Normens krav og anbefalinger fra kravspek til innføringsprosjekt. 31. oktober 2018

Transkript

1 Normens krav og anbefalinger fra kravspek til innføringsprosjekt 31. oktober 2018

2 Agenda Anskaffelse Innføring Forvaltning og drift Krav til systemer (FA 38) og selvdeklareringsdokumenter Krav til medisinsk utstyr Testdata Sikkerhetskrav i prosjektgjennomføring Databehandleravtale

3 Om krav i Normen Er minimumskrav Fritar selvsagt ikke for risikovurdering Bruk av andre «beste praksis» kan være nødvendig ISO 15189:2012 (brukes av akkr. laboratorier) ISO Normen er teknologinøytral «Tekniske krav» stort sett uendret fra 2006 Utdypet i nyere faktaark og veiledere Normens krav dekker alle Fra fotpleieren på hjørnet til nasjonale løsninger Hvordan skalerer kravene? 3

4 Sakset fra utallige kravspesifikasjoner «Leverandøren skal følge kravene i Normen» Hva betyr egentlig det? Side 4

5 Hvordan treffes leverandører av Normens krav? Databehandler, tjenestetilbyder, support osv Programvareleverandør Gjennom tilknytning til helsenettet Gjennom avtaler med helsevirksomheter, f.eks. Databehandleravtaler Fjernsupport Gjennom krav til systemer og programvare i Normen som stilles ved anskaffelser Tekniske løsninger, styringssystem (ISMS), rutiner osv Krav til funksjonalitet i programvare 5

6 Sett fra en leverandør: Side 6

7 Sett fra en leverandør (2): Side 7

8 Databehandleravtale Databehandler behandler personopplysninger på vegne av den Dataansvarlig dataansvarlige Databehandler skal ikke behandle helse- og personopplysninger på annen måte enn det som er avtalt med datasansvarlig. Se mer i faktaark 10 Databehandler har et selvstendig ansvar for informasjonssikkerhet Side 8

9 Datatilsynets veileder: Behandlingsansvarlig og databehandler Databehandleren skal kun behandle personopplysninger på vegne av den behandlingsansvarlige. Databehandleren har likevel selvstendige plikter etter personvernforordningen. Både juridiske personer og fysiske personer være behandlingsansvarlige. Det vanligste er likevel at den behandlingsansvarlige er en juridisk person Side 9

10 Når foreligger det et databehandleroppdrag? Det foreligger kun en databehandlerrelasjon hvis oppdraget du gir den andre virksomheten går ut på å behandle personopplysninger på Ikke databehandleroppdrag: Reparere pc Databehandleroppdrag: Kontinuerlig fjerntilgang vegne av dataansvarlig. Eksempel på ikke databehandleroppdrag: Håndverkertjenester Dersom du gir en ekstern virksomhet eller person omfattende tilgang til personopplysninger kan det likevel oppstå et databehandleroppdrag. Kilde: Datatilsynets veileder: Behandlingsansvarlig og databehandler Side 10

11 Quiz: Når trengs databehandleravtale? Leverandør drifter EPJsystem for legekontor Programvareleverandør får kundens data for å gjennomføre prøvekonvertering Leverandøren skal skifte en server hos kunden Leverandør oppgraderer programvare hos kunden Side 11

12 Eksempel på databehandleravtale 12

13 Om taushetserklæring i Normen Normen Leverandører Virksomheten skal for å ivareta konfidensialitet, integritet og tilgjengelighet for helseog personopplysninger forsikre seg om at: leverandørens personale har undertegnet taushetserklæring som innebærer en absolutt taushetsplikt med henblikk på alle helse- og personopplysninger.

14 Utdypes i fjernaksessveilederen:

15 Servicetilgangsavtale eksempel fra Helse Midt-Norge Denne avtalen gjelder for tjenesteoppdrag som omfatter installasjon, konfigurasjon, vedlikehold og andre tekniske tjenester som utføres av leverandøren på elektromedisinsk utstyr som eies, leies eller på annen måte disponeres av oppdragsgiveren Formålet med avtalen er å sørge for at person- og helseopplysninger som er tilgjengelige på det elektromedisinske utstyret ikke behandles, for eksempel ved at personopplysninger endres, kopieres eller hentes ut og tilgangen ikke benyttes til medisinsk behandling eller diagnostikk. Dette omfatter både opplysninger som er lagret direkte på utstyret og opplysninger som eventuelt er tilgjengelige gjennom datanettverk ved bruk av utstyret. Formålet er videre å tilrettelegge for at tjenesteoppdrag kan utføres effektivt og med kortest mulig nedetid. 15

16 Faktaark 6b - Sjekkliste for å ivareta kravene i Normen 208 krav med referanse til Normen Tematisk inndeling Administrativ og organisatorisk sikkerhet EPJ / fagsystem Fysisk sikring Teknisk løsning Angivelse av om kravet kan oppfylles av databehandlingsansvarlig, databehandler, eller begge.

17 Krav til programvare Faktaark 38 - Sikkerhetskrav for systemer (med referanse til Normen) Tilhørende selvdeklareringsdokumenter Side 17

18 Krav til medisinsk utstyr Overordnet systembeskrivelse OUS (del av felles styringssystem HSØ): Kravspesifikasjon ved anskaffelser av MTU-løsninger med IKT-grensesnitt og tilkobling til nettverk Overvåkning og endrings- / oppdateringsregime Redundanskrav Lisenshåndtering Nettverk Maskinvare OS og programvare Informasjonssikkerhet og IDM Informasjonssikkerhetskrav til bruk ved anskaffelser av MU i Helse Vest Backup Integrasjoner IKT-relatert drift og forvaltning Side 18

19 Gruppeoppgave Alle grupper: Se på kravene i kap 4.1, 4.5, 4.6 og 4.9 Er det O-krav (avvisning hvis ikke oppfylt) som er urealistiske? Er det H-krav som er urealistiske? Er det B-krav som burde vært O- eller H-krav? Gjør tilsvarende vurdering for kap 4.2 Grp Grp Grp Grp Grp Grp 6 Side 19

20 Krav til Test Faktaark 43 - Bruk av testdata i systemer som inneholder helse- og personopplysninger Faktaark 48 - Informasjonssikkerhet ved utførelse av testing Test Side 20

21 Faktaark 43: Bruk av testdata i systemer som inneholder helse- og personopplysninger Formålet med faktaarket er å sikre konfidensialitet, integritet, tilgjengelighet og kvalitet når testdata brukes i utvikling og test av IT-systemer med helse- og personopplysninger. benytte relevante testdata slik at testene blir så nær opp til virkeligheten som mulig. Der det er mulig bør det benyttes anonymiserte testdata 21

22 Eksempel på prosessflyt test: 22

23 Sikkerhetskrav og sikkerhetsdokumentasjon i IKT-prosjekter (faktaark 37) I større prosjekter bør det vurderes egen sikkerhetskoordinator som rapporterer til prosjektleder 23