Organisasjonsformer og databehandlingsansvar
|
|
- Astri Haaland
- 7 år siden
- Visninger:
Transkript
1 Organisasjonsformer og databehandlingsansvar Innledning Hva dokumentet omhandler Dokumentet baserer seg på et utvalg av organisasjonsformer hvor disse er forsøkt delt inn i noen få grupper. Gruppene er basert på at disse har tilsvarende interne forhold når det gjelder informasjonsbehandling og -sikkerhet. Det er ikke å vente at alle tenkelige organisasjonsformer er belyst. Det settes fokus på tre ting i dokumentet: Hvem som skal melde til Datatilsynet Hvem som er databehandlingsansvarlig Om, og eventuelt hvilket, avtaleverk som er nødvendig Noen begrepsforklaringer i dokumentet: Klinikk: Fysisk lokalisasjon hvor det er en naturlig inndeling som gjør at det oppfattes som en enhet. Gjerne en tannlegepraksis som markedsføres under et felles navn Dokumentet går lenger enn lovverket når det gjelder bruk av felles databaser og infrastruktur for samlokaliserte virksomheter når dette oppfattes som formalisert praksisfellesskap en klinikk. Dette gjøres fordi lovverket på dette punktet er i endring, og at formaliserte praksisfellesskap dermed vil bli lovlig i løpet av kort tid. Dette er for tannlegeforeningen en selvfølgelig utvikling av lovverket for å tilpasse dette til en fornuftig virkelighet og det anses derfor som naturlig å ta høyde for dette i rådgivningen på dette punktet. Målet med veiledningen nå er å anbefale en håndtering som er akseptabel i dagens situasjon og godt innenfor det nye lovverket. Forholdet til hjelpepersonell andre rutiner Dokumentet tar i utgangspunktet kun høyde for samarbeidet mellom tannleger. Tannpleiere stiller i helt tilsvarende situasjon og der vil anbefalingene overføres direkte. Når det gjelder tannhelsesekretærer eller annet hjelpepersonell er disse ikke tatt med i dette dokumentet. Forholdet til disse vil inkluderes i arbeidet med informasjonssikkerhet. Det er sett som mest sannsynlig at disse gruppene er ansatt. Organisasjonsform og kompleksitet vil også ha betydning for arbeidet med informasjonssikkerhet. Dette omtales heller ikke i dette dokumentet. Spesielt når det gjelder avtaleverket må det påpekes at når det her står "ingen avtaler nødvendig" henviser dette kun til samarbeidet mellom tannleger, ikke forholdet til eksterne samarbeidspartnere, nettverksleverandører o.l. Inndeling etter praksisformer 1. Selvstendige tannleger i solopraksis Fremdeles den vanligste formen for privat praksis. Tannlegen driver sin virksomhet alene. Den absolutt enkleste konstruksjonen. Tannlegen er både databehandlingsansvarlig og meldepliktig. Det behøves ingen avtaler internt, det er heller ingen å inngå avtaler med. 1
2 Databehandlingsansvarlig: Tannlegen Avtaleverk: Ingen interne avtaler nødvendig. 2. Selvstendige tannleger eller andre juridiske enheter med ansatte tannleger Enten en enkelt tannlege som driver klinikken og har andre tannleger eller tannpleiere ansatt, eller at det er opprettet et AS hvor tannlegene er ansatt. For AS spiller det ingen rolle om det er tannleger eller andre som eier aksjene, eller om man eier lite eller mye. Det vil være AS'et som er ansvarlig for informasjonssikkerheten. I den grad tannleger blir personlig stilt til ansvar vil det være som styremedlemmer, daglig leder eller lignende. Unntaket er at man selvfølgelig kan holdes personlig ansvarlig som autorisert helsepersonell i den grad man bryter lovverket i forbindelse med dette. Den enkleste samarbeidsløsningen. Så lenge det er et selskap som står for driften er dette selskapet databehandlingsansvarlig og skal melde til Datatilsynet. Man trenger heller ikke noe avtaleverk utover ansettelsen. Dette er uavhengig av om selskapet er et AS, ANS eller personlig eiet av en selvstendig næringsdrivende. Det er den juridiske enheten som er ansvarlig. Det vil for et AS si AS'et ved styret, eventuelt delegert til daglig leder. For en selvstendig næringsdrivende er denne personen personlig ansvarlig. Databehandlingsansvarlig: Den juridiske enheten Meldepliktig: Den juridiske enheten Avtaleverk: Ingen interne avtaler nødvendig. 3. Asymmetrisk samarbeid mellom selvstendige parter En annen vanlig organisasjonsform, som inkluderer både de tradisjonelle leietannlegemodellene og de nyere kontraktørmodellene. Kjennetegnet for disse samarbeidsformene er at det er en sterk part som i hovedsak eier og har betydelig innflytelse på driften av klinikken. Denne parten vil også i all hovedsak ha avgjørende myndighet i forhold til investeringer, rutiner osv. Dermed vil den sterke parten være hovedansvarlig. Igjen vil selvfølgelig den svakere parten være personlig ansvarlig i den grad lovverket stiller personlig ansvar. I denne gruppen plasseres leietannleger og kontraktører. Grunnen til at de kalles assymetriske er at det i disse tilfellene regnes at det er enten en tannlege eller et AS som eier klinikken med utstyr og pasientarkiv, og at den enkelte tannlege utfører et arbeid i praksisen uten å ha vesentlig kontroll over praksisens organisering, drift eller sikkerhetsarbeid innen IKT. Databehandlingsansvarlig: Eier av klinikken (uavhengig av om denne er tannlege, driftsselskap e.l.) Meldepliktig: Eier av klinikken Avtaleverk: Eier av klinikken skal inngå databehandleravtale med leietannlegene/kontraktørene. 2
3 4. Symmetrisk samarbeid mellom selvstendige parter Den mest uoversiktlige samarbeidsformen. Her er det vanskeligere å uten videre plassere ansvaret for informasjonssikkerheten. Derfor er denne også problematisk i forhold til lovverket. Kjennetegnet for samarbeidsformen er at tannleger med lik, eller tilnærmet lik, innsats og ansvar i klinikken, samarbeider under samme tak og navn. Utad opptrer man som en klinikk, under ett navn. Tannlegene har også i en del tilfeller samme pasientarkiv og tilgang til hverandres pasienter ved akutte behov. Innad er man forskjellige selvstendige virksomheter, og det praktiske og økonomiske er regulert av avtaler. Da bør man også regulere ansvaret for informasjonssikkerheten i en slik avtale. Dette er per i dag ikke lovlig, men ser ut til å bli lovlig i nær fremtid. NTF sier derfor ikke at man bør organisere seg slik, men dersom man allerede er organisert på denne måten bør man tegne en avtale inntil lovverket på området er klart. A: Separate baser og separat IT-infrastruktur (hver sin PC/server) Her vil hver enkelt tannlege/juridisk enhet være å betrakte som en selvstendig enhet og må ha sin egen databehandlingsansvarlig, melding til datatilsynet og system for informasjonssikkerhet. Databehandlingsansvarlig: Tannlegen Avtaleverk: Ingen B:. Separate baser, men felles IT-infrastruktur Her må man bli enige om hvem som har ansvaret for drift av IT-infrastruktur. Dette kan enten være en av tannlegene (vanligst), eller man kan sette tjenesten bort til en ekstern leverandør. Den enkelte tannlegen er da fremdeles databehandlingsansvarlig og den som tar ansvaret for drift av ITinfrastruktur er databehandler. Her må det inngås en databehandleravtale. Å ha ansvaret for IT-drift vil inkludere å ha ansvaret for systemet sikkerhet, bl.a. back-up, fysisk sikring, driftsstabilitet osv. Det betyr at man kan ikke uten videre peke på en IT-leverandør som har levert maskinvaren som databehandler. Ofte vil det være naturlig at en av tannlegene har dette ansvaret. Et annet alternativ er selvfølgelig å benytte seg av en helt ekstern drift av hele systemet og at man lokalt kun har klientmaskiner. Modellen har fordelen at databasene er adskilt og at man dermed juridisk sett er tryggere, men ulempen er at man ikke har tilgang til hverandres pasienter ved behov for akuttbehandling. Man kan ikke uten videre gi hverandre tilgang til alle databaser. Det ville kreve et ekstra sett med databehandleravtaler og er i utgangspunktet i gråsonen for hva som er lovlig. Det anbefales ikke å gjøre slike løsninger Databehandlingsansvarlig: Tannlegen Avtaleverk: Databehandleravtale med den som drifter IT-infrakstruktur 3
4 C: Felles baser og felles IT-infrastruktur Felles base for flere forskjellige virksomheter er ikke tillatt. Like fullt er dette en vanlig organisasjonsform både blant allmenpraktiserende tannleger og leger. Som en følge av dette har myndighetene igangsatt et betydelig arbeid for å både gjøre denne organiseringen lovlig, samtidig som informasjonssikkerheten ivaretas. I det vakumet som derfor finnes nå velger tannlegeforeningen å anbefale de som selv velger å opprettholde en slik løsning følgende råd. Det må understrekes at denne ikke er i tråd med dagens lovverk. Denne metoden vil likevel i vesenetlig grad bedre informasjonssikkerheten, og det er grunn til å tro at de tannlegene som gjør dette arbeidet vil unngå reaksjoner fra tilsynsmyndighetene inntil nytt lovverk foreligger. Det anbefales at man utpeker en av tannlegene som ansvarlig for IT-drift. Dette gjøres ved å tegne en felles avtale om IT-drift, heretter kalt Avtale om klinikkfellesskap. Avtalen skal undertegnes av alle involverte og peker ut en av de involverte som databehandlingsansvarlig. Den utpekte databehandlingsansvarlige har det overordnede ansvaret for at alle lovkrav oppfylles, gjerne ved å følge Veileder for personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten. Dette inkluderer både ansvaret for pasientinformasjon, tilgangsstyring, back-up osv. Et viktig aspekt i forhold til lovverket er å plassere ansvaret slik at man unngår uklarheter. Likevel er det påkrevd at alle involverte parter deltar i arbeidet med informasjonssikkerhet, gjerne ved at alle innblandede tannleger undertegner avtalen som solidarisk ansvarlige. En forutsetning for en slik avtale er god tilgangsstyring i pasientbasen. Det vil si at tilgangen en tannlege har til de andres tannlegenes pasienter begrenses. Det er ikke tillatt å åpne for at tannlegene har tilgang til hverandres pasienter når man har denne organisasjonsformen. Dagens systemer begrenser til en viss grad denne muligheten. Videre er det hensiktsmessig at tannlegene har tilgang til hverandres pasienter for akuttbehandling. Skulle man på dette grunnlaget, mot foreningens råd, velge å åpne for at flere eller alle tannleger skal ha tilgang til større deler av pasientarkivet bør man følge følgende råd: Det skal finnes rutiner for hvordan og når en tannlege skal ta seg tilgang til pasienter både egne og andres. F.eks.: Man skal kun gå inn i en pasients journal i forbindelse med at det skal gis behandling. Kun ansvarlig behandler eller den behandler denne eller pasienten gir tillatelse skal gå inn i en pasients journal. Annen behandlers tilgang til journal skal kun skje ved faglige behov. Andre behandlere kan gå inn på en pasientjournal uten ytterligere tillatelse kun når det foreligger et akutt behov og ansvarlig behandler ikke kan nås. Loggfunksjon må slås på. (Den skal jo være på uansett). Loggen skal rutinemessig kontrolleres for brudd på rutiner eller regler. Dersom blålysfunksjon er lagt inn i journalsystemet skal dette tas i bruk. Databehandlingsansvarlig: Den utpekte ansvarlige. Meldepliktig: Den utpekte ansvarlige eller det kan meldes inn en database med delt ansvar. Avtaleverk: Avtale om klinikkfellesskap. 4
5 Oversiktstabell Organisasjonsform Hvem har meldeplikt? Hvem er databehandlingsansva rlig? AS, ANS Selskapet Selskapet v/ledelse. Som regel delegert til daglig leder Selvstendig med ansatte tannleger Den selvstendig næringsdrivende eieren Den selvstendig næringsdrivende eieren Hvilken avtale behøver man? Ingen Ingen Eier leier Eier av databasen Eier av databasen Databehandleravtale Eier kontraktør Eier av databasen Eier av databasen Databehandleravtale solopraksis gruppepraksis separat IT gruppepraksis felles infrastruktur separate baser gruppepraksis felles infrastruktur og IT Tannlegen Tannlegen Ingen Den enkelte tannlege Den enkelte tannlege Ingen Den enkelte tannlege Den enkelte tannlege Databehandleravtale Utpekt ansvarlig (Nestor) Utpekt ansvarlig (Nestor) Avtale om klinikkfellesskap 5
Endelig kontrollrapport
Saksnummer: 13/01090 Dato for kontroll: 04.12.2013 Rapportdato: 22.05.2014 Endelig kontrollrapport Kontrollobjekt: Drammen Helsehus Sted: Drammen Utarbeidet av: Camilla Nervik Grete Alhaug Marius Engh
DetaljerAVTALEEKSEMPEL FOR GRUPPEPRAKSIS Avtaleparter Databehandlingsansvarlig
Virksomhet Lege 1 Lege 2 Lege 3 Lege 4 AVTALEEKSEMPEL FOR GRUPPEPRAKSIS Avtaleparter Organisasjonsnummer xxx xxx xxx xxx Databehandlingsansvarlig Meldingsnummer fra Datatilsynet 1 (Det skal kun sendes
DetaljerEndelig kontrollrapport
Saksnummer: 13/01089 Dato for kontroll: 08.11.2013 Rapportdato: 26.03.2014 Endelig kontrollrapport Kontrollobjekt: Byhagen legesenter Sted: Alta Utarbeidet av: Camilla G. Nervik Grete Alhaug Marius Engh
DetaljerStyret Helse Sør-Øst RHF 14. desember 2017
Saksframlegg Saksgang: Styre Møtedato Styret Helse Sør-Øst RHF 14. desember 2017 SAK NR 122-2017 ORIENTERINGSSAK - INFORMASJONSSIKKERHET OG PERSONVERN. NY PERSONVERNLOVGIVNING I EU/EØS (GDPR) Forslag til
DetaljerBEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger
BEST Helse Nordstrand Postboks 104 Bekkelagshøgda 1109 Oslo Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/01093-10/CGN 8. april 2014 BEST Helse Nordstrand pålegg om avslutning av urettmessig
DetaljerFagkurs for kommuner Ansvar og avtaler (45 minutter)
Fagkurs for kommuner Ansvar og avtaler (45 minutter) 1 Innhold 1. Definere sentrale begrep 2. Ansvar 3. Ansvar ved delegering av oppgaver 4. Ansvar og avtaler for databehandler 5. Avtale ved fjernaksess
DetaljerCloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.
Cloud computing en veileder i bruk av nettskytjenester En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. april 2011 Innledning Cloud Computing, heretter kalt Nettskyen, er en
DetaljerInnledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten
Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter
DetaljerEndelig kontrollrapport
Saksnummer: 13/01088 Dato for kontroll: 07.11.2013 Rapportdato: 26.03.2014 Endelig kontrollrapport Kontrollobjekt: Alta sykestue Sted: Alta helsesenter Utarbeidet av: Camilla Nervik Grete Alhaug Marius
DetaljerRapport informasjonssikkerhet Helgelandssykehuset 2015
Rapport informasjonssikkerhet Helgelandssykehuset 2015 1. Innledning I Oppdragsdokumentet 2015 punkt 4.4. Beredskap, er et av punktene: Området informasjonssikkerhet med tilhørende status på ROS [1] -analyser
Detaljer13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune
Kongsvinger kommune Fjellg 2 2226 KONGSVINGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato ARI/14/4710/K2- G90, K3-&40/ 13/01091-8/MEP 26. mars 2014 Vedtak om pålegg og endelig kontrollrapport
DetaljerKontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig kontrollrapport
Oppegård Kommune Postboks 510 1411 KOLBOTN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/137-11 13/01092-10/MEP 21. mai 2014 Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig
DetaljerNormens krav og anbefalinger fra kravspek til innføringsprosjekt. 31. oktober 2018
Normens krav og anbefalinger fra kravspek til innføringsprosjekt 31. oktober 2018 Agenda Anskaffelse Innføring Forvaltning og drift Krav til systemer (FA 38) og selvdeklareringsdokumenter Krav til medisinsk
DetaljerFormidling av pasientinformasjon ny lovgivning (i forbindelse med pasientbehandling) NSH
Formidling av pasientinformasjon ny lovgivning (i forbindelse med pasientbehandling) NSH 4.9. 2009 Kari Sønderland Ekspedisjonssjef Helse- og omsorgsdepartementet Lovendring 19.6. 2009 Åpner for tilgang
DetaljerKvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern
Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern Versjon 1.0-25.02.2018 Det er krav om innebygget personvern i tråd med personopplysningsloven. Innebygd personvern
DetaljerSviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.
Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.september 2012 Om Datatilsynet Et forvaltningsorgan med stor grad av faglig uavhengighet
DetaljerSamarbeid mellom virksomheter om felles journal
Samarbeid mellom virksomheter om felles journal En veileder med avtaleeksempler Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 2.1 www.normen.no INNHOLD
DetaljerVarsel om vedtak fra Datatilsynet - Overtredelsesgebyr
Side 1 av 6 Deres dato Deres referanse 26.10.2017 16/01531-54/GRA Saksbehandler: Håkon Iversøn Datatilsynet Postboks 8177 Dep 0034 OSLO Varsel om vedtak fra Datatilsynet - Overtredelsesgebyr Det vises
DetaljerSaksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato:
SAKSFRAMLEGG Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/9416-2 Dato: 28.10.14 HØRING - FORSKRIFT OM TILGANG TIL HELSEOPPLYSNINGER MELLOM VIRKSOMHETER â INNSTILLING TILBYSTYREKOMITÉ
DetaljerFORSLAG TIL FORSKRIFT OM VERKSEMDOVERGRIPANDE, BEHANDLINGSRETTA HELSEREGISTRE I FORMALISERTE ARBEIDSFELLESSKAP - HØYRING
HORDALAND FYLKESKOMMUNE Organisasjonsavdelinga Administrasjonsseksjonen Arkivsak 201113409-2 Arkivnr. 420 Saksh. Heggøy, Brit Mari Saksgang Møtedato Fylkesutvalet 22.02.2012-23.02.2012 FORSLAG TIL FORSKRIFT
DetaljerNorm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Personvernombud Støttedokument Faktaark nr. 35 Versjon: 2.1 Dato: 15.12.2010 Målgruppe Dette faktaarket er spesielt relevant for: Ansvar
DetaljerKort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen
Kort introduksjon til Normen Jan Henriksen Sekretariatet for Normen 1 Innhold 1. Litt om personvern og informasjonssikkerhet 2. Norm for informasjonssikkerhet 3. Risikovurdering 2 Trusler mot personvernet
DetaljerNytt i Normen Normkonferansen Aasta M. Hetland Jan Gunnar Broch Sekretariatet for Normen
Nytt i Normen Normkonferansen 2016 Aasta M. Hetland Jan Gunnar Broch Sekretariatet for Normen 2 Bransjenorm for informasjonssikkerhet i helse og omsorgssektoren gjennom 10 år har det vært rett medisin?
DetaljerForvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"
Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for
DetaljerOt.prp. nr. 51 ( )
Ot.prp. nr. 51 (2008-2009) Tilgang til behandlingsrettede helseregister på tvers av virksomhetsgrenser Kari Sønderland Ekspedisjonssjef Helse- og omsorgsdepartementet Formålet med lovforslaget Fjerne regelverksmessige
DetaljerLovlig journalbruk Oppslag i og bruk av Pasientjournalen
Lovlig journalbruk Oppslag i og bruk av Pasientjournalen 1 Oppslag i og bruk av pasientjournalen Journalen er et viktig verktøy for tilgang til og deling av informasjon mellom samhandlende helsepersonell.
DetaljerNy pasientjournallov endringer og muligheter
Helse- og omsorgsdepartementet Ny pasientjournallov endringer og muligheter Sverre Engelschiøn, fagdirektør Fornebu 2. februar 2016 Åpner mulighetsrommet (Prop. 72 L) Legge til rette for at opplysningene
DetaljerHVEM ER JEG OG HVOR «BOR» JEG?
DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller
DetaljerTRUST-IKT: Først i Norge med felles pasientjournal Hva har vi gjort? Erling Høyem Leder prosjekt og rådgiving
TRUST-IKT: Først i Norge med felles pasientjournal Hva har vi gjort? Erling Høyem Leder prosjekt og rådgiving Selskapsinformasjon Etablert 2003 Lokalisert i Lillehammer og 57 ansatte Kunder i hele skandinavia
DetaljerHøringsnotat: Enklere tilgang til helseopplysninger for kvalitetssikring av helsehjelp og egen læring
Helse- og omsorgsdepartementet Høringsnotat: Enklere tilgang til helseopplysninger for kvalitetssikring av helsehjelp og egen læring Endringer i helsepersonelloven 29 c Høringsfrist: 19. september 2019
DetaljerPersonvern og informasjonssikkerhet ved samhandling
Personvern og informasjonssikkerhet ved samhandling Helge Veum, senioringeniør Dataforeningens frokostmøte om samhandlingsreformen Oslo 29. november 2011 Agenda 1. Innledning 2. Tilgangsstyring 3. Logging
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerStyresak 131-2015/3 Samarbeid om felles journal i Helse Nord - informasjon
Møtedato: 25. november 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: H. Talsethagen Bodø, 13.11.2015 Styresak 131-2015/3 Samarbeid om felles journal i Helse Nord - informasjon Bakgrunn I forbindelse med konsolidering
DetaljerPersonvern og tilgang i journal Internt & Eksternt. Helge Veum, senioringeniør HelsIT, Trondheim, 25. september 2008
Personvern og tilgang i journal Internt & Eksternt Helge Veum, senioringeniør HelsIT, Trondheim, 25. september 2008 1. Personvern Mer enn hindre tilgang Mer enn informasjonssikkerhet Sentrale element:
DetaljerSTYRESAK. DATO: SAKSBEHANDLER: Brad Folsom SAKEN GJELDER: Informasjonssikkerhet i Helse Stavanger HF ARKIVSAK: 18/2 STYRESAK: 52/18
STYRESAK GÅR TIL: FORETAK: Styremedlemmer Helse Stavanger HF DATO: 15.06.2018 SAKSBEHANDLER: Brad Folsom SAKEN GJELDER: Informasjonssikkerhet i Helse Stavanger HF ARKIVSAK: 18/2 STYRESAK: 52/18 STYREMØTE:
DetaljerHvordan kan personvernet ivaretas i helsesektoren?
Hvordan kan personvernet ivaretas i helsesektoren? Bjørn Erik Thon direktør 06.10.2011 Side 1 Hva er personvern? - Noen viktige ord personverntanken. - Samtykke - Informasjon og innsyn - Selvbestemmelse/autonomi
DetaljerAvtale om leveranse av IKT-tjenester. Del II - Databehandleravtale
Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:
DetaljerInformasjonssikkerhet, personvern og tilgangsstyring
Informasjonssikkerhet, personvern og tilgangsstyring Foredrag HMR 19.-20.04. 2017 Øyvind Røset, Helseplattformen Tema o Hva er informasjonssikkerhet, personvern og tilgangsstyring? o Områdene sett i sammenheng
DetaljerSAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET
Sykehuset Innlandet HF Styremøte 30.01.18 SAK NR 005 2018 INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET Forslag til VEDTAK: 1. Styret tar informasjonen om informasjonssikkerhet
DetaljerTjenesteavtale nr. 9. mellom. Alta kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt
Endelig versjon 5. juni 2012. Tjenesteavtale nr. 9 mellom Alta kommune og Helse Finnmark HF Om Samarbeid om IKT-løsninger lokalt 1. Parter Denne avtalen er inngått mellom Alta kommune og Helse Finnmark
DetaljerHvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015
Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets
DetaljerInformasjon interesseorganisasjoner
Informasjon interesseorganisasjoner Behandling av personopplysninger ved gjennomføring av arbeidsrettede tiltak for NAV Implementering av databehandleravtale mellom tiltaksarrangør og NAV Datatilsynet
DetaljerJan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Normkonferansen 15. oktober 2014. Nytt i Normen
Hva er i Normen? Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Normkonferansen 15. oktober 2014 Normen med støttedokumenter Juridisk bindende ved avtale: Normen: Normen ( Code of conduct
DetaljerFORPROSJEKTRAPPORT. Pasientinformasjon
FORPROSJEKTRAPPORT Pasientinformasjon Gruppe: 29 Navn: Julie Angélique Widarsdatter Colle Klasse: 3AA Vår 2010 1.1 Presentasjon Prosjektoppgaven er en forskningsrettet oppgave med fokus på datasikkerhet,
DetaljerNoen utvalgte faktaark og veiledere. Åpent kurs
Noen utvalgte faktaark og veiledere Åpent kurs 31.10.2018 Norm for informasjonssikkerhet Bindende gjennom tilknytningsavtale med NHN Veiledere Faktaark Ikke bindende Normen ( Code of conduct ) og en del
DetaljerBedre helse og sikkerhet med EPJ
Bedre helse og sikkerhet med EPJ Helsit, 27. september 2007 Tor Arne Viksjø Adm. dir. DIPS ASA Mine tema Noen ord om hvem vi er Datasikkerheten med og uten EPJ Tilgangskontrollen i DIPS En kronikk i Aftenposten
DetaljerLovlig journalbruk Oppslag i og bruk av pasientjournalen
Lovlig journalbruk Oppslag i og bruk av pasientjournalen Stab fag og pasientsikkerhet Seksjon for personvern og informasjonssikkerhet OPPSLAG I OG BRUK AV PASIENTJOURNALEN Journalen er et viktig verktøy
DetaljerIntroduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1
Introduksjonskurs til Normen Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS 1 Innhold 1. Litt om personvern og informasjonssikkerhet 2. Norm for informasjonssikkerhet 3. Risikovurdering 4.
DetaljerDatabehandleravtale for NLF-medlemmer
Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av
DetaljerPersonvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?
Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR? Stab Fag, pasientsikkerhet og samhandling Avdeling for informasjonssikkerhet og personvern Hovedbudskap fra Datatilsynets
DetaljerPersonvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten
Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten - en veileder Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 2.0 www.normen.no
DetaljerLov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)
Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Kapittel 1. Generelle bestemmelser 1.Lovens formål Formålet med loven er at behandling av helseopplysninger skal skje
DetaljerDiabetesforbundet. Personvernerklæring
Diabetesforbundet Personvernerklæring Versjon Dato Utarbeidet av Godkjent av 1.0 01.06.2018 NN Sekretariatet 1.1 22.06.2018 GDPR-ansvarlig Sekretariatet INNHOLD 1 KRAV TIL PERSONVERNERKLÆRING... 2 1.1
DetaljerEndelig kontrollrapport
Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerInformasjonssikkerhet
Informasjonssikkerhet med spesielt blikk på administrative funksjoner Ingvild Stock-Jørgensen Juridisk seniorrådgiver UiT Norges arktiske universitet Innledning Om meg Tema for dagen Hva er informasjonssikkerhet
DetaljerStyresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon
Møtedato: 14. desember 2016 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen, 75 51 29 00 Bodø, 2.12.2016 Styresak 157-2016/4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2015
DetaljerHelseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud
Helseopplysninger på tvers - rammer for deling og tilgang HelsIT 15. oktober 2014 Marius Engh Pellerud Hva er personvern? 18.06.2014 Side 2 Retten til privatliv Selvbestemmelse Rett til å vite og forstå
DetaljerNormen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse
Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse Innhold Normen Normens krav ved pasientkommunikasjon Faktaark 54 - Videokonsultasjon 2 Norm for informasjonssikkerhet Gjelder
DetaljerDataanlegget på legekontoret lover, regler og Normen. Torstein Sakshaug Nidaroskongressen 2015
Velkommen! Kursbevis kommer på mail i neste uke Viktig å sjekke egen lunsjbillett! Ekstern lunsj ny restaurant Sosialt program billetter selges i sekretariatet Felles program åpningssesjon med standup
DetaljerHvis helseregisterloven 13 ikke fantes hva så?: Tilgang til journalopplysninger. trengs
Hvis helseregisterloven 13 ikke fantes hva så?: Tilgang til journalopplysninger der det trengs, når det trengs Ellen K.Christiansen Seniorrådgiver Nasjonalt senter for telemedisin Ellen.Christiansen@telemed.no
DetaljerPersonvern - sjekkliste for databehandleravtale
ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten
DetaljerSLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid
SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,
DetaljerSAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET
Sykehuset Innlandet HF Styremøte 29.08.18 SAK NR 061 2018 INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET Forslag til VEDTAK: Styret
DetaljerElektronisk tilgang til pasientopplysninger i Norge, EU-land og på tvers av landegrenser
Elektronisk tilgang til pasientopplysninger i Norge, EU-land og på tvers av landegrenser MedILog 2005 Eva Skipenes, Sikkerhetsrådgiver, NST eva.skipenes@telemed.no Nasjonalt Senter for Telemedisin Et ledende
DetaljerDatabehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.
I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale mellom xxx (behandlingsansvarlig) og Eigersund kommune (databehandler) Innhold 1. Om
DetaljerPersonvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten
Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten - en veileder Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.3 www.normen.no
DetaljerErfaringer fra konsolidering til regionale EPJ-system
Erfaringer fra konsolidering til regionale EPJ-system På vei mot én innbygger en journal HelsIT 2015 Bjørn Hugo Rise Seksjonsleder, DIPS ASA Sigurd From Chief Architect, DIPS ASA Overordnede mål for IKTutviklingen
DetaljerPOWEL DATABEHANDLERAVTALE
POWEL DATABEHANDLERAVTALE mellom Powel AS. Behandlingsansvarlig og «Navn på selskap». Databehandler Innhold 1 Formålet med Databehandleravtalen... 3 2 Definisjoner... 3 3 Formål med behandlingen... 3 4
DetaljerRisikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket
DetaljerDISKUSJONSNOTAT- ORGANISERING AV ADVOKATVIRKSOMHET
DISKUSJONSNOTAT- ORGANISERING AV ADVOKATVIRKSOMHET Fra mandatet (punkt 5): Utvalget skal gjennomgå reglene for organisering av advokatvirksomhet. Det skal vurderes hvilke foretaksformer som kan benyttes,
DetaljerUtviklingstrekk i tannhelsetjenesten
Utviklingstrekk i tannhelsetjenesten Næringspolitisk Forum - September 2010 Konst. generalsekretær Dag Erlend Reite Den norske tannlegeforening Hva innlegget tar sikte på Presentere enkeltfakta om utvikling
DetaljerTilgangskontroll i fugleperspektiv Tilgangskontroll i IT-systemer de fire A-er Administrasjon Autentisering Autorisasjon Audit (etterhåndskontroll) Av
Regulering av tilgang til informasjon på tvers av helseforetak Herbjørn Andresen herbjorn.andresen@arkivverket.no Min bakgrunn for dette emnet Tverrfaglig ph.d-avhandling, fra 2010: Tilgang til og videreformidling
DetaljerHva betyr det for din virksomhet?
Nye personvernregler i 2018 Hva betyr det for din virksomhet? I 2018 får Norge nye regler for personvern, når EUs forordning erstatter dagens regelverk. Alle virksomheter som behandler personopplysninger
DetaljerVår referanse (bes oppgitt ved svar) 201104476-/SVE 11/01317-2/BSO
Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104476-/SVE 11/01317-2/BSO Dato 16. mars 2012 Datatilsynets høringsuttalelse - Utkast
DetaljerDatabehandleravtaler. Tommy Tranvik Unit
Databehandleravtaler Tommy Tranvik Unit Spørsmål Hva er databehandlere? Når er det lovlig å bruke databehandlere? Hva må til for at fortsatt bruk skal være lovlig? Databehandlere i GDPR Leverandører av
DetaljerEPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE. Informasjonssikkerhet Jan Gunnar Broch PMU 2018
EPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE Informasjonssikkerhet Jan Gunnar Broch PMU 2018 Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten Nytteeffekter
DetaljerStyresak 69-2015 Orienteringssak - Informasjonssikkerhet
Direktøren Styresak 69- Orienteringssak - Informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 05.06. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Fremdriftsplan Bakgrunn I
DetaljerAvtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)
Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig
DetaljerTjenesteavtale nr. 9. mellom. Berlevåg kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt
Tjenesteavtale nr. 9 mellom Berlevåg kommune og Helse Finnmark HF Om Samarbeid om IKT-løsninger lokalt Parter Denne avtalen er inngått mellom Berlevåg kommune og Helse Finnmark HF Bakgrunn Denne tjenesteavtalen
DetaljerTiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011
Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser
DetaljerPasientjournalloven - endringer og muligheter
Pasientjournalloven - endringer og Sverre Engelschiøn Normkonferansen Åpner mulighetsrommet (Prop. 72 L) 2 Legge til rette for at opplysningene kan følge pasienten uavhengig av sektorens organisering og
DetaljerEtablering av felles journal i Helse Midt-Norge
Etablering av felles journal i Helse Midt-Norge Trondheim 2016-10-11 Paul Georg Skogen, Fagsjef Helse Nord-Trøndelag paulgeorg.skogen@helse-nordtrondelag.no / 41 10 25 10 Øyvind Hauge, Prosjektleder Helse
DetaljerVi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi
Vi vil ut I skyen hva gjør vi? Tilgangsstyring Foredrag på NIFS-møte 12.9.18 ved Seniorrådgiver Mari Vestre Difi Hva er tilgangsstyring? tilgangsstyring. Regler for å styre hvem som skal ha tilgang til
DetaljerAVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)
AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016, Artikkel 28 og 29, jf. Artikkel
DetaljerHvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?
Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon? Mari Hersoug Nedberg, rådgiver Ålesund, 4. September 2009 Hva er person(opplysnings)vern?
DetaljerVi vil i dette notatet gi en oppsummering av de rettslige spørsmålene som har betydning for valget av organiseringsform i NDLA.
NOTAT Advokatfirma DLA Piper Norway DA Torgallmenningen 3 B P.O.Box 1150 Sentrum N-5811 Bergen Tel: +47 5530 1000 Fax: +47 5530 1001 Web: www.dlapiper.com NO 982 216 060 MVA Til: NDLA v/ Øivind Høines
DetaljerForeldres tilgang til barns journal
Foreldres tilgang til barns journal Oppsummering fra risikovurdering Eva Henriksen Seniorrådgiver Informasjonssikkerhet og personvern Kvalitets- og utviklingssenteret, UNN N-BUP, Hamar, 21.04.2017 Bakgrunn
DetaljerDatabehandleravtaler
Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7
DetaljerSaksframlegg. Sørlandet sykehus HF. Informasjonssikkerhet. 1. Styret tar informasjonen om informasjonssikkerhet i helseforetaket til orientering.
Arkivsak Dato 12.10.2017 Saksbehandler Johan Krüger og Leif Steinar Brådland Saksframlegg Styre Sørlandet sykehus HF Møtedato 19.10.2017 Sak nr 076-2017 Sakstype Orienteringssak Sakstittel Informasjonssikkerhet
DetaljerFrisklivssentralen Verdal kommune. Oppstart 01. januar 2012
Frisklivssentralen Verdal kommune Oppstart 01. januar 2012 Friskliv på Innherred, Utviklingssentral Midt Norge 2014-2016 Friskliv på Innherred en partnerskapsmodell Frivillige lag og organisasjoner Private
DetaljerSammendrag - Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie
KS FoU-prosjekt 144008: Sammendrag - Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie April 2015 Advokatfirmaet Føyen Torkildsen -1- 1 Innledning Bruk av nettskyløsninger
DetaljerNår har vi plikt til å hjelpe?
Når har vi plikt til å hjelpe? NTFs symposium 14. 15. mars 2019 Dag Kielland Nilsen, Advokat NTF Moralsk og juridisk plikt for alle Å hjelpe er ikke et valg, det er en plikt Straffeloven 287 Med bot eller
DetaljerLovgivningens krav til sikkerhet ved outsourcing - offshoring
Lovgivningens krav til sikkerhet ved outsourcing - offshoring Advokat Arve Føyen FØYEN Advokatfirma DA Introduksjon Et konglomerat av lovgivning stiller rammer for outsourcing og offshoring av IKT tjenester
DetaljerRisikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.
Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.no OH 1 Agenda Hva er personopplysninger Personvern vs informasjonssikkerhet
DetaljerBransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde
Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde UNINETT-konferansen 2017 24.10.17 Jan Gunnar Broch Direktoratet for e-helse, sekretariatet for Normen Side 1 Myndighet Sørge for
DetaljerBehandling av helse- og personopplysninger ved legekontoret
Behandling av helse- og personopplysninger ved legekontoret - personvern og informasjonssikkerhet Jan Henriksen OH 1 Innhold 1. Litt om lover og forskrifter - personvern og informasjonssikkerhet 2. Krav
DetaljerStudenters tilgang til elektronisk pasientjournal
Studenters tilgang til elektronisk pasientjournal Helge Grimnes Personvernrådgiver Stab pasientsikkerhet og kvalitet Oslo universitetssykehus HF Seksjon for informasjonssikkerhet og personvern Helsepersonell,
DetaljerFrist for innspill: 1. november Mottaker etter liste
Mottaker etter liste Innspill til ny versjon av Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren, versjon 6.0 Vedlagt er utkast til versjon 6.0 av Norm for informasjonssikkerhet
DetaljerEierskapsmelding for. Frøya kommune Selskapsformer
Eierskapsmelding for Frøya kommune 2018 Selskapsformer Eierskapsmelding for Frøya kommune 2018 1 1.1 Selskapsformer Det er ulike selskapsformer som kan benyttes for organisering av kommunale oppgaver ved
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11
KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES
Detaljer