JAN HENRIKSEN. Seniorrådgiver informasjonssikkerhet og personvern

Transkript

1 JAN HENRIKSEN Seniorrådgiver informasjonssikkerhet og personvern Jan har opparbeidet erfaring fra sikkerhetsprosjekter innen bank, domstoler, eiendomsforetak, forsikring, forsvaret, forvaltningen, handel, helse, industri, kraftproduksjon og -distribusjon, luftfart, olje og gass, pensjonsfond, politi, shipping og universitet. Han har betydelig kunnskap om innhold og erfaring med tolkning, forståelse og bruk av lover og forskrifter som regulerer informasjonssikkerhet og personvern. Jan sitt spesialfelt er helseinformatikk og sikkerhet i helse og omsorgssektoren. Han har bl.a. utarbeidet samtlige dokumenter som utgjør Norm for informasjonssikkerhet, helse- og omsorgstjenesten (se Jan har vært foreleser ved Handelshøyskolen BI i faget informasjons- og datasikkerhet på bachelorstudiet Økonomi og IT-ledelse. Faget gir studentene innføring i informasjonssikkerhet og risikostyring bl.a. basert på ISO Han er valgt som medlem av den lovpålagte kontrollkomitéen i Verdipapirsentralen (VPS) for å dekke fagområdene informasjonssikkerhet og personvern. Oppgaven er å påse at styret i selskapet utfører sine oppgaver iht lov, forskrift og interne styrende dokumenter. VPS forvalter eierskap til finansielle instrumenter til en verdi av ca milliarder norske kroner. Kontrollkomitéen rapporterer til generalforsamlingen og Finanstilsynet. Han har også vært valgt som medlem av kontrollkomitéen i Oslo Clearing ASA. KARRIERE KONTAKTINFORMASJON Jan Henriksen Født: 11. november 1957 jan@infosec.no Skype: jan_henriksen1 INFOSEC Norge AS Hagajordet Bjørkelangen Verdipapirsentralen ASA Valgt av generalforsamlingen som medlem av kontrollkomiteen i selskapet Den norske Legeforening Foreleser i informasjonssikkerhet og personvern på obligatorisk kurs for allmennleger INFOSEC Norge AS Daglig leder og seniorrådgiver informasjonssikkerhet og personvern 1/10 CV JAN HENRIKSEN, SIST OPPDATERT 2016/07

2 Oslo Clearing ASA Valgt av generalforsamlingen som medlem av kontrollkomiteen i selskapet Handelshøyskolen BI Ansvarlig for oppbygging av faget og gjennomføring av samtlige forelesninger i informasjons- og datasikkerhet på bachelorstudiet Økonomi og IT-ledelse Romeriksbussene / Schøyens Bilcentraler Forretningsutvikler KPMG Senior sikkerhetsrådgiver INFOSEC og PC Kompetanse Senior sikkerhetsrådgiver og systemutvikler 1986 PA International AS Senior sikkerhetsrådgiver KDØ INFOSEC AS Senior sikkerhetsrådgiver Arthur Andersen & Co (Accenture) Senior konsulent Oslo Business School / Handelsakademiet Faglig assistent for faglærere i kvantitative fag (matematikk, statistikk og operasjonanalyse) UTDANNING 1986 Sikkerhetsleder Infosec-PROSAB AB, Stockholm 1981 Master business and administration Oslo Business School / Handelsakademiet PERSONLIGE REFERANSER Akershus fylkeskommune: direktør/fylkestannlege Kirsten Ahlsen, tlf Oslo kommune, Helseetaten: assisterende avdelingsdirektør Morten Skognes, tlf Statens vegvesen: avdelingsdirektør Anne-Cecilie Riiser, tlf Volvat Medisinske Senter: sjeflege Christian Loennecken, tlf /10 CV JAN HENRIKSEN, SIST OPPDATERT 2016/07

3 KOMPETANSE I INFORMASJONSSIKKERHET OG PERSONVERN - Etablere beredskapsplaner - Helseinformatikk - Internkontroll ift gjeldende lover og forskrifter - Norm for informasjonssikkerhet i helse- og omsorgstjenesten - Opplæring og kurs i informasjonssikkerhet og personvern - Organisering av sikkerhetsarbeidet - Prosjektledelse - Prosjektvurdering (organisering, teknologivalg, implementering) - Risikovurderinger / RoS-analyser (administrativ sikkerhet, fysisk, drift, nøkkelpersonell, organisering, teknisk, utvikling) - Selvdeklarering av programvare innenfor informasjonssikkerhet (Normen) - Sikkerhetsarkitektur - Sikkerhetsrevisjon (ISO 27002, Kravspesifikasjon for PKI i offentlig sektor, IKT-forskriften, lover og forskrifter generelt, Normen, Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor, tekniske løsninger) - Sikkerhetsstrategi - Styringssystem for informasjonssikkerhet iht ISO familien - utarbeide og implementere - System design - Systemtesting - Teknisk design ELEKTRONISK SAMHANDLING/HELSEINFORMATIKK - Implementering av nasjonale standarder under ebxml rammeverket (lab., røntgen, henvising, epikrise, dialog, sykemelding og behandlerkrav) - Implementering av eresept i journal/fagsystemer - Implementering og bruk av PKI - Informatikk i primærhelsetjenesten og spesialisthelsetjenesten BRANSJEKUNNSKAP - Departementer og direktorater - Domstoler - Eiendom - Finans/bank - Forsvaret - Fylker - Handel - Helse - Industri - Kommuner - Kraftproduksjon og -distribusjon - Luftfart - Offentlig transport - Olje og gass - Pensjonsfond - Politiet - Samferdsel - Shipping - Universitet IT-KUNNSKAP - Database design - Datamodellering 3/10 CV JAN HENRIKSEN, SIST OPPDATERT 2016/07

4 - Systemarkitektur / systemutforming - Systemprogrammering - Teknisk design ANNEN ERFARING - Styreleder i Ekelunden boligsameie, Lillestrøm - Glad i fiske og turer i fjellet fra hytta i Ål i Hallingdal - Hobbysnekker - Spilt fiolin hos Stephan Barrat Due senior PROSJEKTER Jan har bistått bl.a. følgende virksomheter med informasjonssikkerhet og personvern: - Akershus fylkeskommune - NAF-Data - Akershus universitetssykehus HF - Narvesen - Asker og Bærum sykehus HF - Nasjonalt kompetansesenter for - Aon Norway helsetjenesten - Apotek 1 - Nasjonalt pasientregister (NPR) - Apotekforeningen - NEMKO - Barne-, ungdoms- og familiedirektoratet - NOKUT - Color Line - Norges tannteknikerforbund - Compugroup Medical Norge - Norsk Eiendomsinformasjon - Den norske legeforening - Norsk Hydro - Den norske tannlegeforening - Norsk Medisinaldepot - Diakonhjemmet sykehus - Odda kommune - Domstolsadministrasjonen - OPEL Norge - Domstolsnett / Høyesterett - Orion Securities - Eiendomsverdi - Oslo Børs - Energiselskapet Asker og Bærum - Oslo kommune Barne- og familieetaten - Energiselskapet Buskerud - Oslo kommune - Helseetaten - ErgoGroup - Oslo kommune Utviklings og - Evry kompetanseetaten - Finansdepartementet - Oslo Lufthavn Gardermoen (OSL) - Finans Norge - Oslo Pensjonsforsikring - Folkehelseinstituttet - Politiets data- og materielltjeneste - Fransiskushjelpen - Posten Norge BA - Fylkesjukehuset i Haugesund - Radiumhospitalet - Fylkesnemdene - Rikstrygdeverket - Generaladvokaten - Ringerikskraft - Gjensidige NOR Sparebank - SAS - Grieg Holding AS - Siemens - Handelshøyskolen BI - Siemens Business Services - Helse Midt Norge RHF - Skan-Kontroll - Helse Midt-Norge IT (HEMIT) - Skanska - Helse Nord Norge - Skattedirektoratet - Helse Nordmøre og Romsdal - Sparebank 1 (14 SAMSPAR banker) - Helse Sør-Øst - St. Olavs Hospital HF - Helse Vest - Statens kartverk - Helsedirektoratet - Statens legemiddelverk - Hydro Polymers AS - Statens vegvesen - INCITA AS - Sunnaas Sykehus - Integrerings- og mangfoldsdirektoratet - Sykehusapotekene HF - Justisdepartementet - Sykehuset Innlandet HF - Kriminalomsorgen (KITT) - Tannhelsetjenesten i Akershus - Kommunenes sentralforbund - Tannlegeforeningen - Kværner Engineering - Telenor Objects - Lovisenberg Diakonale sykehus - Toll- og avgiftsdirektoratet - Luftfartstilsynet - Torvald Klaveness Gruppen - Medix - Ullevål universitetssykehus HF - Modum Bad - Uni Research 4/10 CV JAN HENRIKSEN, SIST OPPDATERT 2016/07

5 - Universitetet i Bergen - Universitetet i Oslo - Studenthelsetjenesten - Universitetssykehuset Aker HF - Viken Energinett - Vinmonopolet - Visma - Visma Software Labs - Volvat Medisinske Senter - Volvo Aero Norge - Værnesregionen IKT-samarbeid REFERANSEOPPDRAG NR 1. Akershus fylkeskommune Delprosjektleder for ELIN-T etablering av elektronisk samhandling i tannhelsetjenesten - Trinn 1 og Trinn 2. Prosjektledelse av journalsystemleverandør og tilhørende pilotklinikker for utvikling av meldinger (ebxml) hos leverandøren og pilotering av private tannklinikker, fylkeskommuner (den offentlige tannhelsetjenesten) og kjeveortopeder med bruk av meldingsstandarder (henvisninger, epikrise, dialogmelding, e-resept, sykemelding og behandlerkrav) og PKI. Ledelse av KITH-sertifisering for meldingsformidling. Bruk av Visma-levert kommunikasjonsprogramvare og Buypass virksomhetssertifikater og personlige sertifikater. Rapportert status til styringsgruppen for ELIN-T med representanter fra Akershus fylkeskommune (ved fylkestannlegen), Helsedirektoratet, Tannlegeforeningen, KS og Innovasjon Norge 2. Akershus fylkeskommune Periode: Utarbeidet kravspesifikasjon for meldingsformidling i tannhelsesektorene. Kravspesifikasjonen inneholder elementer som xbxml rammeverket, PKI, innholdsstandarder basert på XML, kodeverk og informasjonssikkerhet. Periode: Apotek 1 - Sikkerhetsrevisjon av fagsystemet Nagara ift krav fastsatt i Norm for informasjonssikkerhet, helse- og omsorgssektoren - Sikkerhetsgjennomgang av integrasjonsplattform ift Normen - Sikkerhetsgjennomgang av nettapotekløsning 4. Barne- ungdoms og familiedirektoratet (Bufetat) 5/10 CV JAN HENRIKSEN, SIST OPPDATERT 2016/07 Periode: pågående - Bistand i det løpende sikkerhetsarbeidet for direktoratet og underliggende etater - Sikkerhetsrevisjon av IKT Drift og brukerstøtte ift ivaretakelse av regulatoriske krav og ISO Risikovurdering av BIRK - Bistand ved etablering av ny teknisk plattform for behandling

6 NR av sensitive personopplysninger - Risikovurdering av løsning med bruk av CheckWare - Nasjonal sikkerhetsrevisjon av organisasjonens ivaretakelse av informasjonssikkerhet - Risikovurdering av datavarehusløsning Periode: Finans Norge Risikovurdering av - Klientløsning for fjernaksess saksbehandler/arkivløsning - Synkroniserings- og fjernarkiveringsløsningen - skytjeneste - Appen til økonomisystemet for tilgang til bl.a. attestering av fakturaer og økonomiske data - Sikkerhetsrevisjon av intern IT-avdeling ift ivaretakelse av regulatoriske krav Periode: pågående 6. Folkehelseinstituttet - Sikkerhetsrevisjon av teknisk løsning som benyttes til behandling av nasjonale helseregistre. Revisjonen er gjennomført ift kravene fastsatt i Norm for informasjonssikkerhet og ISO 27002: Risikovurderinger av Dødsårsakregisteret - Risikovurdering av SYSVAK - Sikkerhetsrevisjon av logging av tilgang til helseopplysninger i nasjonale helseregistre - Sikkerhetsrevisjon av 4 nasjonale kvalitetsregistre - Risikovurdering av fjernaksess og nytt design av Actice Directory - Etablering av løsning for sikring av koblingsfiler for forskningsprosjekter ved instituttet - Risikovurdering av løsninger for forskningfiler Periode: pågående 7. Helsedirektoratet Utarbeidet Norm for informasjonssikkerhet (Normen), versjon 2.0 i 2010, versjon 2.1 i 2012, versjon 3.0 i 2013, versjon 4.0 i 2014 og versjon 5.0 i Normen er basert på gjeldende regulatoriske krav og stiller krav til styringssystem for informasjonssikkerhet (ISO familien). Utarbeidet samtlige faktaark og veiledere til Normen. Se for samtlige dokumenter. Gjennomført kurs i Normen for tannleger og kommunalt ansatte (ca 1200 personer). Etablert selvdeklareringsordning for programvare som benyttes i helse- og omsorgssektoren (etablert under Normen). Prosjektleder for etablering av teknisk løsning for Nasjonalt pasientregister (NPR) ifm overføring av NPR til Helsedirektoratet. 6/10 CV JAN HENRIKSEN, SIST OPPDATERT 2016/07

7 NR Risikovurdering av: - 8 behandlervirksomheter i ELIN-B (kiropraktor, psykiater, psykolog, fysioterapeut, manuellterapeut) - E-Reseptløsningen - Internt nettverk og teknisk løsning - IPLOS (kommunenes rapportering av pleie- og omsorgstjenester) - Hjerte- og karregister i NPR - Nødnett - Pasient- og brukerombudet - Den offentlige tannhelsetjenesten i Akershus (OpusDental) - Teknisk løsning for Norsk Pasientregister (NPR) ifm overføring av registeret fra SINTEF til Helsedir Gjennomført sikkerhetsvurdering av fagsystemene for tannhelsetjenesten (OpusDental og Nextsys) for å verifisere at systemene oppfyller kravene til sikkerhet fastsatt i Normen. Sikkerhetsrevisjon av Nasjonalt Kunnskapssenter for helsesektoren. Etablering av Nasjonalt pandemi intensiv register (NOPIR) ifm svineinfluensaepidemien. Sikkerhetsrevisjon av intern IT i direktoratet. Sikkerhetsrevisjon av NAVs leveranse til Helsedir. Sikkerhetsrevisjon av NPR nasjonalt pasientregister. Sikkerhetsrevisjon av HELFO nasjonal løsning for refusjon til helsepersonell med refusjonsrett. Sikkerhetsrevisjon av E-resept nasjonal løsning for resepter. Periode: pågående 8. Helse Vest Utvikling av komplett styringssystem for informasjonssikkerhet for hele helseregionen. 9. HEMIT (Helse Midt- Norge IT) Periode: 2016 Risikovurdering av: - Akuttmedisinsk kommunikasjonssentral (AMK), drift av løsningen - Ambulanseløsning med kommunikasjon til helseforetak (corpuls) - AMK i helseregionen med teknisk sikkerhet og all kommunikasjon ut fra sentralen, fysisk sikkerhet og kommunikasjonssikkerhet (bl.a. AMIS) - Barne- og ungdomspsykiatrisksystem (BUP) 7/10 CV JAN HENRIKSEN, SIST OPPDATERT 2016/07

8 NR - Datasenter LAN - Digital diktering - DocuLive, drift av løsningen - Drift av applikasjoner i utlandet - HMN-LØ logistikk- og økonomisystem for helseregionen - Hjemmekontor og fjernaksess - Hjerteinfarktregister - MRS - Kjernesvitsjer Ritro1 og Ritro 2 - Kriseløsning for nettverk - Kurve-medisiniering-forordning (KMF) - Medisinsk sentralt register - Nasjonalt folkeregister i Norsk Helsenett SF - Overtakelse av PRS-drift - Sentrale IT-løsninger for regionen basert på personlige kvalifiserte sertifikater (PKI) - Talegjenkjenning - Video i helsehjelpen - Virtuelt driftsmiljø med bruk av PKI for personidentifisering og maskinidentifisering og signering - PAS/EPJ i et 10-års perspektiv 10. Nasjonalt organ for kvalitet i utdanningen (NOKUT) 11. Norsk Medisinaldepot AS (NMD) 12. Oslo kommune, Helseetaten Periode: Kvalitetssikring av krav til driftsleverandør av ny IKTplattform - Risiko- og sårbarhetsanalyse for hele virksomheten i NOKUT, men med hovedfokus på innføring av ny samhandlingsløsning og ny IKT-plattform fra ny driftsleverandør - Risiko- og sårbarhetsanalyse for hele virksomheten i NOKUT med fokus på å avdekke avvik som må sikres i en kriseplan for samfunnssikkerhet og beredskap - Rådgivning/bistand til etablering av et rammeverk for å ivareta samfunnssikkerhet og beredskap, - Verdivurdering av samtlige IT-systemer - Etablere styringssystem informasjonssikkerheten - Bistand ved etablering av teknisk løsning for fjernaksess - Risikovurdering av Public 360 for behandling av sensitive personopplysninger Periode: 2014 pågående - Sikkerhetsrevisjon av faktureringsprosessen fra apotek, via NMD og til Lindorff AS som databehandler Periode: Prosjektleder for etablering av løsning for bruk av elektronisk behandlerkravmelding til HELFO ved Allmennlegevakten og Legevakten Aker med bruk av PKI - Prosjektleder for integrasjon av journalsystemet Profdoc Vision med betalingsautomater ved Allmennlegevakten og Legevakten Aker Periode: pågående 8/10 CV JAN HENRIKSEN, SIST OPPDATERT 2016/07

9 NR 13. Oslo kommune, utviklings- og kompetanseetaten - Revisjon av arkitektur for teknisk løsning for Oslo kommune ift regulatoriske krav og Normen - Kartlegging av behandling av sensitive personopplysninger i Program for elektroniske tjenester ift regulatoriske krav og avtalekrav - Vurdering av SaaS-løsning som portalløsning for søknad om barnehageplass - Utarbeide styringssystem for informasjonssikkerhet for ITASløsningen Periode: pågående 14. St. Olavs Hospital Risikovurdering av: - Akuttmedisinsk kommunikasjonssentral (AMK) - Digital diktering - Elektronisk pasientjournal (EPJ), rekvisisjon og svar mot laboratoriesystemer (Sympathy, NSL og NSML) og EPJ - Fremtidens operasjonsstue - Hjemmekontor - Klinisk farmakologi - Spinalskaderegister - Tilgang for 3. part til sykehusets nettverk - WLAN Etterforskning og bevissikring ved sikkerhetsbrudd. 15. Statens legemiddelverk Periode: Bistand med vurdering av regulatoriske krav i kravspesifikasjon ved tjenesteutsetting av IKT-tjenester. Vurdering av bruk av skytjenester ift regulatoriske krav (personopplysningsloven, personopplysningsforskriften, legemiddelloven og forvaltningsloven) Periode: Statens vegvesen Bistand med verdivurdering og risikovurdering av systemer som benyttes i hele etaten. Systemene er både av nasjonal betydning og nye løsninger for fremtidens informasjon til alle typer trafikanter. Periode: Tannlegeforeningen Utvikling av e-læring i informasjonssikkerhet. Kurset er to-delt med en del for helsepersonell ved klinikken og en del for ansvarlig leder. 18. Universitetet i Bergen (UiB) Periode: 2013 Risikovurdering av - Elektronisk pasientjournal ved Institutt for klinisk odontologi - Løsning for lagring og bearbeiding av helsedata ifm forskning (Institutt for global helse og samfunnsmedisin (IGS)) - Revisjon av nettløsning for ivaretakelse av regulatoriske krav 9/10 CV JAN HENRIKSEN, SIST OPPDATERT 2016/07

10 NR ved forskningsprosjekter - Applikasjon og teknisk løsning for psykologisk fakultet - Ny teknisk løsning for behandling av sensitive personopplysninger ved universitetet 19. Visma Software Labs AS 20. Volvat Medisinske Senter Periode: pågående Risikovurdering av - Løsning for individuell plan - Løsning for mobilt barnevern - Løsning for pedagogisk psykologisk tjeneste - Løsning for velferdsteknologi Periode: pågående Risikovurdering av teknisk løsning. Etablert styringssystem for informasjonssikkerhet iht ISO 27001/2. Ifm revisjon av styringssystemet (gjennomført av Norsk Helsenett SF) desember 2011 ble styringssystemet og implementering karakterisert som svært vellykket og forbilledlig. Bistår i det løpende sikkerhetsarbeid. Prosjektleder for tilgangsstyring i DIPS. Periode: pågående 10/10 CV JAN HENRIKSEN, SIST OPPDATERT 2016/07