Status for forberedelse til innføring av GDPR. Bakgrunn. 1. Internt Omorganisering av personvernombudet

Transkript

1 v Helse- og omsorgsdepartementet (HOD) Postboks 8011 Dep 0030 OSLO Deres ref.: 18/2418 Vår ref.: 18/397-2 Saksbehandler: Silalahi Nuth Dato: Status for forberedelse til innføring av GDPR Vi viser til departementets brev datert 25.mai 2018, deres ref. 18/2418-1, om Ny personopplysningslov, EUs personvernforordning (GDPR) og endringer i helselovene status. Direktoratet for e-helse har god oversikt og kontroll over hvordan direktoratet ligger an når det gjelder å oppfylle kravene i GDPR når forordningen implementeres i Norge. Direktoratet har bidratt til utvikling av Normen i tråd med GDPR, og har gjennomført en rekke kommunikasjonstiltak både internt og mot sektoren. Vi er således godt forberedt på innføringen av GDPR, og har hjulpet sektoren med å forberede seg på nytt regelverk. Nedenfor følger en nærmere beskrivelse av status. Bakgrunn I tildelingsbrev fra HOD for 2017 fikk Direktoratet for e-helse følgende oppdrag: «Gjøre nødvendige forberedelser for innføring av EUs personvernforordning i 2018, herunder vurdere nødvendige tiltak i egen virksomhet og for sektoren for øvrig. Arbeidet skal gjennomføres i dialog med Helse- og omsorgsdepartementet.» På bakgrunn av de overnevnte, ble det etablert et GDPR-prosjekt i direktoratet våren 2017 som hadde som mål å forberede direktoratet og sektoren for øvrig for innføring av GDPR. Aktivitetene i prosjektet ble delt opp i tre spor: Tiltak internt i direktoratet, oppdatering av Normen og kommunikasjonstiltak. Nedenfor redegjøres det for hva og hvordan direktoratet har gjennomført tiltak i de tre sporene innen 25.mai, og hva vi planlegger å gjennomføre etter 25.mai. 1. Internt 1.1. Omorganisering av personvernombudet Direktoratet har fra 2016 hatt en 50% stilling som personvernombud plassert i Avdeling juridisk. I april 2018 ble stillingsbrøk besluttet endret til 100 %. For å ivareta stillingens uavhengighet er Direktoratet for e-helse E-helse Avdeling juridisk Silalahi Nuth, tlf.: Postboks 221 Skøyen, 0213 OSLO Besøksadresse: Verkstedveien 1 Tlf.: Org.nr.: postmottak@ehelse.no

2 stillingen plassert til avdeling økonomi og administrasjon med rapportering direkte til øverste leder i direktoratet Behandling av helse og personopplysninger Direktoratet må sørge for at behandling av personopplysninger i de nasjonale løsningene og i direktoratet for øvrig, er i tråd med GDPRs krav når den trer i kraft. For å sikre etterlevelse av GDPR i behandlingen av helse- og personopplysninger i de nasjonale e- helseløsningene og internt i direktoratet er det gjort en kartlegging av all behandling av helse- og personopplysninger. Deretter er det gjennomført en GAP-analyse for å finne ut hvilke krav i GDPR som ikke var oppfylt eller bare delvis oppfylt. På grunnlag av GAP-analysen, er det foreslått prioriterte tiltak Kartlegging Kartlegging av prosesser og systemer som behandler personopplysninger i direktoratet er gjennomført i perioden 9.mai til 15.juni Fokuset i kartleggingen var behandling av personopplysninger i: De nasjonale e-helseløsningene: Kjernejournal, e-resept, helsenorge og grunndata Tjenester som brukes på tvers av de nasjonale e-helseløsningene: Testsenter og 800HELSE Internt i direktoratet: Arkiv, HR, intern IT, kommunikasjon og økonomi Kartleggingen tar utgangspunkt i en forhåndsdefinert mal med bestemte fokusområder. Malen er utarbeidet i GDPR-prosjektet, og er sammen med rapportmal for kartlegging publisert på ehelse.no til fri bruk i sektoren GAP-analyse Basert på resultater fra kartleggingen, er det gjennomført en GAP-analyse i perioden 30.august til 1.november Kun behandlinger som allerede var igangsatt og identifisert innenfor fristen for kartleggingsperioden er behandlet i GAP-analysen. GAP-analysen er gjennomført ved bruk av mal for GAP-analyse utarbeidet i GDPR-prosjektet. Malen inneholder alle relevante krav i GDPR med tanke på de nasjonale e-helseløsningene. De vanskelig tilgjengelige bestemmelsene i GDPR deles opp i flere krav i malen, og på den måten ble malen er en konkretisering av krav i GDPR. Mal for GAP-analyse ble publisert på ehelse.no sammen med rapportmal for GAP-analyse til fri bruk i sektoren Tiltak Direktoratet praktiserer en høy standard når de gjelder ivaretakelsen av personvern og informasjonssikkerhet, noe som blant annet har resultert i at Kjernejournal vant Datatilsynets pris for innebygd personvern i praksis

3 Direktoratet har stort fokus på og jobber kontinuerlig med innebygd personvern for alle de nasjonale e-helseløsningene. I tillegg til å oppfylle nye krav i GDPR, har vi jobbet systematisk og grundig med å detaljere kravene, også kravene som er gjeldende etter dagens lovgivning. Detaljeringen av tiltak i GDPR-prosjektet har derfor vært ganske omfattende. Dette har vært en bevisst tilnærming for å sikre at alle de nasjonale e-helseløsningene oppnår en god standard for innebygd personvern og personvern som standardinnstilling. Direktoratet er bevisst i sin rolle som premissgiver for digitalisering og den generelle teknologiske utviklingen i helse- og omsorgssektoren. Direktoratets etterlevelse av GDPR og hvordan dette løses i de nasjonale e- helseløsningene vil kunne påvirke utviklingen av e-helseløsninger generelt og dermed også ivaretakelsen av personvern og informasjonssikkerhet i sektoren. På bakgrunn av GAP-analysen ble det identifisert totalt 110 tiltak som skal gjennomføres i de nasjonale e-helseløsningene og i avdelinger i direktoratet som behandler personopplysninger. I tillegg ble det identifisert 6 tiltak som ble vurdert som hensiktsmessige å ta inn som en del av GDPR-prosjektet (ekstratiltak). Identifisering av tiltak var en lang og krevende prosess med kartlegging og GAP-analyse med involvering av fagressurser fra forskjellige kompetansemiljøer i direktoratet. Flere av tiltakene krever teknisk nyutvikling i de nasjonale e-helseløsningene. Status for gjennomførte tiltak pr. 25. mai 2018 Status for de 110 tiltakene identifisert på bakgrunn av GAP-analysen: 75 tiltak er utført innen 25.mai tiltak som allerede er igangsatt vil bli gjennomført før 1.juli igangsatte tiltak forventes fullført innen utgangen av ikke påbegynte tiltak forventes også fullført innen utgangen av Status for de 6 ekstratiltakene: Samtlige er igangsatt. 1 ekstratiltak er planlagt levert før 1.juli ekstratiltak forventes fullført innen utgangen av ekstratiltak vil bli gjennomført i Tiltaksområder Tiltaksområdene kan oppsummeres som følgende: 1. Generelle prinsipper for behandling av personopplysninger (lovlighet, rettferdighet, åpenhet, dataminimering osv.) Ivaretakelse av personvernprinsippene. Personvernprinsippene er generelt godt ivaretatt i direktoratets behandling av personopplysninger. Dataminimering. Det blir gjennomført flere dataminimeringstiltak for å sikre at det ikke behandles flere opplysninger enn nødvendig. Dette har ført til teknisk nyutvikling i flere av de nasjonale e-helseløsningene. 2. Samtykke Tilbaketrekking av samtykke. Direktoratet jobber med å sikre at tilbaketrekking av samtykke skal være like enkelt som å avgi samtykke. Dette er et nytt krav i GDPR. Tiltaket omfatter bruk av samtykke både internt og i de nasjonale e-helseløsningene

4 Vilkår. Direktoratet jobber med å oppdatere bruksvilkårene for samtykke i de nasjonale e-helseløsningene. 3. Den registrertes rettigheter Informasjon. Krav til informasjon utvides i GDPR. Dette har ført til flere tiltak for oppdatering av informasjon til den registrerte i alle de nasjonale e-helseløsningene både gjennom helsenorge og ehelse.no. Retting og sletting. Det blir gjennomført flere tiltak for å ivareta krav til retting og sletting i de nasjonale e-helseløsningene og direktoratet for øvrig. Dataportabilitet. Det nye kravet om dataportabilitet i GDPR gjelder kun dersom behandlingen er basert på samtykke og utføres automatisk. Det blir gjennomført tiltak for å sørge for at retten til dataportabilitet ivaretas i løsninger som leveres fra eksterne leverandører. 4. Internkontroll Policyer, sjekklister og retningslinjer. Det er utarbeidet flere policyer, sjekklister og retningslinjer om internkontroll som gjelder som standard i de nasjonale e- helseløsningene og ellers i direktoratet. Rutiner. Direktoratet og de nasjonale e-helseløsningene har mange godt etablerte og detaljerte rutiner. Flere rutiner praktiseres også allerede i avdelingene. Det er gjennomført flere tiltak for å få på plass godkjente rutiner for håndtering av personopplysninger generelt i de nasjonale e-helseløsningene og godkjente rutiner for ivaretakelse av de registrertes rettigheter. Dokumentasjon. Det blir gjennomført flere tiltak for å sikre god dokumentasjon i tråd med krav i GDPR. Eksempel på tiltak er oppdatering og detaljering av løsningsbeskrivelser for tjenestene og/eller de ulike komponentene. 5. Sikkerhet Tekniske og organisatoriske tiltak. De nasjonale e-helseløsningene har gode tekniske og organisatoriske tiltak på plass, men det blir også gjennomført en rekke sikkerhetstiltak for å oppfylle GDPR-krav. Sikkerhetsnivå og styring av sikkerhet. Direktoratet har et pågående prosjekt som jobber med å få på plass et helhetlig ledelsessystem for informasjonssikkerhet (ISMS). GDPR-prosjektet bidrar med GDPR-kompetanse i ISMS-prosjektet. Det er utarbeidet flere policyer, standarder og rutiner for informasjonssikkerhet som gjelder som felles standard for de nasjonale e-helseløsningene og direktoratet for øvrig. Krav til databehandler. Som et ledd i arbeidet med inngåelse eller oppdatering av databehandleravtaler i direktoratet, er det utarbeidet en oversikt over detaljerte krav til informasjonssikkerhet som inntas som vedlegg i databehandleravtalene. Vedlegget er utarbeidet i samarbeid med Normen

5 6. Innebygd personvern Ivaretakelse av den registrertes rettigheter og personvernprinsippene. I GDPRprosjektet har det bevisst vært stor oppmerksomhet på innebygd personvern, og det er gjennomført flere tiltak som er knyttet til ivaretakelsen av den registrertes rettigheter og personvernprinsippene i GDPR i de nasjonale e-helseløsningene. Opplæring. Opplæring er en viktig del av innebygd personvern. Som en del av kommunikasjonen i GDPR-prosjektet, er det gjennomført flere foredrag om innebygd personvern i møter med prosjekter og programmer i direktoratet (inkl. Helsedataprogrammet og Velferdsteknologiprogrammet). Innebygd personvern var på agendaen på direktoratets GDPR-turnè, der GDPR-prosjektet bestående av GDPRprosjektleder, sikkerhetssjef, personvernombudet og Normen besøkte 4 RHFer med tilhørende HF for å informere om GDPR og utveksle erfaring om innføring av GDPR. Vurderingskriterier for innebygd personvern. Bestemmelsen om Data Protection Impact Assessment (DPIA) eller personvernkonsekvensutredning etter GDPR er kjent som en av de mest utfordrende bestemmelsene i GDPR. I GDPR-prosjektet er det utarbeidet en DPIA-mal som blant annet inneholder vurderingskriterier for innebygd personvern. Malen ble publisert på ehelse.no den 25.mai 2018 til fri bruk i sektoren. Tilbakemeldinger fra sektoren viste at flere både små og store, private og offentlige virksomheter allerede har tatt malen i bruk. 7. Roller og ansvar Tydeliggjøring av roller og ansvar. Det er gjennomført flere tiltak både internt og eksternt mot sektoren for å avklare roller og ansvar. Dette omfatter blant annet avklaring av roller og ansvarsforhold ved tilgjengeliggjøring av data på helsenorgeplattformen og grunndataplattformen. 8. Databehandleravtaler Oppdatering av databehandleravtaler. De nasjonale e-helseløsningene og avdelingene i direktoratet har jobbet med å oppdatere alle databehandleravtaler i tråd med nye krav i GDPR. Mal for databehandleravtale. Prosjektet har utarbeidet en mal for databehandleravtaler som gjelder som felles standard i de nasjonale e-helseløsningene og direktoratet for øvrig. Malen ble publisert på ehelse.no den 17.april 2018, og anbefales brukt av virksomheter i helse- og omsorgssektoren. Tilbakemeldinger fra sektoren viste at malen er tatt i brukt av mange aktører i sektoren. 2. Normen Direktoratet for e-helse er sekretariat for Norm for informasjonssikkerhet i helse- og omsorgstjenesten. Ny personopplysningslov, forordningen og nye helselovgivning er driverne bak et tilpasnings- og utviklingsarbeid som ble satt i gang for Normen tidlig i Sekretariatet og styringsgruppen for - 5 -

6 Normen så også behovet for å modernisere Normen i både innhold og struktur. Dette omfatter å sikre at Normens krav er i overenstemmelse med nytt lovverk, utvide Normens område til å omfatte mer personvern og å oppdatere Normen med nye krav tilpasset den teknologiske utviklingen. Arbeidet er del t i to etapper: Versjon 5.3 av Normen ble godkjent av styringsgruppen 31.mai I denne versjonen har Normen fått ny struktur, den er gjennomgått for å sikre at det ikke er motstrid mellom Normen og nytt lovverk og enkelte artikler fra forordningen er innarbeidet. Arti klene som er innarbeidet i denne versjonen er: Art 30 - Protokoller over behandlingsaktiviteter Art 32 - Sikkerhet ved behandlingen Art 33 og 34 - Melding og underretning om avvik Art 35 - Personvernkonsekvensvurdering Art. 24 og 28 - Databehandlingsansv arlig og databehandler Art. 37 og 38 - Personvernombud Versjon 5.3 gjøres gjeldende samtidig som ny personopplysningslov trer i kraft. Normens navn er endret for å synliggjøre at fokus utvides til også å omfatte personvern. Normens fulle navn er nå Norm fo r informasjonssikkerhet og personvern i helse - og omsorgstjenesten. Neste versjon, versjon 6.0, vil omfatte større deler av forordningen. Noe av det viktigste blir å innarbeide de registrertes rettigheter og de samsvarende pasientrettighetene. Vi vil også jobbe videre for å gjøre sektorkonkretiseringer av forordningens regler. I tillegg skal versjon 6.0 omfatte tilpasning til ny pasientjournalforskrift, videre målgruppetilpasning og forbedret leser -/brukertilpasning samt videre modernisering av Normens kr av. Aktuelle områder vi blant annet ser på som kan være aktuelle for modernisering og nye krav i Normen er: Risikostyring Avtaler og leverandørhåndtering Sekundærbruk/ helseregister Sikkerhetsarkitektur IKT sikkerhet/ beredskap Prosjektplan med dato for beslutning i styringsgruppen, skal besluttes på styringsgruppemøtet i september

7 Styringsgruppen har besluttet at Normen skal være en atferdsnorm etter forordningens regler om atferdsnormer, art. 40 flg. Dette innebærer at Normen versjon 5.3 kommer til å sendes til Datatilsynet for godkjenning så snart GDPR trer i kraft i Norge. Målsettingen er at Normen skal fortsette å være et godt kravsett for sektoren. Den skal være en viktig bidragsyter til ivaretakelse av tillit og pasientsikkerhet gjennom å være en felles standard for informasjonssikkerhet og personvern. 3. Kommunikasjon Kommunikasjon internt og til sektoren har vært en viktig del av GDPR-prosjektet. GDPR inneholder mange bestemmelser som er kompliserte og lite tilgjengelige. Mange av kravene under GDPR er nye og krever kompetanse innenfor både jus, personvern og sikkerhet for å kunne implementeres i IKT-systemer og -prosesser som behandler personopplysninger. Det vil derfor kreve god fagkompetanse for å forstå hva dette kompliserte regelverket betyr for vår virksomhet og helse- og omsorgssektoren. I tillegg inneholder forordningen tungt og delvis uklart språk. Dette gjør det utfordrende å sette seg inn i det nye regelverket. Mange i sektoren er usikre på hva GDPR innebærer for dem. Direktoratet og Normen har mottatt mange henvendelser fra sektoren om GDPR. GDPR-prosjektet har en kommunikasjonsplan som ble utarbeidet i dialog med HOD. Kommunikasjonsplanen inneholder klare mål for kommunikasjon, målgrupper, budskap, kanaler og tiltak. Kommunikasjonsmål Formålet med kommunikasjonen: Hjelpe sektoren og Direktoratet for e-helse med å forstå GDPR ved å kommunisere enkelt, konkret og spisset, være på tilbudssiden, delta i eksisterende arenaer og kanaler og gi informasjon som er oppdatert og tilgjengelig på ehelse.no. Målgrupper Målgrupper for kommunikasjonen er hele helse- og omsorgssektoren, som er stor og uoversiktlig. Vi har ikke direkte kontakt med alle de ca aktørene (hvorav mange små) som behandler personopplysninger. Vi må derfor basere oss på videreformidlere. Identifiserte videreformidlere: Helsedirektoratet (ønsker tett samarbeid fordi vi deler fortolkningsansvar for sentrale regelverk) Normen NHN Fag- og interesseforeninger: medlemmene av Normen (Legeforeningen, Tannlegeforeningen, Sykepleierforbundet, Fysioterapeutene, Apotekforeningen, Psykologforeningen, Farmasøytene) Spesialisthelsetjenesten: RHF og HF (både ledere, sikkerhetsledere og personvernombud) - 7 -

8 Kommunenes helse- og omsorgstjeneste (kommuneleger, fastleger og annet helsepersonell i kommunen) KS og Kommunal Informasjonssikkerhet (KINS) Leverandører av e-helseløsninger (Dette er en viktig gruppe fordi de er ansvarlige for utviklingen av løsningene). Personvernombud i helsesektoren (Personvernombud blir obligatorisk i offentlig sektor som følge av GDPR). Eventuelt andre statlige helseaktører/forvaltning. Ulike målgrupper kan bli berørt av GDPR-implementeringen på ulike måter. Leverandører av e- helseløsninger kan f. eks. bli mer berørt av innebygd personvern enn de andre målgruppene. Derfor har vi hatt tett dialog med de ovennevnte videreformidlerne for å få kunnskap om hva de trenger å vite og hvilke spesifikke problemstillinger under GDPR som berører dem mest. Budskap Våre budskap er målrettet, relevant og praktisk, og handler om: hvordan de skal få det til, hva de må endre, hva kan konsekvensene være helt konkrete råd og huskelister for å drive lovlig etter innføring av GDPR i Norge Hovedbudskap i vår kommunikasjon om GDPR er: Godt personvern er grunnleggende for tillit mellom innbyggere og helsetjenesten og nødvendig for god og effektiv helsehjelp. Den nye forordningen bidrar til at helsetjenesten tar godt vare på våre personopplysninger. Det er allerede strenge krav til behandling av personopplysninger i helse- og omsorgssektoren i Norge. Forordningen innfører noen nye krav og helsevirksomheter må tilrettelegge sine løsninger og rutiner slik at personvernkravene etterleves. Kanaler og tiltak Hovedkanal: ehelse.no. Andre kanaler: arenaer, konferanser, møter osv. Kommunikasjonstiltakene i prosjektet har bestått av: - GDPR-seminarer spisset mot sektorens behov - Opplæring i spissede temaer - Foredrag i strategiske kanaler - Informasjon og forankring i viktige fora - Kunnskapsdeling om GDPR for videreformidlere i sektoren - Svare på enkelthenvendelser fra sektoren, leverandører mv. - Presseoppslag - Publisering av artikler spisset mot sektorens behov på ehelse.no - Publisering av verktøy for god implementering av GDPR på ehelse.no - 8 -

9 Oversikt over kommunikasjonstiltak: Målgrupper Gjennomført innen Intern kommunikasjon - Alle ansatte 2 - Prosjektgruppe 2 - Avdelinger 3 - Fagråd 1 - Program (Helsedataprogrammet, 7 Velferdsteknologi, Helseplattformen) - Prosjekter 5 - Produktgruppe 4 Del sum 24 Ekstern kommunikasjon - Hele helse - og omsorgssektoren (inkl. 4 GDPR - seminarer og presseoppslag) - HOD 2 - Nasjonal styringsmodell for e - helse 4 (NUFA, NUIT og NEHS) - Helseforvaltningen (FHI og Hdir inkl. NPR) 6 - Datatilsynet 2 - Norsk helsenett (driftsleverandør) 10 løpende bistand - RHF med tilhørende HF GDPR - turnè Leverandører 1 - Nasjonalt sikkerhetsforum for helsenorge 1 - Fag - og interesseorganisasjoner 4 - Kommunehelsetjenesten (KS/KINS) 8 - Normens medlemmer 3 Del sum 48 Total sum 72 2 Det fjerde RHF med tilhørende HF ble besøkt i juni

10 Detaljert oversikt over kommunikasjonstiltak presenteres i Vedlegg 1. Publisering av artikler I tillegg har GDPR-prosjektet publisert flere artikler på ehelse.no som er spisset mot sektorens behov. Publiserte artikler på ehelse.no EUs personvernforordning Hva gjør du mens du venter på GDPRimplementering i norsk lov Verktøy for implementering av GDPR Innhold i databehandleravtale Den registrertes rettigheter ved behandling av helse- og personopplysninger Rettslige grunnlag for behandling av helse- og personopplysninger i GDPR Innhold i DPIA (i oppdatert artikkel om verktøy for implementering av GDPR) Publisering av GDPR-verktøy Som nevnt ovenfor har GDPR-prosjektet også utviklet ulike maler for hvordan GDPR på best mulig måte kan implementeres. Malene ble utarbeidet til bruk i direktoratets behandling av personopplysninger, men kan etter konkret tilpasning brukes i andre virksomheter. Malene er publisert på ehelse.no. Publiserte maler på ehelse.no 3 Mal for kartlegging av behandling av personopplysninger Rapportmal for kartlegging Mal for GAP-analyse Rapportmal for GAP-analyse Mal for databehandleravtale Mal for DPIA (inkl. vurderingskriterier for innebygd personvern) Direktoratet vil fortsette å videreutvikle maler etter innspill fra sektoren, og publisere flere artikler om GDPR på ehelse.no. Oppsummering Gjennom GDPR-prosjektet har direktoratet bidratt til en enhetlig fortolkning av GDPR. Prosjektets informasjons- og veiledningsarbeid i sektoren har bidratt til at kompliserte bestemmelser i GDPR blir enklere tilgjengelige og virksomhetene i sektoren har fått hjelp til å forstå hva bestemmelsene betyr for deres behandling av personopplysninger. Sektoren har også fått flere verktøy for god implementering av GDPR. 3 og

11 Innføring av krav i GDPR i de nasjonale e-helseløsningene og direktoratet for øvrig har vært enhetlig og godt koordinert. Direktoratets etterlevelse av GDPR og hvordan dette løses i de nasjonale e- helseløsningene vil kunne påvirke utviklingen av e-helseløsninger også i sektoren. På denne måten bidrar direktoratet til konsistent implementering av GDPR i sektoren. I tråd med oppdraget fra HOD for 2017 har direktoratet derfor gjort de nødvendige forberedelser for innføring av GDPR i direktoratet og sektoren for øvrig. Vennlig hilsen Karl Stener Vestli e.f. divisjonsdirektør Birgitte Jensen Egset avdelingsdirektør Dokumentet er godkjent elektronisk Kopi: Helse- og omsorgsdepartementet (HOD), Adriana Ocares

12 Oppdatert Vedlegg 1 GDPR-PROSJEKT KOMMUNIKASJONSPLAN 1. Intern kommunikasjonsplan Målgruppe Hovedbudskap Tiltak / kanal Ansvar Frist Gjennomføringsdato Merknad Alle ansatte Hva er GDPR og hva gjør vi? Direktoratsmøte Birgitte Høst 17/vår oktober 2017 Prosjektgruppe GDPR Avdelinger som behandler personopplysninger (HR, øk, test, arkiv, intern-it) GDPR Om innbyggerskontroll og informasjons-sikkerhet Har dere kontroll på GDPR? Hva er GDPR og hva må egentlig gjøres? Hva ansette må ta hensyn til på bakgrunn av GDPR Som over, mer status, utvikling osv. Dette må dere gjøre, resultater av kartlegging Direktoratdagen Vår januar 2018 Kurs/åpent møte Sommer 18 Ved innføring av GDPR i Norge Intranett Britt Randi Sommer 18 Som over Prosjektmøter GDPR Høst 17, vår august november juni 2018 (avslutning) Møter, samtaler Høst 17/ Vår 18 Arkiv: 26. september 2017 HR og lønn, intern IT og økonomi: 27. september 2017 Kommunikasjon: 29. september 2017

13 Oppdatert Arkitekturrådet De som jobber med program De som jobber med relevante prosjekter eller i avdelinger GDPR-prosjektet, Husk dette i arbeidet/løsninger Husk GDPR, Dette hva GDPR betyr for programmene Husk GDPR, Dette hva GDPR betyr for prosjektene Møter i arkitekturrådet Helsedataprogrammet (HAP) Mona Høst august 2017 Høst 17/ vår 18 - Arbeidsgruppen for sikkerhet og personvern: 17. oktober 2017 (om innebygd personvern) - Arbeidsgruppen for registerforvaltning: 13. november 2017 (GDPR generelt og spesielt om den registrertes rettigheter) - Hele programmet: 6. desember 2017 (GDPR generelt og spesielt om roller og ansvarsforhold) - Kjernegruppen: 29. januar 2018 (om personvernprinsipper) - Arbeidsgruppen for forskning: 12. februar 2018 (GDPR generelt og spesielt om innebygd personvern og DPIA) - HDP/HAP: 20. juni 2018 (Gjennomgang av DPIA mal) 18. oktober 2017 Velferdsteknologi program (VFT) Helseplattformen 4. april 2017 EIEJ Siri Pernille Høst 18 Møter, prosjektmøter Prosjekter knyttet til Høst 17/ vår 18 Kjernejournal: 1. februar 2018 produktene: juridisk E-resept: 5. desember 2017 kontaktperson Helsenorge: 31. januar 2018

14 Oppdatert Produktgrupper Som over, Resultater fra kartlegging og GAPanalyse Løsningsgruppemøter Andre prosjekter eller avdelinger: Juridisk kontaktperson for produktene Grunndata: 20. november 2017 Høst 17/vår 18 Test: 6. februar 2018 Høst 17/ vår 18 Kjernejournal: 15. januar 2018 E-resept: 5. desember 2017 Helsenorge: 24. januar 2018 Grunndata: 20. november Ekstern kommunikasjonsplan Målgruppe Hovedbudskap Tiltak / kanal Ansvar Tid / frist Gjennomføringsdato Merknad Hele helse og omsorgssektoren Dette er GDPR, hvordan gjør du det i praksis ehelse.no Sommer 17/ vår 18 E-helses nyhetsbrev Aksel Se egen tabell 15. mars 2018 LinkedIn 22. februar 2018 Aksel normen.no Aasta 22. februar artikler med utvalgte temaer, se punkt 3 LinkedIn og Normen lenker til ehelse.no HOD GDPR Dette bør du sjekke Hva betyr GDPR for helse- og omsorgssektoren? Arbeidet med GDPR i Direktoratet for e- helse Intervju i Dagens medisin Aftenposten ol. Møter Birgitte Vår april 2018 Birgitte Britt Randi Sommer 18 Birgitte Høst 17/ vår august 2018 Christine 8. mai 2018 Prøve å få et oppslag

15 Oppdatert Helsedirektoratet Datatilsynet Fag- og arkitektur utvalget (NUFA) Prioriteringsutvalget (NUIT) NEHS RHF (lederlinje) NHN (viktig videreformidler) Helseforetak (nettverk for sikkerhetsledere og personvernombud) Helseforetak: - ledere - nettverk av sikkerhetsledere og personvernombud Dette samarbeider vi om Dette samarbeider vi om Møter, presentasjoner, dialog osv. Møter, dialog osv., felles arenaer Høst 17/vår august 2017 (om GDPRprosjektet) 25. september 2017 (om Grunndata) Marit 29. september 2017og 17. april 2018 (om Grunndata) Siril Høst 17, vinter juni 2018 (om utvalgte temaer i GDPR og prosjektet) Direktørmøte: 15. september 2017 Direktørmøte: 31. januar september november 2017 GDPR-prosjektet, spisset tema Møter Birgitte Sept. og nov. 17 GDPR-prosjektet, Møter Karl Høst november 2017 spisset tema GDPR - overordnet Møter Birgitte Høst desember 2017 Slik kan det gjøres Dette er GDPR for helsesektoren, spisset og konkret for helsesektor Møter Høst 17/ vår november 2017 Svare på konkrete spørsmål Fire møter med fire RHF med tilhørende HF, evt. tre ulike bolker; ledere, jurister, sikkerhetsfolk (GDPR turnè) Inviterer til halvdagsseminarer om innføring av GDPR i helse- og omsorgssektoren Linda, Siril Løpende bistand Vår/sommer 18 Helse Nord: 1. mars 2018 (Tromsø) Helse Sør-Øst: 11. april 2018 (Oslo) Helse Vest: 18. april 2018 (Bergen) Helse Midt: 11. juni 2018 (Stjørdal) Bruk eksisterende nettverk Vår april 2018 HOD, JD og 15. mai 2018 Datatilsynet stiller med foredragsholder

16 Oppdatert jurister mv. Nasjonalt sikkerhetsforum for helsenorge Leverandører Fag og interesseorganisasjo ner Eventuelt andre i statlige forvaltning DPIA Møter Vinter februar 2018 Roller, ansvar og databehandler under GDPR, Innebygd personvern bl.a for eksisterende løsninger Gjennomføres av eller via Normen Fag- og Hvordan gjør du det i interesseorganisasjo praksis? ner EPJ-løftet leverandørmøter Høst 17 / vår september 2017 Bruk eksisterende nettverk Dette hva GDPR betyr Møter Høst 17 / vår 18 Tilleggsoppdraget om bruk av private leverandører: - IKT-næringen: 13. september Fag- og pasientorganisasjoner: 14. september 2017 Det norske legeforening: 21. september 2017 Birgitte Ortopeditekniske Virksomheters Landsforbund: 5. desember 2017 Tannlegeforening: 20. september 2018 Svare på konkrete henvendelser, dialog ved prioriterte forespørsler, møter Råd/tips, faktaark (i regi av Normen) Siril Normen Høst 18 Mai 18 FHI: 6. november 2017 NPR: 2. februar 2018

17 Oppdatert Privatpraktiserende leger og andre små aktører Kommunehelsetjenesten (personvernombud) Hele helse og omsorgssektoren/ Normen-medlemmer Dette må du kontroll på GDPR-prosjektet, Dette hva GDPR betyr i praksis Veileder for små virksomheter KINS-turne med 8 møter, Kommit, K10 (samarbeid på ITområdet), Datatilsynet, DIFI, Senter for IKTutdanning og E-helse KINS konferanse Møter, Normkonferansen Normen Høst 18 Under arbeid Normen v/ Aasta Normen v/aasta Normen v/aasta Marit Høst 17/vår 2018 Høst november 2017 (Tromsø) desember 2017 (Gardermoen) januar 2018 (Bergen) januar 2018 (Kristiansand) februar 2018 (Trondheim) februar 2018 (Bodø) mars 2018 (Alta) mars 2018 (Gardermoen) juni 2018 (Tromsø) Styringsgruppesamling: 30. mai november 2017 Normkonferansen: 30. november 2017 KS/KINS samarbeid. Over 1600 deltakere fra hele landet. Konferansen får GDPR som tema 3. Publisering via ehelse.no/normen.no Alle tema er omtalt med helse- og omsorgssektoren som kontekst og særlovgivningen er tatt hensyn til. Nr. Temaer Ansvarlig Ferdigstilt/Publisert 1. Hva gjør du mens du venter på GDPR implementeringen i norsk lov Ferdigstilt:

18 Oppdatert Publisert: Høring om ny personopplysningslov (Lenke til høringen) Publisert: Direktoratets høringssvar (lenke til høringssvar) Publisert: GDPR Hva er det og hva er nytt? (PPT) Ferdigstilt: Publisert: Verktøy for implementering av GDPR - Mal for kartlegging - Rapport mal for kartlegging - Mal for GAP-analyse - Rapportmal for GAP-analyse 5. Databehandleravtaler - Innhold i databehandleravtale - Mal for databehandleravtale Ferdigstilt: Publisert: Ferdigstilt: Publisert: Den registrertes rettigheter ved behandling av helse- og personopplysninger Ferdigstilt: Publisert: Hjemmelsgrunnlag for behandling av personopplysninger (inkl. samtykke) Siril Ferdigstilt: Publisert: DPIA: - Innhold i DPIA - Mal for DPIA Tekster blir en del av oppdatert artikkel om "Verktøy for implementering av GDPR" 9. Innebygd personvern - Vurderingskriterier i DPIA Vurderingskriteriene er integrert i DPIA mal. 10. Personvernombudet (hvilke områder er det viktig å fokusere på, hvorfor må dere ha PVO, hvem må ha, hvem kan være) Ferdigstilt: Publisert: Linda (PVO) Som over Planlagt levert august/september Avviksoppfølging og melding (hva som må meldes, hvilke prosesser/rutiner dere må ha) Linda (PVO) Planlagt levert august/september 2018