.rolvsjord@grieg.uib.no Griegakademiet - Institutt for musikk Universitetet
DetaljerRisikogrupper og personvernhensyn hvor viktig er personvern når det gjelder sikkerhet, liv og helse?
Risikogrupper og personvernhensyn hvor viktig er personvern når det gjelder sikkerhet, liv og helse? Foredrag på Brannvernkonferansen 7. mai 2012 Bjørn Erik Thon direktør Datatilsynet 15.06.2012 Side 1
DetaljerKlage på vedtak om pålegg - informasjonsplikt i medhold av helseforskningsloven
Datatilsynet Postboks 8177 Dep 0034 OSLO Deres ref.: 12/01084-21/EOL Vår ref.: 2012/4266-6 Saksbehandler/dir.tlf.: Trude Johannessen, 77 62 76 69 Dato: 09.04.2013 Klage på vedtak om pålegg - informasjonsplikt
DetaljerEtterlevelse av personvernforordningen (GDPR) sett opp mot ISO hva er nytt/viktig? Anders Bergman Greenfinger AB
Etterlevelse av personvernforordningen (GDPR) sett opp mot ISO 15189 hva er nytt/viktig? Anders Bergman Greenfinger AB Lov om behandling av personopplysninger (personopplysningsloven) LOV-2018-06-15-38
DetaljerKundens kravspesifikasjon ERP-løsning for kommunene i DDV-samarbeidet
Bilag 1 til vedlikeholdsavtalen Kundens kravspesifikasjon ERP-løsning for kommunene i DDV-samarbeidet Side 2 av 14 Innhold 1 KRAV TIL VEDLIKEHOLDSAVTALE... 3 1.1 KRAV TIL BRUKERSTØTTE OG OPPFØLGING.3 1.2
DetaljerSaksframlegg. Saksgang: Styret Sykehuspartner HF 6. desember 2017 SAK NR MÅL 2018 PROSESS OG STATUS. Forslag til vedtak:
Saksframlegg Saksgang: Styre Møtedato Styret Sykehuspartner HF 6. desember 2017 SAK NR 079-2017 MÅL 2018 PROSESS OG STATUS Forslag til vedtak: Styret tar saken til orientering. Skøyen, 29. november 2017
DetaljerStatped har ca. 700 ansatte, fordelt på fire regioner med til sammen femten kontorsteder. For mer informasjon, se statped.no.
Leverandørdialog for å anskaffe et system for å lagre og håndtere digitale mediefiler Grunnlag for dialog med leverandører frem mot å utarbeide et konkurransegrunnlag Om Statped Statped er en statlig spesialpedagogisk
DetaljerHELSE MIDT-NORGE RHF STYRET
HELSE MIDT-NORGE RHF STYRET Sak 24/14 Orienteringssaker Vedlegg Strategi 2020 Operasjonalisering gjennom programmer Saksbehandler Ansvarlig direktør Mette Nilstad Saksmappe 2014/12 Ingerid Gunnerød Dato
DetaljerBehandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned
Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse
DetaljerAvtale mellom xx kommune og Vestre Viken HF om IKT løsninger
Avtale mellom xx kommune og Vestre Viken HF om IKT løsninger 1 Partene... 3 2 Formål... 3 3 Avtalens virkeområde... 3 4 Lovgrunnlag... 3 5 Sentrale plikter, oppgaver og ansvar i henhold til lov... 3 6
DetaljerOslo universitetssykehus HF
Oslo universitetssykehus HF Styresak Dato dok.: 29. september 2009 Dato møte: 8. oktober 2009 Saksbehandler: Prosjektdirektør IKT Vedlegg: Status og risikorapportering IKT SAK 138/2009 STATUS IKT I OSLO
DetaljerDelavtale om samarbeid om IKT - løsninger lokalt.
Delavtale 4.3.7 Delavtale om samarbeid om IKT - løsninger lokalt. (Lov om helse- og omsorgstjenester 6.2- pkt 9) Sykehuset Telemark Helseforetak og kommunene i Telemark NN kommune 1 Avtaleparter Partene
DetaljerHelse- og omsorgsdepartementet Kultur- og kirkedepartementet. Deres ref Vår ref Dato 200605006-/EMK 09.01.2007
Helse- og omsorgsdepartementet Kultur- og kirkedepartementet De regionale helseforetakene Alle kommunene Alle fylkeskommunene Deres ref Vår ref Dato 200605006-/EMK 09.01.2007 Forholdet mellom lovbestemt
DetaljerIKT i hverdagen. Jon Haakon Malmer-Høvik Avd. sjef, radiolog, Bildediagnostikk VV-HF
IKT i hverdagen Jon Haakon Malmer-Høvik Avd. sjef, radiolog, Bildediagnostikk VV-HF Bruker Carestream i dag Valgt som regional RIS/PACS-leverandør i HSØ vinteren 2013 Carestream valgt som RIS/PACS leverandør
DetaljerHvordan kan personvernet ivaretas i helsesektoren?
Hvordan kan personvernet ivaretas i helsesektoren? Bjørn Erik Thon direktør 06.10.2011 Side 1 Hva er personvern? - Noen viktige ord personverntanken. - Samtykke - Informasjon og innsyn - Selvbestemmelse/autonomi
DetaljerUtfordringer med medisinsk-teknisk utstyr og informasjonssikkerhet. Barbro Salte, Medisinsk teknologi og e-helse, Akershus Universitetssykehus HF
Utfordringer med medisinsk-teknisk utstyr og informasjonssikkerhet Barbro Salte, Medisinsk teknologi og e-helse, Akershus Universitetssykehus HF Innledning Definisjoner MTU på Ahus Informasjonssikkerhet
DetaljerNy lovgivning nye muligheter. Normkonferansen 2014 Rica Holmenkollen Park Hotell, Oslo, 14. oktober 2014 Erik M. Hansen, adm. dir.
Ny lovgivning nye muligheter Normkonferansen 2014 Rica Holmenkollen Park Hotell, Oslo, 14. oktober 2014 Erik M. Hansen, adm. dir. Helse Vest IKT AS Pasientjournalloven 9 Samarbeid mellom virksomheter
DetaljerTilsynssak - Helse Vest RHF - Curato Røntgen AS om kjøp av radiologitjenester med henvisning fra helseforetak
Fylkesmannen i Rogaland Postboks 59 4001 STAVANGER Deres ref: Vår ref: 2012/409-5011/2014 Saksbehandler: Elisabeth Meland 51963819 Dato: 25.09.2014 Tilsynssak - Helse Vest RHF - Curato Røntgen AS om kjøp
DetaljerArkiv skal ikkje førast ut or landet
Arkiv skal ikkje førast ut or landet Advokat Siv Owing Maanum Copyright 2015 Foyen Torkildsen All Right Reserved 1 Arkivloven 9 b) «Utan i samsvar med føresegner gjevne i medhald av 12 i denne lova eller
DetaljerArbeid og erfaringer med konkurranseutsetting av IKT-infrastruktur i Helse Sør-Øst RHF. Hans Martin Aase
Arbeid og erfaringer med konkurranseutsetting av IKT-infrastruktur i Helse Sør-Øst RHF Hans Martin Aase Innspill fra Fagforbundet Hewlett Packard Enterprice og Computer Science Corporation (nå DXC) har
Detaljer*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.
Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier
DetaljerHøring av endringer i pasientskadeloven og enkelte andre lover og foprskrifter - omorganisering i sentral helseforvaltning
HELSE 0 VEST i'!\/iut T,,r».j'f } l 3 L';; 5*! '20:? I Helse- og omsorgsdepartementet ~53 Postboks 8011 Dep D58; ;k_.m,,;m_,. f 00300510 r ~ Deres ref: Vår ref: Saksbehandler: Dato: 2015/1957-11729/2015
DetaljerHandlingsplan biobank og kvalitetsregistre 2013-2015
Handlingsplan biobank og 2013-2015 Oppfølging av Strategi for biobank- og registervirksomhet 2010 2015, revidert 2012. Innhold Visjon for Strategi for Biobank- og registervirksomhet...3 Konseptuelt rammeverk
DetaljerHøring EPJ Standard del 2: Tilgangsstyring, redigering, retting og sletting
v3.1-16.05.2014 Etter liste Deres ref.: Vår ref.: 13/2601-24 Saksbehandler: Torbjørn Nystadnes Dato: 13.03.2015 Høring EPJ Standard del 2: Tilgangsstyring, redigering, retting og sletting Helsedirektoratet
DetaljerHelgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet
Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Nr Sjekkpunkt Faktaark /ikke ok Beskrivelse 7 Ikke ok Er gjennomført en rekke ROS-analyser vedr. FIKS. Det mangler i vesentlig
DetaljerLogo xx kommune. Delavtale j) mellom Xx kommune og Sykehuset i Vestfold HF (SiV HF)
Logo xx kommune Delavtale j) mellom Xx kommune og Sykehuset i Vestfold HF (SiV HF) Samarbeid om IKT - løsninger lokalt (elektronisk kommunikasjon av pasientinformasjon) Revidert juli 2015 Versjon Dato
DetaljerBrukermanual. VPN tilgang til Norsk Helsenett
Brukermanual VPN tilgang til Norsk Helsenett Utgitt av Daniel Nygård Dato: 28.10.2010 Forord Dette dokumentet er en brukermanual og beskriver hvordan en får tilgang til Norsk Helsenett og Helseregister.no
DetaljerFÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE
FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE Start din reise mot å etterleve de nye personvernreglene INTRODUKSJON I mai 2018 innføres ny personvernlovgivning i Norge. Disse har vært mye omtalt, både som de
DetaljerStyret Helsetjenestens driftsorganisasjon for nødnett HF 23.oktober 2017
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helsetjenestens driftsorganisasjon for nødnett HF 23.oktober 2017 SAK NR 46-2017 ADs orientering Forslag til vedtak: 1. Styret tar saken til orientering.
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)
DetaljerOppdragsbrev 2017: HOD og Helse Nord RHF
SAK TIL STYRINGSGRUPPEN Oppdragsbrev 2017: HOD og Helse Nord RHF Saksnummer 4/2017 Avsender Senterleder Møtedato 23.03.2017 Bakgrunn for saken Nasjonalt senter for e-helseforskning (NSE), underlagt Helse
DetaljerASU Nord- Trøndelag Sak om etablering av Regionalt fagråd digital samhandling Midt-Norge
ASU Nord- Trøndelag 15.06.2017 Sak om etablering av Regionalt fagråd digital samhandling Midt-Norge Aslaug Skarsaune Svenning- Regional koordinator e-melding Midt-Norge og Tjenesteansvarlig e-melding Hemit
DetaljerStyret Helse Sør-Øst RHF 14. desember 2017
Saksframlegg Saksgang: Styre Møtedato Styret Helse Sør-Øst RHF 14. desember 2017 SAK NR 122-2017 ORIENTERINGSSAK - INFORMASJONSSIKKERHET OG PERSONVERN. NY PERSONVERNLOVGIVNING I EU/EØS (GDPR) Forslag til
DetaljerHva skjer? Status for elektronisk samhandling i Helse Vest
Hva skjer? Status for elektronisk samhandling i Helse Vest Regionale ehelse-seminarer 2008 Haugesund, 21. oktober 2008 Adm. dir. Erik M. Hansen, Helse Vest IKT AS Nøkkeltall: Etablert 01.11.2004 Aksjeselskap
DetaljerPersonvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?
Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR? Stab Fag, pasientsikkerhet og samhandling Avdeling for informasjonssikkerhet og personvern Hovedbudskap fra Datatilsynets
DetaljerDigitaliseringsstrategi for Buskerud fylkeskommune. Revidert
Digitaliseringsstrategi for Buskerud fylkeskommune Revidert 2018-2020 Buskerud fylkeskommune Stab og kvalitetsavdelingen oktober 2017 Innhold 1. INNLEDNING... 3 2. GJENNOMFØRING... 4 3. SATSINGSOMRÅDER...
DetaljerPersonvernerklæring for Flyt Høgskolen i Molde
Personvernerklæring for Flyt Høgskolen i Molde Sist endret: 24.07.2019 Innhold: 1) Kort om Flyt 2) Om denne personvernerklæringen 3) Hva er personopplysninger? 4) Formålet med og rettslig grunnlag for
DetaljerStyret Helse Sør-Øst RHF 14. mars 2013
Saksframlegg Saksgang: Styre Møtedato Styret Helse Sør-Øst RHF 14. mars 2013 SAK NR 018-2013 REGIONAL BEREDSKAPSPLAN RULLERING Forslag til vedtak: 1. Styret tar den regionale beredskapsplanen til etterretning.
DetaljerVeileder for bruk av tynne klienter
Veileder for bruk av tynne klienter Dette dokumentet er en veileder for bruk av terminaltjener/klient (tynne klienter) for å skille samtidige brukerrettigheter i åpne og sikre soner. April 2005 Postadresse:
DetaljerInformasjonssikkerhet
Informasjonssikkerhet Styremøte SSHF Sak 076-2017 Johan Krüger, Informasjonsikkerhetsleder Leif Steinar Brådland, leder Klinisk IKT 19.10.17, Kristiansand Dagens organisering Informasjonsikkerhetsleder
DetaljerADDSECURES BEHANDLING AV PERSONOPPLYSNINGER
Avtale innledning ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER For den behandlingen av personopplysninger som AddSecure utfører på vegne av kundene sine, er AddSecure databehandler for kunden. Hvis du er
DetaljerPERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )
PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR.994 236 016) (Sist endret 05.07.2018) Denne personvernerklæringen gjelder for Advokatfirmaet Even Solbraa-Bay. Jeg er behandlingsansvarlig
DetaljerIKT sikkerhetsleder Informatiker (og pragmatiker) Voksen, men fortsatt i stand til å være uansvarlig
DAGEN DA MEDISINSK UTSTYR BLE «ALLEMANNSEIE»! Hvem er vi? Kenneth E Oppedal IKT sikkerhetsleder Informatiker (og pragmatiker) Voksen, men fortsatt i stand til å være uansvarlig Svein Medås Seksjonsleder
DetaljerPERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:
PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret: 10.9.2018 Denne personvernerklæringen gjelder for Kolbotn Advokatfellesskap SA som omfatter følgende advokater: - Trude Mohn King, org.
DetaljerTil IT-ansvarlige på skolen
Til IT-ansvarlige på skolen Klargjøring av WebRTC ved deltakelse i «Fjernundervisning i norsk tegnspråk» «FU klasserom Oslo» Statped IKT, 19.09.2018 Innhold 1. Kort om WebRTC og valg av Google Chrome 3
DetaljerPERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING
PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING Frokostseminar 25. oktober 2016 V/advokat Christopher Clausen og advokatfullmektig Helene Bjørgo 1 DAGENS LOVGIVNING Personopplysningsloven Sentrale
DetaljerGDPR i praksis, sett fra en teknisk bedömmer. Anders Bergman IT-bedömmer NA og SWEDAC Greenfinger AB
GDPR i praksis, sett fra en teknisk bedömmer Anders Bergman IT-bedömmer NA og SWEDAC Greenfinger AB Lov om behandling av personopplysninger (personopplysningsloven) LOV-2018-06-15-38 Hva er viktig for
Detaljerephorte Integration Services (eis) produktbeskrivelse
ephorte Integration Services (eis) produktbeskrivelse Versjon 2 31.10.2012 Gecko Informasjonssystemer AS Robert Vabo INNHOLDSFORTEGNELSE INNHOLDSFORTEGNELSE... 2 COPYRIGHT... 3 EPHORTE INTEGRATION SERVICES...
DetaljerProsjekt IKT strategi HMN. Styremøte Helse Midt-Norge
Prosjekt IKT strategi HMN Styremøte Helse Midt-Norge 10.05.2012 2 3 Utfordringer kompleksitet 4 Det fokuseres i denne omgang på kliniske systemer Utfordringsbilde- løsning (så langt..) Pasienten som eier
Detaljer