Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet

Størrelse: px
Begynne med side:

Download "Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet"

Transkript

1 Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.1

2 INNHOLD 1 INNLEDNING BAKGRUNN OM NORMEN OM VEILEDEREN MÅLGRUPPER NORSK HELSENETT DENNE VEILEDEREN I SAMMENHENG MED ANDRE DOKUMENTER DEFINISJONER KRAV TIL INFORMASJONSSIKKERHET VED KOMMUNENS TILKNYTNING TIL HELSENETTET KRAV TIL INFORMASJONSSIKKERHET FØR TILKNYTNING Etablere styringssystem for informasjonssikkerhet Gjennomføre risikovurdering Etablere konfigurasjonskontroll og dokumentasjon Etablere hendelsesregistrering Gjennomføre opplæring Ivareta taushetsplikt Etablere prosedyrer for tilgangsstyring Etablere prosedyrer for avviksbehandling Etablere evt. databehandleravtale Håndtere kommunesamarbeid i forbindelse med tilknytning til helsenettet Etablere sikkerhet i tilkoblingsløsningen Etablere kryptering Etablere meldingsformidling KRAV TIL INFORMASJONSSIKKERHET ETTER TILKNYTNING (I DRIFTEN) Kontrollere styringssystemet for informasjonssikkerhet Revidere risikovurderinger Gjennomføre sikkerhetsrevisjoner Identifisere og håndtere sikkerhetshendelser (avvik) Følge opp konfigurasjon og dokumentasjon Følge opp hendelsesregistrering Sikre at taushetsplikten overholdes Følge opp autorisasjon og tilgangsstyring Oppdatere Adresseregistret - HER Oppdatere løsninger mot ondsinnet programvare KRAV TIL INFORMASJONSSIKKERHET VED AVSLUTNING AV TILKNYTNINGEN TIL HELSENETTET Følge opp konfigurasjonsstyring Følge opp autorisasjon og tilgangsstyring Følge opp meldingsformidling TEKNISKE LØSNINGER REFERANSEMODELLER EKSEMPEL 1 ENKELT KOMMUNE EKSEMPEL 2 KOMMUNESAMARBEID MED FELLES SIKKER SONE OG FELLES SERVER EKSEMPEL 3 VERTSKOMMUNE OG INTERKOMMUNALT SELSKAP (IKS) EKSEMPEL 4 - KOMMUNE MED DATABEHANDLER Veileder kommune på helsenett V1.1 side 2 av 29

3 3.5 EKSEMPEL 5 - MODELL DER ALLE JURIDISKE ENHETER ER TILKNYTTET TIL HELSENETTET 26 4 REFERANSER VEDLEGG SJEKKLISTE - KRAV TIL INFORMASJONSSIKKERHET FØR TILKNYTNING TIL HELSENETTET SJEKKLISTE - KRAV TIL INFORMASJONSSIKKERHET ETTER TILKNYTNING (I DRIFTEN) TIL HELSENETTET SJEKKLISTE - KRAV TIL INFORMASJONSSIKKERHET VED AVSLUTNING AV TILKNYTNINGEN TIL HELSENETTET DELTAGERE I REFERANSEGRUPPEN FOR UTARBEIDELSE AV VEILEDEREN EGENSKAPER VED RUTEREN SOM NORSK HELSENETT UTPLASSERER Veileder kommune på helsenett V1.1 side 3 av 29

4 1 INNLEDNING 1.1 Bakgrunn I takt med at kommuner og fylkeskommuner skal tilknyttes helsenettet, er det behov for en veiledning for disse partene, da det er mange dokumenter, lover og regler å forholde seg til. Veilederen gir førende anbefalinger og råd om hva som må ivaretas av gjeldende tekniske og administrative krav til informasjonssikkerhet når en kommune eller fylkeskommune tilknyttes helsenettet. Denne veilederen angir kravene for tilknytning til helsenettet, innbefattet kravene til den basistjenesten som kalles meldingsutveksling (grunnleggende tilknytning). 1.2 Om Normen Norm for informasjonssikkerhet (Normen) ble lansert i august Normen skal bidra til tilfredsstillende informasjonssikkerhet hos den enkelte virksomhet, og i helsesektoren generelt. I tillegg skal Normen bidra til å etablere mekanismer og regler som sikrer at virksomhetene kan ha gjensidig tillit til at øvrige virksomheters behandling av helse- og personopplysninger gjennomføres på et forsvarlig sikkerhetsnivå. 1.3 Om veilederen Veilederen er utarbeidet for styringsgruppen for Normen, med støtte av, av selskapene Advokatfirmaet Wiegaard, INCERTUS og KITH, og kvalitetssikret av Pharos AS. Veilederen er utarbeidet i samarbeid med representanter fra sektoren (se kap. 5.4). Veilederen er avgrenset til å gi anbefalinger konkret om informasjonssikkerhet ved tilknytning til helsenettet. Generelle krav til informasjonssikkerhet, f.eks. i tilknytning til intern organisering, etablering av styringssystem for informasjonssikkerhet mv., er ikke behandlet her. For generelle informasjonssikkerhetsforhold henvises det til Normen. Veilederen tar ikke for seg de enkelte tekniske metodene/kravene fra Norsk Helsenett for tilknytning (valg av utstyr, linjekapasiteter, konfigurasjoner av nettverk, programvare eller den enkelte tjeneste). Dette er områder som ivaretas av Norsk Helsenett i form av tjenestebeskrivelser og avtaler (se Ved å legge tilleggstjenester oppå grunntilknytningen vil egne, skjerpede krav kunne gjelde. Slike tilleggskrav vil kunne følge av Normen og av egne avtaler om tilleggstjenestene, og er ikke behandlet nærmere her. Denne veilederen behandler teknologiske og administrative forhold. Bortsett fra Norsk Helsenett er den ikke knyttet opp mot spesifikke leverandører, tekniske løsninger eller produkter. Veileder kommune på helsenett V1.1 side 4 av 29

5 Av hensyn til enkelhet slås kommuner og fylkeskommuner sammen i teksten videre, og det henvises bare til kommuners tilknytning til helsenettet. 1.4 Målgrupper Målgruppene for veilederen er personell som har ansvar for, og oppgaver i forbindelse med, å knytte kommuner til helsenettet. Følgende vil være aktuelle brukere av denne veilederen: Personell med ansvar for IT og sikkerhet i kommunene Internt eller eksternt personvernombud Databehandler Norsk Helsenett (jfr. pkt. 1.5) I tillegg vil veilederen være aktuell for leder med formelt databehandlingsansvar i kommunen, dvs. rådmann (øverste administrative sjef i kommunen (i fylkeskommuner: fylkesrådmannen)). Enkelte aktører som benytter helsenettet i sin virksomhet, f.eks. fastleger, apotek og Statens legemiddelverk, vil kunne anse veilederen som et relevant verktøy i et kontinuerlig arbeid med å sikre trygg kommunikasjon gjennom helsenettet. En rekke ulike leverandører av konsulenttjenester innen sikkerhet og tekniske løsninger vil kunne ha nytte av veilederen i sitt arbeid for oppdragsgiverkommunen. Også underleverandører til Norsk Helsenett vil ha nytte av veilederen. Det er imidlertid hhv. kommunen og Norsk Helsenett selv som er ansvarlig for de leverandørene de benytter. Pasientombud, ledere og helsepersonell vil også kunne ha nytte av veilederen. 1.5 Norsk Helsenett Norsk Helsenett tilbyr kommunikasjonsløsninger gjennom helsenettet, som er den anbefalte infrastrukturen for samhandling og informasjonsutveksling i helsesektoren i Norge. Alle aktører, både offentlige og private, som samhandler i helsenettet må ha tillit til at andre virksomheter har tilfredsstillende informasjonssikkerhet på det nivået Normen krever. Alle virksomheter som er tilknyttet - eller vil knytte seg til - helsenettet, må derfor avtalerettslig forplikte seg, overfor Norsk Helsenett, til å følge Normen. Tilknytningsavtalen med Norsk Helsenett innebærer at virksomhetens forpliktelser vedrørende sikkerhet hos andre virksomheter er ivaretatt ved kommunikasjon via helsenettet. Norsk Helsenett er også selv forpliktet til å følge Normens krav etter tilknytningsavtalen for sine tjenester. Av denne grunn vil derfor Norsk Helsenett også være en målgruppe for denne veilederen. Veileder kommune på helsenett V1.1 side 5 av 29

6 Norsk Helsenett får ved selv å være forpliktet av Normen, og i kraft av å administrere helsenettet, en garantistrolle; de tilknyttede virksomhetene skal ha tillit til at all dataoverføring i helsenettet er sikret på det nivå som Normen krever. Brudd på Normen kan gi sanksjoner i henhold til tilknytningsavtalen, i alvorlige tilfeller utestengelse fra helsenettet. 1.6 Denne veilederen i sammenheng med andre dokumenter Denne veilederen må ses i sammenheng med andre dokumenter som det er aktuelt for kommunen å forholde seg til vedrørende informasjonssikkerhet. De viktigste er: Dokument Omhandler Kommentar Normen og tilhørende støttedokumenter (faktaark og veiledninger) Datatilsynets kommuneveileder (+ Datatilsynets øvrige, relevante veiledere som f.eks. tynnklientveilederen) Tilknytningsavtalen med Norsk Helsenett Merk: Denne avtalen kalles også "Normalavtalen" eller bare "Avtalen" Norsk Helsenetts tjenestebeskrivelser for kommuneløsningene Norsk Helsenetts tjenestebeskrivelser for tilleggstjenester Generelle krav til informasjonssikkerhet for virksomheter i helsesektoren Generelle føringer og anbefalinger for informasjonssikkerheten i kommunene Avtalevilkårene for kommunens tilknytning til Norsk Helsenett, herunder også forhold om informasjonssikkerhet Norsk Helsenetts egne løsninger for tilknytning til helsenettet Spesifikke vilkår og krav knyttet til tilleggstjenestene som Norsk Helsenett kan tilby til kommunene. Alle tilknyttet helsenettet, inkludert Norsk Helsenett selv, skal følge kravene i Normen. Normen finnes på: Rådene i Datatilsynets kommuneveileder, som er utarbeidet i samarbeid med kommunesektoren, vil gjelde i tillegg til anbefalingene i denne veilederen. Veilederen finnes på: Tilknytningsavtalen mellom Norsk Helsenett og kommunen er en privatrettslig avtale. Avtalevilkårene kan i prinsippet fremforhandles Kommuneløsningene er basert på fire modeller som skal dekke de fleste kommuners behov. Kommuneløsningene finnes på: For tilleggstjenestene vil det kunne være egne krav til informasjonssikkerhet utover grunnkravene i denne veilederen. Kravene oppgis av Norsk Helsenett, og vil også kunne følge av Normen Veileder kommune på helsenett V1.1 side 6 av 29

7 Sammenhengen mellom dokumentene i tabellen ovenfor er illustrert i figuren nedenfor: Veileder kommune på helsenett V1.1 side 7 av 29

8 1.7 Definisjoner Definisjoner er hentet fra Normen. Nye begrep er definert og samlet etter definisjoner fra Normen. Definerte ord er markert i kursiv i teksten. Definisjoner fra Normen Med autentisering menes i Normen prosessen som gjennomføres for å bekrefte en påstått identitet. Med autorisere/autorisert/autorisasjon menes i Normen at en person i en bestemt rolle kan gis eller er gitt bestemte rettigheter til lesing, registrering, redigering, retting, sletting og/eller sperring av helse- og personopplysninger. Autorisasjon kan bare gis i den grad det er nødvendig for vedkommendes arbeid, er begrunnet ut fra tjenstlig behov og er i henhold til bestemmelser om taushetsplikt. Med avvik menes i Normen enhver håndtering av helse- og personopplysninger som ikke utføres i henhold til gjeldende regelverk, retningslinjer og/eller prosedyrer samt andre sikkerhetsbrudd. Med behandling menes i Normen enhver formålsbestemt bruk av helse- og personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, jf. helseregisterloven 2 nr. 5 og personopplysningsloven 2 nr. 2). Med databehandler menes den som behandler helse- og personopplysninger på vegne av den databehandlingsansvarlige, jf. helseregisterloven 2 nr. 9 og personopplysningsloven 2 nr. 5. Det presiseres at en databehandler er en ekstern person eller virksomhet utenfor den databehandlingsansvarliges virksomhet. Det vil si at den databehandlingsansvarliges egne medarbeidere ikke er dennes databehandlere. Med databehandlingsansvarlig menes den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes, hvis ikke databehandlingsansvaret er særskilt angitt i loven eller i forskrift i medhold av loven, jf. helseregisterloven 2 nr. 8 og personopplysningsloven 2 nr. 4) (her benyttes begrepet behandlingsansvarlig ). Det presiseres at det er virksomheten som er databehandlingsansvarlig for behandling av helseog personopplysninger. Ansvaret skal ivaretas av den daglige ledelsen av virksomheten, og virksomheten er pliktsubjekt. Med helsenettet menes i Normen nettverket som tilbys av Norsk Helsenett SF. helse- og personopplysninger benyttes i Normen som en fellesbetegnelse for helseopplysninger og/eller personopplysninger innenfor Normens virkeområde. Med hendelsesregister menes i Normen et logisk register der hendelser i informasjonssystemet er nedtegnet, se neste definisjon. Veileder kommune på helsenett V1.1 side 8 av 29

9 Med hendelsesregistrering menes i Normen registrering av hendelser i et informasjonssystem, bl.a. med sikte på å forebygge, avdekke og hindre gjentagelse av sikkerhetsbrudd. Med integritet menes i Normen at helse- og personopplysninger må være sikret mot utilsiktet eller uautorisert endring eller sletting. Med kommune menes i Normen en juridisk enhet som kommune og fylkeskommune. Med konfidensialitet menes i Normen at helse- og personopplysninger må være sikret mot at uvedkommende får kjennskap til opplysningene. Med konfigurasjon menes i Normen informasjonssystemets utforming inklusive både teknisk utstyr og programvare. Med konfigurasjonsendring menes i Normen en endring av informasjonssystemets utforming som følge av installasjon, oppgradering eller fjerning av utstyr eller programvare. Med kvalitet menes i Normen at helse- og personopplysninger må være korrekte, oppdaterte, samt relevante og tilstrekkelige som grunnlag for å yte helsehjelp. Med Normen menes Norm for informasjonssikkerhet. Andre dokumenter i tilknytning til Normen, som for eksempel faktaark og veiledninger, er ikke omfattet av begrepet. Med Norsk Helsenett menes i Normen Norsk Helsenett SF. Med sikkerhetsnivå 4 menes i Normen to-faktor autentisering hvor en faktor er dynamisk basert på kvalifiserte sertifikater og ellers tilfredsstiller kravene til sikkerhetsnivå 4 i Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor. Med taushetsplikt menes i Normen lovpålagt eller avtalt plikt til å hindre at andre får adgang eller kjennskap til helse- og personopplysninger, jf. helsepersonelloven 21, helseregisterloven 15, sosialtjenesteloven 8-8 og forvaltningsloven 13 til 13e, samt annen informasjon med betydning for informasjonssikkerheten, jf. personopplysningsforskriften 2-9. Taushetsplikt innbefatter både en passiv plikt til å tie og en plikt til aktivt å hindre uvedkommende i å få kunnskap om taushetsbelagte opplysninger. Med tekniske tiltak menes i Normen tiltak av teknisk karakter som ikke kan påvirkes eller omgås av medarbeidere, og ikke er begrenset av handlinger som den enkelte forutsettes å utføre. Eksempler på slike tiltak kan være autentisering på sikkerhetsnivå 4 eller konfigurering av en brannmur slik at den kun tillater bestemt trafikk eller en meldingstjeneste som er laget slik at alle meldinger automatisk blir kryptert. Med tilgang menes i Normen at helse- og personopplysninger om en eller flere bestemte pasienter/brukere er eller gjøres tilgjengelige for autorisert personell. Beslutning om tilgang til behandlingsrettede helseregistre skal treffes etter en konkret vurdering basert på at det ytes helsehjelp til pasienten. Tilgang til fagsystemer i forbindelse med ytelser til pasient/bruker skal iverksettes basert på tjenstlig behov. Tilgang i forbindelse med kvalitetssikring og administrative oppgaver skal også besluttes ut fra tjenstlig behov. Veileder kommune på helsenett V1.1 side 9 av 29

10 Med tilgjengelighet menes i Normen at helse- og personopplysninger som skal behandles, er tilgjengelig til den tid og på det sted det er behov for opplysningene. Nye definisjoner Med DDos (Distributed Denial of Service, distribuert tjenestenektangrep) menes det at mange datamaskiner deltar i et organisert tjenestenektangrep mot et bestemt mål. Formålet med et slikt angrep vil være å hindre en eller flere tjenester (f.eks. e-post, web m.m.) i å fungere normalt. Med EDI (Electronic Data Interchange) menes elektronisk overføring av forretningsdata mellom IT-systemer i standardiserte formater. Med forretningsdata forstås informasjon som elektroniske og strukturerte dokumenter og blanketter. Et typisk eksempel er laboratoriesvar. Med "interkommunalt selskap" menes et selskap opprettet i samsvar med lov 29. januar 1999 nr. 6 om interkommunale selskap. Et samarbeid mellom flere kommuner og/eller fylkeskommuner hvor alle deltakerne er kommuner, fylkeskommuner (og/eller andre interkommunale selskaper), kan organiseres gjennom et interkommunalt selskap. Et interkommunalt selskap er et selvstendig rettssubjekt og er rettslig og økonomisk adskilt fra deltakerkommunene. Med "samarbeidskommune" menes i denne sammenheng kommune som etter avtale har overlatt oppgaver, f.eks. informasjonssikkerhetsoppgaver, til en annen kommune ("vertskommune", se egen definisjon) i samsvar med reglene i kommuneloven kapittel 5. Med sikker sone menes den delen (de delene) av kommunens informasjonssystem som behandler helse- og personopplysinger, hvor kun autoriserte brukere gis tilgang. Med "vertskommune" menes kommune som etter avtale har påtatt seg å utføre informasjonssikkerhetsoppgaver for en annen kommune ("samarbeidskommune", se egen definisjon) i samsvar med reglene i kommuneloven kapittel 5. Veileder kommune på helsenett V1.1 side 10 av 29

11 2 KRAV TIL INFORMASJONSSIKKERHET VED KOMMUNENS TILKNYTNING TIL HELSENETTET I dette kapitlet beskrives sikkerhetskrav når kommunen tilknyttes helsenettet. Kommunen har selv ansvaret for egen informasjonssikkerhet. Kommunen må etablere og vedlikeholde sikkerhetstiltak for å beskytte seg mot risikoen som er til stede ved å knytte seg til helsenettet, også selv om Norsk Helsenett fokuserer på sikkerhet og leverer sikkerhetsløsningene. Kommunen har ansvar for at kun parter som har underskrevet avtale om å etterleve Normen gis tilgang til helsenettet via kommunens tilknytning (f.eks. private sykehjem). Kapitlet er inndelt i krav før tilknytning og etter tilknytning (i driften). 2.1 Krav til informasjonssikkerhet før tilknytning Etablere styringssystem for informasjonssikkerhet Kommunens ledelse skal sørge for å ha etablert et styringssystem for informasjonssikkerhet. Kommunen bør bygge videre på allerede etablere systemer som måtte finnes, og vurdere om det må gjøres endringer i det som følge av tilknytningen til helsenettet. Norsk Helsenett kan, i henhold til tilknytningsavtalen, kreve dokumentasjon og innsyn i relevante deler av kommunens styringssystem. Tilsvarende kan kommunen kreve dokumentasjon og innsyn i relevante deler av Norsk Helsenetts styringssystem. Faktaark 2 Styringssystem for informasjonssikkerhet gir utfyllende informasjon Gjennomføre risikovurdering Basert på akseptkriterier skal kommunen gjennomføre risikovurdering før tilknytning til helsenettet. Risikovurderingen skal gjelde tilknytningen og tjenestene som tas i bruk i helsenettet (f.eks. meldingsformidling). Norsk Helsenett risikovurderer sin del av den tekniske løsningen. Det er likevel kommunen som er ansvarlig for at risikovurderingen blir gjennomført og dokumentert. Risikovurderingen bør minst omfatte tiltak: som skal forhindre uautorisert adgang til nettverksutstyret som skal sikre at datatrafikken blir initiert fra innsiden av sikkerhetsbarrieren som skal sikre at kun eksplisitt angitt trafikk kan passere sikkerhetsbarrieren som skal sikre at personer utenfor virksomheten, uansett ressurser og kunnskap, ikke skal kunne få tilgang til og/eller kunne endre eller slette helse- og personopplysninger. Veileder kommune på helsenett V1.1 side 11 av 29

12 Normen krever minst to uavhengige tekniske tiltak mellom eksterne nettverk og helse- og personopplysninger for å hindre uautorisert bruk av tilknytningen til helsenettet. Modeller med vertskommune og interkommunale selskaper bør risikovurderes særskilt fordi det kan være ulik bruk av helsenettet fra kommune til kommune for å hindre overføring av ondsinnet programvare for kryptering av helse- og personopplysninger som overføres til annen virksomhet over helsenettet som skal sikre at avvik oppdages (hendelsesregistrering og analyser av hendelsesregistre) Det heter i tilknytningsavtalen til Norsk Helsenett: Risikovurdering rundt kommunens tilgang til helsenettet skal utleveres på forespørsel. Denne er å betrakte som en del av Norsk Helsenetts bidrag til kommunens egen sikkerhetsdokumentasjon og sikkerhetsvurdering. Denne dokumentasjonen bør kommunen gjennomgå i forbindelse med sin risikovurdering. Selv om kommunen har satt enkelte oppgaver/tjenester ut til en databehandler eller en driftsleverandør, er kommunen ansvarlig for å risikovurdere også disse områdene. Kommunen kan gjerne få databehandleren/driftsleverandøren til å gjennomføre risikovurderingen, for eksempel ved at dette er tatt inn som et krav i avtaler med databehandler og/eller driftsleverandør. Faktaark 5 Fastsette akseptkriterier for tilgjengelighet, konfidensialitet, integritet og kvalitet og Faktaark 7 Risikovurderinger gir mer veiledning Etablere konfigurasjonskontroll og dokumentasjon Kommunen skal gjennom konfigurasjonskontroll ha oversikt over alt utstyr og programvare som benyttes i behandlingen av helse- og personopplysninger. Kommunen må etablere en prosedyre for godkjenning av konfigurasjonsendringer og oppdatering av dokumentasjonen når det gjøres endringer. Når vertskommunen eller et interkommunalt selskap benyttes i tilkoblingsløsningen skal konfigurasjonskartet vise dette. Før tilknytning til helsenettet gjelder konfigurasjonskontrollen spesielt for rutere, brannmurer med mer som brukes i datanettverket for den tekniske tilknytningen. Den bør også omfatte kommunikasjonsprogramvare (og eventuelt fagsystemer) som for eksempel brukes til kommunikasjon av EDI-meldinger i helsenettet. Dokumentasjonen bør inneholde: Et konfigurasjonskart som bør ha et detaljeringsnivå som viser: fysiske/logiske nettverk og deres inndeling i ulike nettverkssoner, TCP/IP adresser, VLAN, brannmurer, rutere, servere (enten logiske eller fysiske), eksterne kommunikasjonsliner, kryptering, eventuelle VPN, det bør angis på hvilke maskiner de ulike programsystemene kjøres I tilknytning til konfigurasjonskartet bør det utarbeides en tekstlig beskrivelse som viser logiske elementer og konfigurasjonsparametre som er vanskelig å visualisere i en tegning Norsk Helsenett tilbyr en konfigurasjonsbeskrivelse av tilknytningspunktet. Kommunen skal selv ha kontroll med tilknytningspunket. Veileder kommune på helsenett V1.1 side 12 av 29

13 2.1.4 Etablere hendelsesregistrering Kommunen skal etablere hendelsesregistre og prosedyrer for hendelsesregistrering, slik at den har en overordnet oversikt over aktiviteten i for eksempel et fagsystem eller datanettverk. Hendelsesregistrene skal gjøre det mulig å oppdage uønskede hendelser og forhindre gjentagelse. Kommunen skal ha prosedyrer: for hva som bør hendelsesregistreres for hvilke hendelser som skal varsles/rapporteres og hvordan disse følges opp Kommunen må minimum hendelsesregistrere: meldingstrafikk pålogging til applikasjoner med kommunikasjon mot helsenettet trafikk i sikkerhetsbarriere(r) mot helsenettet, herunder - forsøk på tilgang mot sikkerhetsbarrieren(e) både innenfra og utenfra - forsøk på å omgå brannmurregler som forbyr trafikk hendelser i operativsystemer som benyttes mot helsenettet Dette kommer i tillegg til hendelsesregistrering i fagsystemene for å oppfylle krav i helselovgivningen. Faktaark 15 - Hendelsesregistrering og oppfølging gir mer veiledning Gjennomføre opplæring Kommunen skal gi opplæring i informasjonssikkerhet til alle som bruker og/eller drifter informasjonssystemene. Opplæringen må gjennomføres før tilknytningen tas i bruk, men også når nye systemer/tjenester innføres og når nye medarbeidere begynner. Opplæringen bør omfatte: bevisstgjøring på kravene i Normen lederens ansvar vedr. bruk av helsenettet innføring i prosedyrer ved bruk av helsenettet for medarbeidere og samarbeidspartnere (f.eks. databehandler) tekniske forhold om helsenettet (spesielt for driftspersonellet) Faktaark 9 - Opplæring av ledere og medarbeidere gir mer veiledning Ivareta taushetsplikt Kommunen skal sikre at alle medarbeidere er bevisst taushetspliktens innhold og omfang. Taushetsplikten gjelder helse- og personopplysninger og annen informasjon med betydning for informasjonssikkerheten. Kommunen må sørge for at alle aktuelle ansatte er kjent med taushetsplikten og har signert taushetserklæring. Ved bruk av databehandler skal leverandørens personale ha undertegnet taushetserklæring. Veileder kommune på helsenett V1.1 side 13 av 29

14 2.1.7 Etablere prosedyrer for tilgangsstyring Kommunen skal etablere prosedyrer for tildeling, administrasjon og kontroll av tilgangsrettigheter (autorisasjon) ved bruk av helsenettet. Tilgang tildeles medarbeiderne etter roller og arbeidsoppgaver, men medarbeiderens rolle skal ikke alene gi tilgang til helseog personopplysninger og bruk av helsenettet. Faktaark 14 - Tilgangsstyring gir mer veiledning Etablere prosedyrer for avviksbehandling Kommunen må ha prosedyrer for hvordan avvik som involverer helsenettet skal oppdages og håndteres. Prosedyrene må ivareta at kommunen varsler Norsk Helsenett dersom det oppdages feil eller mangler i forbindelse med tilknytningen. Tilsvarende må kommunen kreve at Norsk Helsenett rapporterer avvik som angår kommunen. Faktaark 8 Avviksbehandling gir mer veiledning Etablere evt. databehandleravtale Kommunen kan benytte en databehandler ved tilknytning til helsenettet. I så fall skal kommunen og databehandleren inngå en databehandleravtale som dekker de behandlinger databehandleren foretar på vegne av kommunen. Forhold som bør tas i betraktning ved bruk av databehandler/leverandør, er nærmere beskrevet i Faktaark 10 - Bruk av databehandler (ekstern driftsenhet) Håndtere kommunesamarbeid i forbindelse med tilknytning til helsenettet Kommuner som samarbeider om felles IT-drift kan ha felles tilknytning til helsenettet. Den kommunen som tar på seg oppgaver for andre kommuner med tanke på tilknytning (og andre oppgaver i forbindelse med bruken av helsenettet) kalles for en vertskommune. De kommunene som overlater oppgaver til vertskommunen, kalles samarbeidskommuner. En slik samarbeidsmodell vil innebære at vertskommunen behandler helse- og personopplysninger på vegne av en eller flere samarbeidskommuner. I så fall vil vertskommunen være databehandler for samarbeidskommunen, og partene må inngå en databehandleravtale som sikrer at vertskommunen behandler helse- og personopplysningene i samsvar med kravene i Normen. Det er samarbeidskommunen - som er databehandlingsansvarlig og som overlater behandlingen av opplysningene til vertskommunen - som vil ha ansvaret for at en databehandleravtale blir etablert. Veileder kommune på helsenett V1.1 side 14 av 29

15 Etablere sikkerhet i tilkoblingsløsningen I henhold til Normen må kommunen etablere minst to uavhengige tekniske tiltak mellom helsenettet og kommunens helse- og personopplysninger. Dette kan oppnås ved valg blant følgende virkemidler: brannmur(er) settes opp med regler for å styre kommunikasjonsparter, tjenester og trafikkretning terminalserverløsning for styring av skillet mellom tilkoblingen til helsenettet og kommunens sikre sone VLAN for segmentering av kommunens interne nettverk katalogtjeneste i nettverket for å styre tilganger til helsenettet Dersom flere kommuner er tilknyttet helsenett, enten via en vertskommune eller et interkommunalt selskap, endrer det ikke kommunenes individuelle plikter. Det innebærer at hver kommune med rimelighet må forvisse seg om at helse- og personopplysninger den forvalter er forsvarlig sikret, herunder også i forhold til de øvrige kommunene som inngår i samarbeidet. Det innbefatter normalt en fysisk eller logisk segmentering av helse- og personopplysningene i samsvar med den enkelte kommunes ansvar. Avtaler og prosedyrer vil ikke alene være tilstrekkelig for å oppnå tilfredsstillende sikkerhet, de må suppleres med tekniske tiltak. Norsk Helsenett utplasserer en teknisk sikkerhetsløsning som kommunen må forholde seg til og inkorporere i sitt eget nettverk. Disse sikkerhetstiltakene fra Norsk Helsenett utgjør en del av sikkerheten i tilkoblingsløsningen. Eksempler på sikkerhetstiltak er at Norsk Helsenett: utplasserer en sikkerhetsbarriere (ruter/brannmur) som er ferdigkonfigurert inn mot kommunens sikre sone. Hovedhensikten med ruteren er å sikre helsenettet og aktører i helsenettet. Egenskapene til ruteren/brannmuren er angitt i vedlegg 5.5. gjennomfører sentrale tiltak for å hindre at ondsinnet programvare sprer seg til/fra kunder i helsenettet gir garanti for bl.a. opptid og tjenestekvalitet i nettet etter avtale med kunden gjennomfører overvåkning av nettet fra og med utplassert sikkerhetsbarriere hos kommunen Følgende ivaretas ikke av Norsk Helsenett og kommunen må selv: sørge for å kryptere helse- og personopplysninger før de sendes over helsenettet sørge for sikker autentisering av brukere ved tilgang til helse- og personopplysninger etablere løsninger mot ondsinnet programvare i kommunens interne nettverk Punktene ovenfor er et utgangspunkt når den enkelte kommune skal etablere tekniske løsninger. Avtalen med Norsk Helsenett vil gi ytterlige informasjon Etablere kryptering Overføring av helse- og personopplysinger i åpne nett skal krypteres. Helsenettet er ikke et kryptert nett. Veileder kommune på helsenett V1.1 side 15 av 29

16 Krypteringen skal gjøres fra kommunens sikre nettverkssone til kommunikasjonspartnerens nettverkssone hvor helse- og personopplysninger behandles. Faktaark 24 Kommunikasjon over åpne nett gir mer veiledning Etablere meldingsformidling Som nevnt beskriver ikke denne veilederen tjenester. Meldingsformidling er imidlertid en så grunnleggende tjeneste for bruk av helsenettet at basiskrav beskrives under dette punktet. Med meldingsformidling menes i denne sammenheng EDI-meldinger. Følgende momenter er sentrale: alle meldinger skal krypteres ende til ende, dvs. fra applikasjon til applikasjon (ebxmlrammeverket sikrer at dette er ivaretatt) kommunen bør som et minimum ha anskaffet og installert et virksomhetssertifikat for de meldingene der det er et krav, må det fremgå hvem som har sendt meldingen (virksomhet) ved hjelp av virksomhetssertifikatet (ebxml-rammeverket sikrer dette) det skal benyttes nasjonale meldingsstandarder der slike finnes (se kommunen er ansvarlig for rett adressering. Adressekatalogen HER benyttes løsningen som benyttes skal levere meldingene innen avtalte frister Norsk Helsenett er ansvarlig for å drifte en postkassetjeneste i helsenettet som skal benyttes for meldingsformidlingen om samarbeidskommunene eller et interkommunalt selskap benytter felles meldingsformildingssystem for flere kommuner gjelder de samme reglene for kryptering og adressering for den enkelte kommune Faktaark 16 Etablering av løsning for meldingskommunikasjon gir mer veiledning. 2.2 Krav til informasjonssikkerhet etter tilknytning (i driften) Her beskrives krav og anbefalinger som kommunen må ivareta så lenge den er tilknyttet helsenettet Kontrollere styringssystemet for informasjonssikkerhet Kommunens ledelse har ansvar for at det minimum én gang i året kontrolleres at styringssystemet for informasjonssikkerhet, som basis for tilknytningen til helsenettet, fungerer etter hensikten Revidere risikovurderinger Kommunen bør gjennomføre eller revidere eksisterende risikovurderinger når: nye tjenester/systemer blir innført og disse har betydning for informasjonssikkerheten avvik inntreffer og disse har betydning for informasjonssikkerheten endringer i konfigurasjonen blir gjennomført og disse har betydning for informasjonssikkerheten Norsk Helsenett endrer egne risikovurderinger kommunens organisasjon blir endret Veileder kommune på helsenett V1.1 side 16 av 29

17 det skjer endringer i bruken av databehandler, f.eks. ved tjenesteutsetting av kommunale tjenester det skjer endringer i en vertskommune eller i et interkommunalt selskap Gjennomføre sikkerhetsrevisjoner Kommunen skal gjennomføre sikkerhetsrevisjon (minimum årlig), som bl.a. skal omfatte tilknytningen til helsenettet. Hensikten med sikkerhetsrevisjonen er å kontrollere at: Normen følges det er etablert nødvendige sikkerhetstiltak og prosedyrer sikkerhetstiltakene og prosedyrene fungerer etter formålet Norsk Helsenett kan i henhold til tilknytningsavtalen kreve revisjon av kommunens styringssystem og tekniske løsning med en måneds skriftlig varsel. Kommunen, på sin side, kan kreve dokumentasjon på at Norsk Helsenett tilfredsstiller regelverkets krav til sikkerhetsrevisjon i Norsk Helsenetts egen virksomhet. Faktaark 6 - Sikkerhetsrevisjon gir mer veiledning Identifisere og håndtere sikkerhetshendelser (avvik) Kommunen skal påse at avvik behandles fortløpende i henhold til etablerte avviksprosedyrer. Avvik bør løses på det nivået i organisasjonen det oppstår. Korrigerende tiltak skal dokumenteres. Kommunen skal holde Norsk Helsenett oppdatert om alle hendelser som utgjør eller kan utgjøre en trussel mot sikkerheten i helsenettet. Norsk Helsenett skal holde kommunen oppdatert om alle hendelser som utgjør eller kan utgjøre en trussel mot sikkerheten i helsenettet. Ved stans i krypteringsløsningen mellom kommunen og kommunikasjonspartneren skal kommunikasjonen skrus av og det skal sendes melding til kommunikasjonspartneren om avviket. Videre kommunikasjon skal ikke være mulig før krypteringen er reetablert. Om avviket har medført uautorisert utlevering av helse- og personopplysninger med betydning for konfidensialiteten, skal Datatilsynet varsles. Faktaark 8 - Avviksbehandling gir mer veiledning Følge opp konfigurasjon og dokumentasjon Kommunen skal sørge for at det foreligger oppdatert dokumentasjon og konfigurasjonskart over tilknytningen til helsenettet Følge opp hendelsesregistrering Veileder kommune på helsenett V1.1 side 17 av 29

18 Kommunen må jevnlig gjennomgå hendelsesregistrene for å avdekke avvik. Kommunen bør foreta tilfeldig gjennomgang (stikkprøver) av utvalgte hendelsesregistre for å avdekke avvik som ikke fanges opp av daglige varslingsmekanismer og/eller rapporter. Alle hendelsesregistre skal oppbevares i minst tre måneder. Faktaark 15 - Hendelsesregistrering og oppfølging gir mer veiledning Sikre at taushetsplikten overholdes Kommunen bør jevnlig verifisere at egne nyansatte og databehandlers personale har undertegnet taushetserklæring Følge opp autorisasjon og tilgangsstyring Tilgang til bruk av helsenettet skal dokumenteres med opplysninger om hvem som er gitt tilgang og for hvilken periode tilgangen gjelder. Kommunen må jevnlig kontrollere tilgangsregistre for å avdekke uautorisert tilgang, samt deaktivere brukerkontoer som ikke er i bruk. Faktaark 14 - Tilgangsstyring gir mer veiledning Oppdatere Adresseregistret - HER Kommunen er i henhold til tilknytningsavtalen forpliktet til å holde relevante opplysninger om kommunen, med tilhørende kommunikasjonsparter, oppdatert i Adresseregisteret HER i henhold til de prosedyrer som til enhver tid gjelder for registeret Oppdatere løsninger mot ondsinnet programvare Kommunen skal løpende oppdatere løsninger som forhindrer overføring av ondsinnet programvare i helsenettet. 2.3 Krav til informasjonssikkerhet ved avslutning av tilknytningen til helsenettet Her beskrives krav og anbefalinger som kommunen må ivareta ved opphør av tilknytningsavtalen med Norsk Helsenett. Opphør av tilknytningsavtalen kan ha sin årsak bl.a. i: at kommunen ikke lenger ønsker å være tilknyttet kommunesammenslåinger at Norsk Helsenett avslutter avtalen som følge av brudd på bestemmelsene i avtalen Følge opp konfigurasjonsstyring Kommunen må revidere konfigurasjonskartet slik at kartet og eventuell annen dokumentasjon viser situasjonen etter at helsenettet er frakoblet. Veileder kommune på helsenett V1.1 side 18 av 29

19 Kommunen må endre regler og konfigurasjoner i brannmurer og rutere Følge opp autorisasjon og tilgangsstyring Alle autorisasjoner som er gitt for bruk av helsenettet trekkes tilbake. Alle tilganger som er gitt i ulike systemer og i nettverket, herunder brannmurer, trekkes tilbake Følge opp meldingsformidling Kommunen må endre adressater i alle systemer som sender meldinger via helsenettet slik at meldingene ikke kommer på avveie. Videre må kommunen sørge for å informere sine kommunikasjonsparter (f.eks. helseforetak mv.) om endret adresse. Veileder kommune på helsenett V1.1 side 19 av 29

20 3 TEKNISKE LØSNINGER REFERANSEMODELLER I dette kapitlet vises fem eksempler på tekniske løsninger (eksempel 1-5) for tilknytning av kommuner til helsenettet. Eksemplene er referansemodeller som viser anbefalte metoder for tilknytning og bruk for å ivareta krav i Normen. Referansemodellene tar ikke for seg tekniske løsninger internt i kommunen, men fokuserer på tilknytningsgrensesnittet mot helsenettet. Normen krever at all kommunikasjon med virksomheter/tjenester utenfor kommunen "fortrinnsvis" bør foregå ved hjelp av én kanal, dvs. én nettjenesteleverandør. For kommunen vil begrepet "fortrinnsvis" være vanskelig å etterleve idet kommunene har lovpålagte tjenester som kan kreve andre kommunikasjonskanaler (f.eks. nettverk mellom samarbeidende kommuner, eksterne løsninger for skoler, Internettforbindelse, forbindelse til leverandører for tjenesteutsatte områder som pleie og omsorg), og kan derfor bruke flere. Referansemodellene bygger på dette. Dersom det benyttes flere nettjenesteleverandører mot systemer hvor det behandles helse- og personopplysninger, må alle tilfredsstille kravene i Normen. I eksemplene benyttes begrepet "sikker sone" (i overensstemmelse med Datatilsyntes kommuneveileder). I praksis benyttes også begrepet "sensitiv sone" om sikker sone. I sikker sone plasseres alle systemer (f.eks. journalsystem) som inneholder helse- og personopplysninger. I figurene vil sikre soner være soner som er tilknyttet indre sikkerhetsbarriere. Datatilsynets kommuneveileder benytter ellers begrepet "intern sone". I intern sone plasseres alle systemer (f.eks. saksbehandlingssystem og økonomisystem) som ikke fører helse- og personopplysninger. I figurene vil intern sone tilknyttes ytre sikkerhetsbarriere. I eksemplene er det brukt begrepet felles sikker sone. Dette er en sone som er delt mellom flere kommuner. I en felles sikker sone må det være separate logiske registre for den enkelte kommune 1. 1 Tilgang på tvers av kommuner er bare mulig under forutsetning av at endringer i lovverket blir vedtatt Veileder kommune på helsenett V1.1 side 20 av 29

Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet

Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veilederen er et støttedokument til Norm for informasjonssikkerhet i helsesektoren Utgitt med støtte av:

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Fagkurs for kommuner Ansvar og avtaler (45 minutter) Fagkurs for kommuner Ansvar og avtaler (45 minutter) 1 Innhold 1. Definere sentrale begrep 2. Ansvar 3. Ansvar ved delegering av oppgaver 4. Ansvar og avtaler for databehandler 5. Avtale ved fjernaksess

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.1 Dato: 17.08.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet) Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 4.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang

Detaljer

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet) Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 3.0 Dato: 15.12.2010 Målgruppe Dette faktaarket er

Detaljer

Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner

Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner Veilederen er et støttedokument til Norm for informasjonssikkerhet www.normen.no Utgitt med støtte av: Versjon 1.2

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 1 Følger ikke råd fra Datatilsynet! To

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner

Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner Veilederen er et støttedokument til Norm for informasjonssikkerhet www.normen.no Utgitt med støtte av: Versjon 2.0

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. Cloud computing en veileder i bruk av nettskytjenester En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. april 2011 Innledning Cloud Computing, heretter kalt Nettskyen, er en

Detaljer

mellom leverandør og virksomhet

mellom leverandør og virksomhet Veileder for fjernaksess mellom leverandør og virksomhet Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 2.0 www.normen.no INNHOLD 1 INNLEDNING... 4 1.1

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1 Introduksjonskurs til Normen Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS 1 Innhold 1. Litt om personvern og informasjonssikkerhet 2. Norm for informasjonssikkerhet 3. Risikovurdering 4.

Detaljer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Tjenesteavtale nr. 9. mellom. Berlevåg kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt

Tjenesteavtale nr. 9. mellom. Berlevåg kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt Tjenesteavtale nr. 9 mellom Berlevåg kommune og Helse Finnmark HF Om Samarbeid om IKT-løsninger lokalt Parter Denne avtalen er inngått mellom Berlevåg kommune og Helse Finnmark HF Bakgrunn Denne tjenesteavtalen

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig

Detaljer

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN LÆRINGS- og GJENNOMFØRINGSPLAN Fagkurs i informasjonssikkerhet og personvern for kommuner basert på Normen Planen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.

Detaljer

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN LÆRINGS- og GJENNOMFØRINGSPLAN Fagkurs i informasjonssikkerhet og personvern for kommuner basert på Normen Planen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 2.0

Detaljer

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN LÆRINGS- og GJENNOMFØRINGSPLAN Fagkurs i informasjonssikkerhet og personvern for kommuner basert på Normen Planen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.1

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag. Tor Ottersen

Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag. Tor Ottersen Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag Tor Ottersen Bakgrunn Helse-, sosial- og omsorgssektoren er: Enorm både i antall årsverk og omsetning Organisatorisk fragmentert Har

Detaljer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.

Detaljer

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner Velkommen til Fagkurs i informasjonssikkerhet basert på Normen for kommuner 1 Mål for fagkurset (1) Deltakerne skal etter gjennomføring av kurset: Ha kunnskap om og kunne formidle hvorfor ivaretakelse

Detaljer

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud Helseopplysninger på tvers - rammer for deling og tilgang HelsIT 15. oktober 2014 Marius Engh Pellerud Hva er personvern? 18.06.2014 Side 2 Retten til privatliv Selvbestemmelse Rett til å vite og forstå

Detaljer

Videokonsultasjon - sjekkliste

Videokonsultasjon - sjekkliste Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Videokonsultasjon - sjekkliste Støttedokument Faktaark nr. 54 Versjon: 1.0 Dato: 08.06.2017 Sjekkelisten inneholder krav som skal ivaretas

Detaljer

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Personvernombud Støttedokument Faktaark nr. 35 Versjon: 2.1 Dato: 15.12.2010 Målgruppe Dette faktaarket er spesielt relevant for: Ansvar

Detaljer

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale tale Digitalt I henhold til personopplysningslovens depot 13, jf. 15 personopplysningsforskriftens kapittel 2. mellom Risa; ) cm1iwcwl 09 IKA Trøndelag IKS 1 Avtalens hensikt Avtalens hensikt er å regulere

Detaljer

Hvordan få tilgang til journalopplysning fra andre virksomheter

Hvordan få tilgang til journalopplysning fra andre virksomheter Hvordan få tilgang til journalopplysning fra andre virksomheter Avdelingssjef, KITH Tema Løsninger for utlevering og tilgang til helseopplysninger Utlevering ved hjelp av web-publisering Samhandlingsarkitektur

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato:

Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato: SAKSFRAMLEGG Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/9416-2 Dato: 28.10.14 HØRING - FORSKRIFT OM TILGANG TIL HELSEOPPLYSNINGER MELLOM VIRKSOMHETER â INNSTILLING TILBYSTYREKOMITÉ

Detaljer

Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner

Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner Veilederen er et støttedokument til Norm for informasjonssikkerhet i helsesektoren Utgitt med støtte av: Versjon

Detaljer

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN Norm for informasjonssikkerhet Helse- og omsorgstjenesten Tor Ottersen HVA - HVORFOR - HVORDAN Hva er Normen Et omforent sett av adferdsregler og tiltak Besluttet og forvaltet av sektoren, forankret i

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Kapittel 1. Generelle bestemmelser 1.Lovens formål Formålet med loven er at behandling av helseopplysninger skal skje

Detaljer

Databehandleravtale etter personopplysningsloven m.m

Databehandleravtale etter personopplysningsloven m.m Databehandleravtale etter personopplysningsloven m.m Databehandleravtale I henhold til personopplysningsloven 13, jf. 15 og personopplysningsforskriftens kapittel 2. Avtalen omhandler også håndtering av

Detaljer

Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Norm for informasjonssikkerhet Helse, omsorgs og sosialsektoren Utgitt med støtte av: Oslo, 2010 FORORD Stadig mer av arbeidet i helsesektoren er basert på elektronisk behandling av pasientenes opplysninger.

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Tjenesteavtale nr. 9. mellom. Alta kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt

Tjenesteavtale nr. 9. mellom. Alta kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt Endelig versjon 5. juni 2012. Tjenesteavtale nr. 9 mellom Alta kommune og Helse Finnmark HF Om Samarbeid om IKT-løsninger lokalt 1. Parter Denne avtalen er inngått mellom Alta kommune og Helse Finnmark

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Behov for oppdatering av EPJ standard som følge av regelverksendringer mv

Behov for oppdatering av EPJ standard som følge av regelverksendringer mv Behov for oppdatering av EPJ standard som følge av regelverksendringer mv Torbjørn Nystadnes, KITH SSP Brukerforum - Oslo 24. mars 2011 Temaer Tilgang internt i egen virksomhet Helsepersonelloven 45 samt

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01090 Dato for kontroll: 04.12.2013 Rapportdato: 22.05.2014 Endelig kontrollrapport Kontrollobjekt: Drammen Helsehus Sted: Drammen Utarbeidet av: Camilla Nervik Grete Alhaug Marius Engh

Detaljer

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel

Detaljer

Innholdsstandard (meldinger) ebxml-rammeverk (innpakking, adressering, transportkvittering, kryptering, autentisering, virksomhetssignatur)

Innholdsstandard (meldinger) ebxml-rammeverk (innpakking, adressering, transportkvittering, kryptering, autentisering, virksomhetssignatur) NOTAT Fra KITH v/bjarte Aksnes m.fl. Dato 29.03.06 Samhandlingsarkitektur for helsesektoren En viktig forutsetning for at aktører i helsesektoren skal kunne samhandle elektronisk på en god måte er at alle

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale. Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom.. (barnehagen) og MyKid AS. (databehandler) 1. Avtalens hensikt

Detaljer

Tjenesteavtale nr 9. mellom. Bardu kommune. Universitetssykehuset Nord-Norge HF. Samarbeid om IKT-Iøsninger lokalt

Tjenesteavtale nr 9. mellom. Bardu kommune. Universitetssykehuset Nord-Norge HF. Samarbeid om IKT-Iøsninger lokalt UNIVERSITETSSYKEHUSET NORD-NORGE DAVVI NORCCA UNNERS:TEHTABUOHCCEVIESSU BARDU KOMMUNE Tjenesteavtale nr 9 mellom Bardu kommune og Universitetssykehuset Nord-Norge HF om Samarbeid om IKT-Iøsninger lokalt

Detaljer

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim Vedlegg 14 Behandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Behandleravtale for [billetteringssystem] Denne avtale er inngått mellom AtB AS («AtB») og XXXX («Operatøren») 2 1 Avtalens bakgrunn og

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Kompetanse Norge Behandlingsansvarlig og xx Databehandler 1 1. Avtalens hensikt

Detaljer

Norm for informasjonssikkerhet i helsesektoren

Norm for informasjonssikkerhet i helsesektoren Norm for informasjonssikkerhet i helsesektoren Utgitt med støtte av: Oslo, 2006 FORORD Stadig mer av arbeidet i helsesektoren er basert på elektronisk behandling av pasientenes opplysninger. Likeledes

Detaljer

IS-7/2006. Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler

IS-7/2006. Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler IS-7/2006 Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler Heftets tittel: Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler

Detaljer

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN LÆRINGS- og GJENNOMFØRINGSPLAN Instruktørkurs i informasjonssikkerhet basert på Normen for helseforetak, regionale helseforetak og deres IKT-driftsenheter Kurs i informasjonssikkerhet for utvalgte grupper

Detaljer

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten - en veileder Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 2.0 www.normen.no

Detaljer

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2. Databehandleravtale for Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus Vedlegg 10 Databehandleravtale Versjon 2.4 Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus Avtaleskisse

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Rapport informasjonssikkerhet Helgelandssykehuset 2015 Rapport informasjonssikkerhet Helgelandssykehuset 2015 1. Innledning I Oppdragsdokumentet 2015 punkt 4.4. Beredskap, er et av punktene: Området informasjonssikkerhet med tilhørende status på ROS [1] -analyser

Detaljer

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten - en veileder Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.3 www.normen.no

Detaljer

Veileder for bruk av tynne klienter

Veileder for bruk av tynne klienter Veileder for bruk av tynne klienter Dette dokumentet er en veileder for bruk av terminaltjener/klient (tynne klienter) for å skille samtidige brukerrettigheter i åpne og sikre soner. April 2005 Postadresse:

Detaljer

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Personvern og informasjonssikkerhet i kontakten med pasient/bruker Personvern og informasjonssikkerhet i kontakten med pasient/bruker En veileder i bruk av portalløsninger, SMS og e-post Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte

Detaljer

Personvern og informasjonssikkerhet for apotek

Personvern og informasjonssikkerhet for apotek Personvern og informasjonssikkerhet for apotek - en veileder Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av Versjon 1.1 www.normen.no INNHOLD 1 INNLEDNING... 5

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Lagring av forskningsdata i Tjeneste for Sensitive Data

Lagring av forskningsdata i Tjeneste for Sensitive Data AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER Lagring av forskningsdata i Tjeneste for Sensitive Data Tekst i kursiv skal fjernes og erstattes med relevant tekst, evt. velges ett av flere alternativer. 1

Detaljer

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fellesforbundet avdeling.. Org.nr.:. Behandlingsansvarlig og Fellesforbundet Org.nr.:

Detaljer

Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger mellom virksomheter

Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger mellom virksomheter Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse Dato 14/3724-14/01084-2/EOL 14. november 2014 Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger

Detaljer

Krav til elektronisk meldingsutveksling

Krav til elektronisk meldingsutveksling Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren Veiledende dokument inntil ikrafttredelse besluttes. Ikrafttredelse som obligatoriske krav besluttes av Styringsgruppen på et senere

Detaljer

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling

Detaljer

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Nr Sjekkpunkt Faktaark /ikke ok Beskrivelse 7 Ikke ok Er gjennomført en rekke ROS-analyser vedr. FIKS. Det mangler i vesentlig

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Delavtale mellom Sørlandets sykehus HF og Lund kommune

Delavtale mellom Sørlandets sykehus HF og Lund kommune Delavtale mellom Sørlandets sykehus HF og Lund kommune Delavtale nr. 9 Samarbeid om IKT-løsninger lokalt Enighet om hvilke plikter og ansvar som partene er ansvarlig for, knyttet til innføring og forvaltning

Detaljer

Samarbeid mellom virksomheter om felles journal

Samarbeid mellom virksomheter om felles journal Samarbeid mellom virksomheter om felles journal En veileder med avtaleeksempler Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 2.1 www.normen.no INNHOLD

Detaljer

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012 Stavanger Universitetssjukehus Helse Stavanger HF Fag- og foretaksutvikling Datatilsynet v/ Helge Veum Postboks 8177 Dep 0034 OSLO Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Firma:. behandlingsansvarlig og

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Norm for Informasjonssikkerhet i Helsesektoren. Tor Ottersen

Norm for Informasjonssikkerhet i Helsesektoren. Tor Ottersen Norm for Informasjonssikkerhet i Helsesektoren Tor Ottersen Dilemma Konfidensialitet Ivareta pasientens integritet ved å beskytte alle opplysninger. Tilgjengelighet Pasienten skal sikres forsvarlig (best

Detaljer

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Personvern og informasjonssikkerhet i kontakten med pasient/bruker Personvern og informasjonssikkerhet i kontakten med pasient/bruker En veileder i bruk av portalløsninger, SMS og e-post Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte

Detaljer