Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

Transkript

1 Introduksjonskurs til Normen Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS 1

2 Innhold 1. Litt om personvern og informasjonssikkerhet 2. Norm for informasjonssikkerhet 3. Risikovurdering 4. Krav til informasjonssikkerhet i Normen 2

3 Trusler mot personvernet Journalen er ufullstendig Uautorisert tilgang og innsyn i journal Tyveri av datautstyr med journalopplysninger Tap av lagringsmedia eller bærbar PC med journalopplysninger Ødeleggelse av lagringsmedia eller datautstyr Ny versjon av journalsystemet installeres, men virker helt eller delvis ikke SMS eller e-post inneholder helseopplysninger 3

4 Informasjonssikkerhet - begreper Helsepersonell behandler helse- og personopplysninger om pasient Helsepersonell plikt til å føre journal Forpliktelse ift pasienten kontinuitet i behandling og omsorg Konfidensialitet Integritet Tilgjengelighet 4

5 Personvern vs informasjonssikkerhet Personvern Privatlivets fred Regulere bruk av personopplysninger Informasjonssikkerhet Virkemidler for å sikre personvernet - Konfidensialitet - Integritet - Tilgjengelighet Rett Plikt 5

6 6

7 Krav til sikring av personopplysninger Alle som behandler personopplysninger skal sikre opplysningene Helseopplysninger skal sikres bedre enn personopplysninger HRL, PJL, pasientjournalforskriften, POL/POF, m.fl. stiller krav til sikkerheten Normen 7

8 2. Norm for informasjonssikkerhet Gjelder for helse- og omsorgsektoren Verktøy for å etablere tilfredsstillende informasjonssikkerhet Ett regelsett å forholde seg til Stole på samhandlingspartner Harmonisere sikkerheten mellom virksomheter i sektoren 8

9 Normen er utarbeidet av sektoren Den norske legeforening Representanter for de regionale helseforetak (RHF og HF) Norsk Sykepleierforbund Norges Apotekforening Kommunenes Sentralforbund Datatilsynet Helsetilsynet NAV Helsedirektoratet Tannlegeforeningen Den offentlige tannhelsetjenesten Direktoratet for forvaltning og IKT Norges Farmaceutiske Forening Norsk psykologforening Norsk Fysioterapeutforbund Autonom styringsgruppe 9

10 Normen Sammenfatter alle gjeldene krav 30+ lover og forskrifter i helse og omsorg om informasjonssikkerhet å forholde seg til Normen uttrykker gjeldende norsk informasjonssikkerhetsrett i helse og omsorg Følg Normen = følg loven Er juridisk bindende ved avtale med Norsk Helsenett SF (NHN) 10

11 Veiledere, faktaark og opplæring 11

12 Normen krav til styringssystem Styrende del Gjennomførende del Kontrollerende del Veiledere for flere sektorer 12

13 Normen krav til styringssystem Styrende del Fastsette ansvaret 2 viktige roller Etablere mål og strategi for informasjonssikkerhet 2 viktige begreper Fastsette nivå for akseptabel risiko / risikovurdering* Utarbeide oversikt over behandlinger 13

14 Rolle 1 - Databehandlingsansvarlig Normen sier: Med databehandlingsansvarlig menes den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes Formål - Yte helsehjelp, yte fysioterapitjeneste, organisere barnevern, legevakt, mv Behandling - Innsamling, registrering, sammenstilling, lagring, utlevering Hjelpemidler - Fagsystem, EPJ-system, mv Er ansvarlig for personvern og informasjonssikkerhet i virksomheten 14

15 Tydelig formål 15

16 Rolle 2 - Databehandler Normen sier: Med databehandler menes den som behandler helse- og personopplysninger på vegne av den databehandlingsansvarlige. En databehandler er en ekstern person eller virksomhet utenfor den databehandlingsansvarliges virksomhet Mal for databehandleravtale finnes på normen.no 16

17 Begrep 1 - Tilgang Autorisert personell har tilgang i journalsystemet Tilgang skal baseres på tjenstlig behov - for eksempel Yte helsehjelp Administrere slik hjelp Kvalitetssikring 17

18 Begrep 2 - Utlevering Helseopplysninger utleveres elektronisk, skriftlig, muntlig Forutsetter at det ikke er i strid med taushetsplikten Henvisning/epikrise/dialog E-resept Refusjonskrav til HELFO Sykemelding til NAV 18

19 Normen krav til styringssystem Gjennomførende del viktige områder Tilgangsstyring Teknisk sikkerhet Drift Fysisk sikkerhet Datakommunikasjon Opplæring Avtaler 19

20 Normen krav til styringssystem Kontrollerende del Sikkerhetsrevisjon Risikovurdering* Avvikshåndtering Ledelsens gjennomgang 20

21 Normen krav til styringssystem Samling av alle dokumenter i en bestem struktur: Styringsdokumenter Prosedyrer/regler Maler Opplæringsmateriell NB! Styringssystem skal være på plass i alle virksomheter som behandler helse- og personopplysninger 21

22 Hva må gjøres for å oppfylle kravene? Etablere styringssystem for informasjonssikkerhet Gjennomføre risikovurdering Etablere og gjennomføre nødvendige tiltak iht kravene i Normen og resultat fra risikovurderinger Lære opp alle medarbeidere Sørge for løpende oppfølging og bruk av styringssystemet 22

23 3. Risikovurdering Identifisere mulige svakheter i eksisterende løsninger Tilgangsstyring Teknisk løsning / drift Bruk av fagsystem Fysisk sikring Avtaler Vurdere om svakheter kan/vil ha innvirkning på behandlingen av helse- og personopplysninger 23

24 Risikovurdering Gir grunnlag for å planlegge og gjennomføre tiltak Resultatet av risikovurderingen skal oppbevares i minimum 5 år Bruk tilgjengelig mal på 24

25 Risikovurdering skal gjennomføres før: det iverksettes behandling av helseog personopplysninger etablering av nye systemer eller registre som inneholder helse- og personopplysninger det iverksettes organisatoriske endringer som kan påvirke informasjonsbehandlingen 25

26 Risikovurdering skal gjennomføres før: det iverksettes tekniske endringer i utstyr og/eller programvare som kan påvirke informasjonsbehandlingen det iverksettes andre endringer med betydning for informasjonssikkerheten det etableres løsninger med tilgang mellom virksomheter S a n n s y n li g h e t Svært høy 4 Høy 3 Moderat 2 Lav 1 Liten 1 Konsekvens Moderat 2 Stor 3 Katastrof alt 4 26

27 4. Krav til informasjonssikkerhet i Normen Tilgangsstyring Autorisasjonsregister Hendelsesregistrering Teknisk sikkerhetsløsning Sikkerhets- og tilbakekopiering SMS og e-post Flyttbare medier Plassering av utstyr Flere andre krav For å oppfylle kravene til konfidensialitet, integritet og tilgjengelighet 27

28 Tilgangsstyring All tilgang til helse- og personopplysninger skal baseres på en tildelt rolle i fagsystemet og tjenstlig behov Rollen gir autorisasjon for å lese, registrere, redigere, skrive ut, rette, slette og sperre helse- og personopplysninger Fellesbruker er ikke tillatt All tildeling av autorisasjon skal registreres i systemet som administrerer autorisasjon (i praksis vil det si fagsystemet) Alle tildelte autorisasjoner skal kontrolleres minimum årlig 28

29 Autorisasjonsregister Databehandlingsansvarlig skal sørge for at det opprettes et autorisasjonsregister Registeret skal som minimum inneholde: informasjon om hvem som er tildelt autorisasjon til hvilken rolle autorisasjonen er tildelt formålet med autorisasjonen tidspunkt for når autorisasjonen ble gitt og eventuelt tilbakekalt informasjon om hvilken virksomhet den autoriserte er knyttet til Hver oppføring skal arkiveres i 5 år fra det tidspunkt autorisasjonen tas ut av bruk 29

30 Hendelsesregistrering Autorisert bruk Forsøk på uautorisert bruk Hendelsesregistre (autorisert bruk av fagsystemet) skal minimum inneholde entydig identifikator for den autoriserte brukeren rollen den autoriserte brukeren har ved tilgangen virksomhetstilhørighet organisatorisk tilhørighet til den som er autorisert hvilke type opplysninger det er gitt tilgang til hvem som har fått utelevert helseopplysninger grunnlaget for tilgangen tidspunkt og varighet for tilgangen 30

31 Hendelsesregistrering For forsøk på uautorisert bruk brukeridentiteten som ble benyttet tidspunkt (dato og klokkeslett) IP-adresse eller annen identifikasjon av PC/arbeidsstasjon som ble benyttet (for eksempel MACadresse eller NAT-adresse) Hendelsesregisteret skal oppbevares til det av helsehjelpens karakter ikke lenger antas å bli bruk for det Hendelsesregistre skal analyseres (ukentlig) Den registrerte har rett på innsyn i minimum Hvem som har hatt tilgang eller fått utlevert Hvor ofte tilgangen er benyttet 31

32 , jeg trodde jeg hadde innsynsrett..

33 Teknisk sikkerhetsløsning To uavhengige tekniske tiltak mot eksterne nettverk Skille behandling av helseopplysninger og eksterne nettverk Teknisk løsning med sikkerhetsbarrierer Hindre uautorisert tilgang Antivirus All kommunikasjon skal starte innenfra eget nettverk 33

34 Teknisk sikkerhetsløsning Kryptering av ekstern kommunikasjon Oppfylle Kravspesifikasjon for PKI i offentlig sektor Autentisering som for stasjonært utstyr gjelder for mobilt utstyr hjemmekontor / fjernaksess fra leverandør trådløs kommunikasjon linjer virksomheten ikke har fysisk kontroll over 34

35 Sikkerhets- og tilbakekopiering Dokumenterte rutiner Frekvens Ansvar Sikkerhetskopi skal oppbevares Avlåst Brannsikkert Adskilt fra driftsutstyret (server) Jevnlig teste at sikkerhetskopiene er korrekte kan tilbakeføres 35

36 SMS og e-post Skal aldri brukes til helseopplysinger Skal aldri inneholde 11-sifferet fødselsnummer Mottas helseopplysninger via SMS eller e- post svarer virksomheten at Henvendelser med helseopplysninger blir ikke besvart. Bruk telefon eller fremmøte SMS krever samtykke fra pasient/bruker Veileder: Portalløsninger, SMS og e-post 36

37 Flyttbare medier Merkes tydelig Skal krypteres Slettes forsvarlig - destrueres ved utrangering Oppbevares avlåst Sendes som rekommandert post 37

38 Fysisk sikring Server og kommunikasjonsutstyr skal være i bemannet eller avlåst område Sikring av PC Kryptering av lagringsenhet på bærbart utstyr Soneprinsipp ifm. resepsjoner, datarom, behandlingsrom, mv. Faktaark 17 Fysisk sikring av områder og utstyr 38

39 Plassering av utstyr Plasser skjerm og skriver skjermet for innsyn og adgang Taushetsplikten den passive delen* Skjermsparer m/passord Taushetsplikten den passive delen* 39

40 Service / utrangering av utstyr Fjernes utstyr som inneholder helse- og personopplysninger fra virksomheten, må det opprettes en databehandleravtale med serviceyter Service på stedet er å anbefale, men ikke et krav Ved utrangering av utstyr/lagringsmedia skal lagringsmedia slettes forsvarlig eller destrueres (for eksempel skriver) 40

41 Andre krav i Normen Taushetsplikten aktiv og passiv* Nødrutiner skal utarbeides hva gjør virksomheten om alle journaler er borte? Kontroll av tilgangsstyring ved sikkerhetsbrudd All bruk av nødrettstilgang skal grunngis og følges opp som avvik 41

42 Taushetsplikten i hverdagen Passiv plikt Hvem snakker du med Hvem lytter Hvem utleveres opplysninger til Aktiv plikt Skjermsparer med passord manuell / automatisk Plassering av utstyr Låse kontor Låse ned dokumenter og notater Makulere Reelle data som testdata Utrangering av teknisk utstyr (multifunksjonskriver)

43 Oppsummering 1. Litt om personvern og informasjonssikkerhet 2. Norm for informasjonssikkerhet 3. Risikovurdering 4. Krav til informasjonssikkerhet i Normen sikkerhetsnormen@helsedir.no 43