KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL

Transkript

1 KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL Intro, personvern, informasjonssikkerhet og Normen Åpent kurs Oslo april 2019 Side 1

2 Myndighet Sørge for nasjonal styring og koordinering Nasjonale e-helseløsninger Få på plass og forvalte digitale løsninger som forbedrer og forenkler

3 Normens arbeid med informasjonssikkerhet og medisinsk utstyr Publiserte veileder desember 2015 Deltakere i referansegruppen fra AHUS, Datatilsynet, DSB, Helse Bergen, Helse Sør-Øst, Helsedirektoratet, Helse Vest IKT, HEMIT, St. Olavs Hospital, Stavanger universitetssjukehus, Sykehuset Telemark, Sykehuset Østfold, Vingmed AS / Medtek Norge. Revidert versjon 2017: Tatt inn lenke til generiske krav ved anskaffelser : Kurs for alle helseregioner basert på veilederen + 2 åpne kurs 2019: revisjon og åpne kurs 3

4 Mål med kurset Kurset skal bidra til å skape felles forståelse for trusler, krav og tilnærming til informasjonssikkerhet hos virksomheter som benytter medisinsk utstyr. Kurset skal hjelpe deltakerne til å implementere Normens krav til behandling av helse- og personopplysninger i medisinsk utstyr med tilhørende systemløsninger og applikasjoner på en praktisk måte.

5 Kursplan dag Introduksjon v/ Aasta M. Hetland Informasjonssikkerhet og personvern Lovverk Normen 1030 Medisinsk utstyr og digitale sårbarheter v/ HelseCERT 1130 LUNSJ Trusselbildet og cybersikkerhet for medisinsk utstyr Erfaring fra inntrengingstester 1215 Normens veileder for informasjonssikkerhet og personvern medisinsk utstyr v/ Jan Gunnar Broch Se Normens veileder for medisinsk utstyr personvern og informasjonssikkerhet Et ekstrakt av innhold fra Normens krav og anbefalinger fra kravspek til innføringsprosjekt i fordypningsdelen gjennomgås også 1400 Risikovurdering av informasjonssikkerhet, medisinsk utstyr v/andre Meldal, NHN Case / gruppearbeid 1515 Oppsummering, spørsmål 1545 Slutt Side 5

6 Kursplan dag Aktuelle faktaark og veiledere i Normen v/ Petter L. Andersen 1000 Normens krav v/ Jan Henriksen Tilgangsstyring og logging Tekniske og fysiske sikkerhetsløsninger Kommunikasjonssikkerhet Forholdet til leverandører - databehandleravtaler 1200 LUNSJ 1300 Normens krav og anbefalinger fra kravspek til innføringsprosjekt v/ Jan Gunnar Broch Krav til systemer (FA 38) og selvdeklareringsdokumenter Krav til medisinsk utstyr, se f.eks. Testdata Sikkerhetskrav i prosjektgjennomføring Eksempler fra foretakene i HSØ Tilsyn og regelverk, Bjørn Berge og Petter A. Strømm, Statens Legemiddelverk 1430 Normens fjernaksessveileder v/ Jan Henriksen Oppsummering, spørsmål 1530 Slutt Side 6

7 Videre denne første timen Tillit Informasjonssikkerhet Personvern Normen Side 7

8 VERDIFILMEN

9 Tillit gir trygghet Tillit gir god helse

10 Sentrale begreper Personopplysninger Særlige kategorier Helseopplysninger Dataansvarlig Databehandler Databehandleravtale Helseopplysninger er opplysninger som: «Taushetsbelagte opplysninger Med databehandler Helseforholdog vurderinger opplysninger menes den som (i som kan henhold knyttes behandler til helsepersonelloven Seksuelle til en helseforhold enkeltperson og personopplysninger 21) og andre på vegne opplysninger av den og vurderinger om Navn, Opplysninger fødselsnummer, om etnisitet bilde, og lydopptak helseforhold Avtale politiske databehandlingsansvarlige. mellom eller databehandler av betydning og for helseforhold, Telefonnummer, eller religiøse som forhold bilnummer, kan knyttes e- behandlingsansvarlig Formål om hvordan til en enkeltperson,..» postadresse, personopplysninger Medlemskap IP-adresse i fagforeninger skal behandles. osv. En databehandler er en ekstern person Den atferdsmønstre saksbehandling nedre terskelen for hva som eller virksomhet utenfor den omfattes Behandling er nok ganske lav. Det kan være databehandlingsansvarliges viktig å vite hvor skillet går. virksomhet Sensitive Ingen selvstendig personopplysninger råderett over Hjelpemidler underlagt opplysningene et strengere regelverk med bl. Fagsystem, EPJ-system, PACS, mv a krav om konsesjon fra Datatilsynet og strengere krav til informasjonssikkerhet. Med databehandlingsansvarlig menes den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes Pasientbehandling, forsking, kvalitetssikring, Lagring, innsamling, sletting, utlevering, mv 10 10

11 Informasjonssikkerhet Konfidensialitet X Personvern Integritet Tilgjengelighet Personopplysningsvern GDPR Personvernforordningen Digital Pasientsikkerhet Helselovgivningen Side 11

12 Personvern og informasjonssikkerhet to siste år

13 Hva kan gå galt? Fra vår «Spørsmål og svar»-tjeneste Undertegnede er pårørende til pasient med alvorlige kognitive svekkelser. ( ) på sykehjem. Det er kommet forespørsel fra avdelingen om tillatelse til å legge ut bilder på institusjonens facebookside. ( ) usikker på hvordan vi som pårørende skal forholde oss til at kommunehelsetjenesten bruker en åpen facebookside for en gruppe svært sårbare mennesker som ikke selv kan gi samtykke til, eller avslå, at det legges ut bilder av dem, og ikke vurdere om taushetsplikten brytes. ( )

14 Personvernrettighetene Rett til innsyn Rett til retting Rett til sletting Rett til begrensning Rett til å protestere Rettigheter ved automatiserte beslutninger Rett til dataportabilitet Informasjon Rettslig grunnlag Yte helsehjelp - hjemmel i lov Forskning - samtykke Databehandleravtale Personvern -highlights Risikovurdering og informasjonssikkerhet Personvernkonsekvensvurdering «God nok» sikkerhet egnede tiltak Kartlegging og protokoll F.eks.: Formål Hvem behandler data? Hvem utleverer vi til? Avvik Håndtering Varsle Datatilsynet Varsle de registrerte Leverandører og databehandlere Side 14

15 Pasientsikkerhet Vern mot unødig skade som følge av helse- og omsorgstjenestens ytelser eller mangel på ytelser. To aspekter (blant flere) som kan være av betydning: Brukbarhet («Useability») for IKT-systemer Tilgang til informasjon 15

16 I utgangspunktet er ikke personvern og pasientsikkerhet i konflikt En balansert tilnærming til personvern og pasientsikkerhet må alltid ta utgangspunkt i gode risikovurderinger, og reell ledelsesforankring

17 Bakgrunn Om Normen Normen Faktaark og veiledere Utadrettet virksomhet Kurs Normen er Norges første og største bransjenorm for informasjonssikkerhet og fra 2018 også for personvern Normen er åpent tilgjengelig via

18 Bakgrunn Om Normen Normen er til for Normen styres av en bredt sammensatt styringsgruppe Det daglige arbeidet koordineres av sekretariatet Alle virksomheter som ved avtale har forpliktet seg til å følge Normen i praksis de fleste av sektorens mer enn titusen virksomheter og deres leverandører og databehandlere Den offentlige tannhelsetjeneste Sekretariatet er plassert i Direktoratet for e-helse med fast representasjon fra Norsk Helsenett Strategi for Normen

19 Mål Nytteeffekter Normen skal Bidra til Fremme Normens nytteeffekter at en virksomhet som etterlever og innretter seg etter Normen har egnede tekniske og organisatoriske tiltak for informasjonssikkerhet og personvern for sin behandling av helse- og personopplysninger. Fremme en balansert tilnærming til konfidensialitet, tilgjengelighet, integritet og robusthet. Normen skal bidra til å understøtte gode helsetjenester, god pasientsikkerhet, ivaretakelse av taushetsplikten, pasienters, brukeres og ansattes personvern, og en aktiv pasientrolle samhandling ved at virksomheter som har forpliktet seg til å innrette seg etter Normens krav kan stole på at de har egnede tekniske og organisatoriske tiltak for informasjonssikkerhet og personvern på plass Forenkle arbeidet med informasjonssikkehet og personvern for virksomhetene som følger Normen Strategi for Normen Gjør det enklere å få på plass nødvendige sikkerhets- og personverntiltak 2. Bidrar til økt tillit til at sektoren behandler helse- og personopplysninger på en trygg måte 3. Bidrar til et harmonisert sikkerhetsnivå i sektoren 4. Bidrar til at sektoren har et godt kravstillingsverktøy til informasjonssikkerhet og personvern ved anskaffelser

20 STRATEGI Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten sektorens felles krav, verktøy og arena for informasjonssikkerhet og personvern Normen skal bidra til at virksomheter som følger Normen har egnede tekniske og organisatoriske tiltak på plass fremme samhandling gjennom tillit i helse- og omsorgssektoren fremme en balansert tilnærming til konfidensialitet, tilgjengelighet, integritet og robusthet forenkle arbeidet med informasjonssikkerhet og personvern Strategi Helse- og omsorgssektorens felles bransjenorm skal øke sin nytte og relevans gjennom forenkling tilgjengeliggjøring oppdatering effektiv utadrettet virksomhet tilpasning til personvernforordningen Prioriterte temaområder Pasient-/brukerrettigheter og personvern Leverandørkrav og - oppfølging Sekundærbruk Prioriterte målgrupper Ledelse Leverandører og databehandlere Små virksomheter

21 Andre aktiviteter i regi av Normen Nyhetsbrev Q&A epost (25.) november 2019 Moxy, Oslo N Minst 4 ganger årlig Påmelding sikkerhetsnormen@ehelse.no Kurs og foredrag Kurs Konferanser Foredrag Alle dokumentene Nyheter Om Normen Sosiale medier Normen på FB

22 Oppdatering og modernisering av Normen Godkjenning Datatilsynet Q V5.3 Versjon 6.0 Godkjenning Datatilsynet Norges første og største bransjenorm innen informasjonssikkerhet Godt forankret og i bruk i sektoren Fremmer samhandling og digitalisering Innarbeidet kravsett i sektoren Modernisert og omstrukturert Personvernforordningen Adferdsnorm etter art. 40 Nytt utseende Bruker- og leservennlighet - målgruppetilpasning Videre konkretisering av krav fra forordningen Pasientjournalforskriften Modernisering Nye/ endrede krav Oppdatering veiledningsmateriell Side 22

23 Personvern og informasjonssikkerhet er en forutsetning for digitalisering. Innbyggere må ha tillit til at helse- og omsorgssektoren helse- og personopplysninger på en trygg måte Side 23