Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Transkript

1 Vi vil ut I skyen hva gjør vi? Tilgangsstyring Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

2 Hva er tilgangsstyring? tilgangsstyring. Regler for å styre hvem som skal ha tilgang til hvilke opplysninger eller systemer. Synonym: tilgangskontroll Kilde: Datatilsynet (

3 Hva er tilgangsstyring? tilgangsstyring. Regler for å styre hvem som skal ha tilgang til hvilke opplysninger eller systemer. Synonym: tilgangskontroll

4 Hva er tilgangsstyring? tilgangsstyring. Regler for å styre hvem som skal ha tilgang til hvilke opplysninger eller systemer. Synonym: tilgangskontroll MEN..

5 Kilde Helsedirektoratets «Behov og kravspesifikasjon»

6 Kilde Helsedirektoratets «Behov og kravspesifikasjon»

7 Kilde Helsedirektoratets «Behov og kravspesifikasjon»

8 Sky-leverandøren Kilde Helsedirektoratets «Behov og kravspesifikasjon»

9 Sky-leverandøren Kilde Helsedirektoratets «Behov og kravspesifikasjon»

10 Brukerstøtte/ support Sky-leverandøren Kilde Helsedirektoratets «Behov og kravspesifikasjon»

11 Brukerstøtte/ support Sky-leverandøren Kilde Helsedirektoratets «Behov og kravspesifikasjon»

12 Brukerstøtte/ support Sky-leverandøren Brukerstøtte/ support Kilde Helsedirektoratets «Behov og kravspesifikasjon»

13 Brukerstøtte/ support Sky-leverandøren Krav i regelverket Jurisdiksjon Brukerstøtte/ Sikkerhetsvurdering support Revisjon Tredjeparter Kilde Helsedirektoratets «Behov og kravspesifikasjon»

14 Kilde Helsedirektoratets «Behov og kravspesifikasjon» Krav i regelverket Jurisdiksjon Sikkerhetsvurdering Revisjon Tredjeparter

15 Gebyr til ni helseforetak i Helse Sør-Øst «Manglende sikkerhetsledelse og manglende rutiner for å sikre kontroll anses å være i strid med kravene i pasientjournalloven 22 jf. 5, personopplysningsloven og personopplysningsforskriften 2-3 og 2-15 Manglende etterlevelse av plikten til å gjennomføre risikovurderinger ved endringer som har betydning for informasjonssikkerheten er i strid med kravet til personopplysninsgsforskriften 2-4 jf. 2-1 og pasientjournalloven 22». «.den databehandlingsansvarlige plikter også å ha kunnskap om sikkerhetsstatusen hos leverandøren og jevnlig forsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet. Den databehandlingsansvarlige er derfor på lagt å gjennomføre jevnlige revisjoner med databehandler jf 2-5.». «Helseforetakene ble bedt om å redegjøre for: 3. Gi en oversikt over hvilke eksterne leverandører som har tilgang til sykehusene informasjonssystem, hvilke land leverandørene har tilgang fra, hvilke typer tilganger de har, til hvilke systemer, til hvilke personopplysninger (omfang, sensitivitet), samt formålet med tilgangene» «6.2.2.Opplysninger fremkommet i saken I tillegg ser vi at flere av sykehusene også har driftsoperatører fra 3. land utenfor EU. Dette er land som bl.a. USA og India»

16 Kilde Helsedirektoratets «Behov og kravspesifikasjon» Krav i regelverket Jurisdiksjon Sikkerhetsvurdering Revisjon Tredjeparter

17 Gebyr til ni helseforetak i Helse Sør-Øst «Manglende sikkerhetsledelse og manglende rutiner for å sikre kontroll anses å være i strid med kravene i pasientjournalloven 22 jf. 5, personopplysningsloven og personopplysningsforskriften 2-3 og 2-15 Manglende etterlevelse av plikten til å gjennomføre risikovurderinger ved endringer som har betydning for informasjonssikkerheten er i strid med kravet til personopplysninsgsforskriften 2-4 jf. 2-1 og pasientjournalloven 22». «.den databehandlingsansvarlige plikter også å ha kunnskap om sikkerhetsstatusen hos leverandøren og jevnlig forsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet. Den databehandlingsansvarlige er derfor på lagt å gjennomføre jevnlige revisjoner med databehandler jf 2-5.». «Helseforetakene ble bedt om å redegjøre for: 3. Gi en oversikt over hvilke eksterne leverandører som har tilgang til sykehusene informasjonssystem, hvilke land leverandørene har tilgang fra, hvilke typer tilganger de har, til hvilke systemer, til hvilke personopplysninger (omfang, sensitivitet), samt formålet med tilgangene» «6.2.2.Opplysninger fremkommet i saken I tillegg ser vi at flere av sykehusene også har driftsoperatører fra 3. land utenfor EU. Dette er land som bl.a. USA og India»

18 Kilde Helsedirektoratets «Behov og kravspesifikasjon» Krav i regelverket Jurisdiksjon Sikkerhetsvurdering Revisjon Tredjeparter

19 Gebyr til ni helseforetak i Helse Sør-Øst «Manglende sikkerhetsledelse og manglende rutiner for å sikre kontroll anses å være i strid med kravene i pasientjournalloven 22 jf. 5, personopplysningsloven og personopplysningsforskriften 2-3 og 2-15 Manglende etterlevelse av plikten til å gjennomføre risikovurderinger ved endringer som har betydning for informasjonssikkerheten er i strid med kravet til personopplysninsgsforskriften 2-4 jf. 2-1 og pasientjournalloven 22». «.den databehandlingsansvarlige plikter også å ha kunnskap om sikkerhetsstatusen hos leverandøren og jevnlig forsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet. Den databehandlingsansvarlige er derfor på lagt å gjennomføre jevnlige revisjoner med databehandler jf 2-5.». «Helseforetakene ble bedt om å redegjøre for: 3. Gi en oversikt over hvilke eksterne leverandører som har tilgang til sykehusene informasjonssystem, hvilke land leverandørene har tilgang fra, hvilke typer tilganger de har, til hvilke systemer, til hvilke personopplysninger (omfang, sensitivitet), samt formålet med tilgangene» «6.2.2.Opplysninger fremkommet i saken I tillegg ser vi at flere av sykehusene også har driftsoperatører fra 3. land utenfor EU. Dette er land som bl.a. USA og India»

20 Gebyr til ni helseforetak i Helse Sør-Øst «Manglende sikkerhetsledelse og manglende rutiner for å sikre kontroll anses å være i strid med kravene i pasientjournalloven 22 jf. 5, personopplysningsloven og personopplysningsforskriften 2-3 og 2-15 Manglende etterlevelse av plikten til å gjennomføre risikovurderinger ved endringer som har betydning for informasjonssikkerheten er i strid med kravet til personopplysninsgsforskriften 2-4 jf. 2-1 og pasientjournalloven 22». «.den databehandlingsansvarlige plikter også å ha kunnskap om sikkerhetsstatusen hos leverandøren og jevnlig forsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet. Den databehandlingsansvarlige er derfor på lagt å gjennomføre jevnlige revisjoner med databehandler jf 2-5.». «Helseforetakene ble bedt om å redegjøre for: 3. Gi en oversikt over hvilke eksterne leverandører som har tilgang til sykehusene informasjonssystem, hvilke land leverandørene har tilgang fra, hvilke typer tilganger de har, til hvilke systemer, til hvilke personopplysninger (omfang, sensitivitet), samt formålet med tilgangene» «6.2.2.Opplysninger fremkommet i saken I tillegg ser vi at flere av sykehusene også har driftsoperatører fra 3. land utenfor EU. Dette er land som bl.a. USA og India»

21

22 Integrasjoner AD Underleverandører (tredjeparter) Intern drift Bruker (Kunde) Leverandør

23 Integrasjoner AD Underleverandører (tredjeparter) Intern drift Bruker (Kunde) Leverandør

24 Integrasjoner AD Underleverandører (tredjeparter) Intern drift Bruker (Kunde) Leverandør

25 Integrasjoner AD Underleverandører (tredjeparter) Intern drift Bruker (Kunde) Leverandør

26 Hvordan finne ut hvilke krav du må stille til tilgangsstyring? Skyleverandøren vil i utgangspunktet ha tilgang til alt derfor må du finne ut hvilke krav du må stille til skyleverandøren Analyser regelverket som regulerer området skytjenesten skal dekke, det kan være utgangspunkt for krav som du må stille til skytjenesten

27 Hvordan finne ut hvilke krav du må stille til tilgangsstyring? Skyleverandøren vil i utgangspunktet ha tilgang til alt derfor må du finne ut hvilke krav du må stille til skyleverandøren Analyser regelverket som regulerer området skytjenesten skal dekke, det kan være utgangspunkt for krav som du må stille til skytjenesten Det kan hende krav i særregelverk er i strid med anskaffelsesregelverket

28 Hvordan finne ut hvilke krav du må stille til tilgangsstyring? Skyleverandøren vil i utgangspunktet ha tilgang til alt derfor må du finne ut hvilke krav du må stille til skyleverandøren Analyser regelverket som regulerer området skytjenesten skal dekke, det kan være utgangspunkt for krav som du må stille til skytjenesten Det kan hende krav i særregelverk er i strid med anskaffelsesregelverket Du må gjøre en selvstendig vurdering av om landet/landene skytjenesten er lokalisert i er sikkert nok

29 Hvordan finne ut hvilke krav du må stille til tilgangsstyring? Skyleverandøren vil i utgangspunktet ha tilgang til alt derfor må du finne ut hvilke krav du må stille til skyleverandøren Analyser regelverket som regulerer området skytjenesten skal dekke, det kan være utgangspunkt for krav som du må stille til skytjenesten Det kan hende krav i særregelverk er i strid med anskaffelsesregelverket Du må gjøre en selvstendig vurdering av om landet/landene skytjenesten er lokalisert i er sikkert nok Du må stille krav om sertifiseringer og tredjepartsrevisjoner.

30 Hvordan finne ut hvilke krav du må stille til tilgangsstyring? Skyleverandøren vil i utgangspunktet ha tilgang til alt derfor må du finne ut hvilke krav du må stille til skyleverandøren Analyser regelverket som regulerer området skytjenesten skal dekke, det kan være utgangspunkt for krav som du må stille til skytjenesten Det kan hende krav i særregelverk er i strid med anskaffelsesregelverket Du må gjøre en selvstendig vurdering av om landet/landene skytjenesten er lokalisert i er sikkert nok Du må stille krav om sertifiseringer og tredjepartsrevisjoner. Datatilsynets krav til overføring av opplysninger til tredjeland er et godt utgangspunkt for å stille krav. De som har en rolle i drift og support av skytjenesten vil ha rettigheter som gjør at de kan overføre data

31

32 Takk for oppmerksomheten!