Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Størrelse: px
Begynne med side:

Download "Personvern og informasjonssikkerhet i kontakten med pasient/bruker"

Transkript

1 Personvern og informasjonssikkerhet i kontakten med pasient/bruker En veileder i bruk av portalløsninger, SMS og e-post Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 2.0

2 INNHOLD 1 INNLEDNING BAKGRUNN OM VEILEDEREN MÅLGRUPPE LOVGRUNNLAG / HJEMMEL VIRKSOMHETENS ANSVAR VED KOMMUNIKASJON MED PASIENTEN/BRUKEREN BRUK AV SMS I KONTAKT MED PASIENTEN/BRUKEREN ETABLERING AV SMS-LØSNING Bruk av SMS Avtale med tjenesteyter - databehandler Samtykke fra pasienten/brukeren INNHOLD I SMS TEKNISK LØSNING FOR SMS Hendelsesregistrering ved utsendelse og mottak av SMS EKSEMPEL 1 - TEKNISK LØSNING FOR SMS EKSEMPEL 2 - TEKNISK LØSNING FOR SMS BRUK AV E-POST I KONTAKT MED PASIENTEN/BRUKEREN E-POST SOM IKKE INNEHOLDER HELSEOPPLYSNINGER E-POST SOM INNEHOLDER HELSEOPPLYSNINGER INNHOLD I E-POST: KRAV TIL INFORMASJONSSIKKERHET I PASIENTKOMMUNIKASJON SAMTYKKE AVTALER RISIKOVURDERING BRUK AV FØDSELSNUMMER DRIFT OG KONFIGURASJONSENDRINGER ONDSINNET PROGRAMVARE KRYPTERINGSSTYRKE HENDELSESREGISTRERING INTEGRITET OG KVALITET TILGJENGELIGHET FOR PASIENTKOMMUNIKASJON AVVIK KRAV TIL INFORMASJONSSIKKERHET I PORTALLØSNINGER PASIENTEN/BRUKERENS RETT TIL INNSYN, RETTING OG SLETTING OPPLÆRING AUTORISERING AUTORISASJONSREGISTER AUTENTISERING HENDELSESREGISTRERING TEKNISK LØSNING KONFIDENSIALITET EKSEMPEL 1- PORTALLØSNING HELSEPERSONELL DRIFTER PORTALEN EKSEMPEL 2 - PORTALLØSNING - HELSENORGE.NO Veileder for portaler sms og e-post versjon 2 side 2 av 39

3 5.11 EKSEMPEL 3 - PORTALLØSNING - PRIVAT BRUK DEFINISJONER VEDLEGG EKSEMPEL PÅ SAMTYKKEERKLÆRING VED BRUK AV PASIENTKOMMUNIKASJON Eksempel på samtykkeerklæring ved bruk av portalløsning EKSEMPEL PÅ RISIKOVURDERING DELTAGERE I UTARBEIDELSE AV VEILEDEREN Endringshistorikk for og godkjenning av dokumentet Versjon Endringer Godkjent av styringsgruppen for Normen (dato) 1.0 Første utgave av n 14. mars Oppdateringer etter presisering om SMS i Normen 4.0 kap Tatt inn innhold fra utgått faktaark 33 (epost) Oppdaterte definisjoner (lovhenvisninger) Endret rekkefølge på kapittlerteksten i kapitlet om sms og epost er likt strukturert (tatt inn opplisting over hva som kan sendes på epost med presisering av at supplerende rutiner kan være nødvendig) 2.0 Formuleringen i kap 2.2 endret til «skal ikke avdelings- 12.februar 2015 navn som...psykiatrisk poliklinikk..., benyttes» «Stilltiende» er tatt ut, og tilhørende omtale i 1.4 er endret. Presisering om at vanlig e-post ikke skal benyttes til identifiserbare helseopplysninger er tatt inn først i kapittel 3.0 En del mindre innspill fra Helse Nord er tatt inn i teksten Veileder for portaler sms og e-post versjon 2 side 3 av 39

4 1 INNLEDNING 1.1 Bakgrunn Bruk av elektronisk samhandling kan ha betydelig nytteverdi for pasienten/brukeren og virksomhetene i sektoren. Tilgjengelighet og raskt å kunne få svar på spørsmål vil for mange pasienter/brukere bedre helsehjelpen og opplevelsen av tjenesten. Bruk av elektronisk pasientkommunikasjon mellom virksomheten og pasienten/brukeren på nye områder vil utvikles raskt og oppleves som et krav fra yngre og nye pasient/brukergrupper. Løsninger for pasientkommunikasjon vil bidra til at sektoren lærer av erfaringer og tilbakemeldinger fra pasienter/brukere. Pasientkommunikasjon i denne n omhandler portalløsninger, SMS og e-post. Eksempler på bruksområder for elektronisk pasientkommunikasjon: Portalløsning o Fjernkonsultasjon (bl.a. sanntids spørsmål og svar/chat, videokommunikasjon uten lagring) med helsepersonell o Bestille, endre, bekrefte eller avlyse timeavtale o Reseptfornying o Føring av pasientdagbok o Utfylling av skåringsskjemaer for egen helse (for eksempel blodtrykksverdier eller resultat av insulinmålinger) o Utfylling av spørreskjema fra helsetjenesten (for eksempel skjema om sykdomshistorikk i forkant av kirurgisk inngrep eller annen behandling) o Tilgang til egne helseopplysninger (bl.a pasientjounal, kjernejournal, prøvesvar og epikriser henvisningsstatus, innkallingsbrev) o Se på egne resepter i Reseptformidleren (E-resept) o Melde bivirkninger o Bestille helsetrygdekort o Bytte fastlege o Utskrift av vaksinasjoner o Samtykkehåndtering generelt for en virksomhet SMS o Timebestilling, -påminnelse, -innkalling og -bytte o Aksept av timebytte (svar fra pasienten/brukeren til virksomheten) o Passord for autentisering til tjenester (sikkerhetsnivå 3) o Abonnement på informasjon om et tema o E-post o Timebestilling, -påminnelse, -innkalling og -bytte o Aksept av timebytte (svar fra pasienten/brukeren til virksomheten) o Abonnement på informasjon om et tema Formålet med elektronisk pasientkommunikasjon er bl.a. å: Øke tilgjengeligheten i samhandlingen mellom virksomheten og pasienten/brukeren Forenkle samhandlingen mellom virksomheten og pasienten/brukeren Veileder for portaler sms og e-post versjon 2 side 4 av 39

5 Øke effektiviteten og kvaliteten på samhandlingen mellom virksomheten og pasienten/brukeren Legge til rette for pasientmedvirkning og medbestemmelse Ivareta toveis kommunikasjon mellom helsepersonell og pasienten/brukeren Oppfylle lovpålagt tjeneste hvor fastlege skal kunne motta timebestilling elektronisk (jf. forskrift om fastlegeordning i kommunene 21) Samtidig som pasientkommunikasjon gir økte muligheter for samhandling mellom helsepersonell og pasienten/brukeren, er det viktig å være bevisst på at mulighetene også gir sikkerhetsmessige utfordringer. Denne n i personvern og informasjonssikkerhet i kontakt med pasienten/brukeren, utarbeidet under Norm for informasjonssikkerhet (Normen), er ment å være til hjelp for å møte disse utfordringene. 1.2 Om n Veilederen er utarbeidet for styringsgruppen for Normen med støtte av Helsedirektoratet og i samarbeid med leverandører i sektoren og sektorens egen referansegruppe. Se kapittel 7.3 for deltagere i referansegruppen. Formålet med n er å konkretisere og gi veiledning med hensyn til hvilke tekniske og administrative tiltak som må ivaretas i virksomheten ved etablering av løsninger for pasientkommunikasjon for å oppfylle kravene i Normen. Virksomheten er forpliktet av Normen ved inngåelse av kundeavtale med Norsk Helsenett (jf. Normens kapittel 1.6). Av dette følger at løsningen for pasientkommunikasjon må ivareta Normens krav. Virksomheten skal oppfylle kravene i Normen. Veilederen gjelder løsninger for pasientkommunikasjon hvor det behandles helse- og personopplysninger og n gir hjelp til bl.a.: Ivaretakelse av kravet til samtykke fra pasienten/brukeren Ivaretakelse av pasienten/brukerens rettigheter Informasjon til pasienten/brukeren Mulige teknologiske løsninger Nødvendige prosedyrer Veilederen gjelder uavhengig om pasienten/brukeren benytter stasjonær eller bærbar PC, lesebrett, mobiltelefon eller andre smarte enheter i pasientkommunikasjon. Veilederen må leses i sin helhet ettersom kravene er dokumentert i flere kapitler. Veilederen gjengir krav i Normen og gir anbefalinger for hvordan kravene kan ivaretas ved pasientkommunikasjon. 1.3 Målgruppe Målgruppen for n er virksomheter som omfattes av Normen og som gjør bruk (eller planlegger å gjøre bruk) av elektroniske løsninger for pasientkommunikasjon. Internt i Veileder for portaler sms og e-post versjon 2 side 5 av 39

6 virksomhetene er det særlig ledelsen, sikkerhetsleder eller sikkerhetskoordinator og IKTansvarlig som vil finne hjelp i n. Leverandør vil også kunne ha nytte av n. 1.4 Lovgrunnlag / hjemmel For all behandling av helse- og personopplysninger er det nødvendig med et rettsgrunnlag, Utgangspunktet og hovedregelen i personvernlovgivningen er samtykke, men dette kan f. eks også være lovhjemmel (for eksempel i form av helsepersonellets dokumentasjonsplikt). For at et samtykke kan regnes som gyldig, må det være: frivillig - samtykket må være gitt under omstendigheter som sikrer at det er skjedd frivillig, etter moden overveielse og med full oversikt over konsekvensene. Det kan for eksempel ikke knyttes negative sanksjoner til ikke å gi sitt samtykke uttrykkelig - skriftlighet ivaretar best dette kravet, selv om det i utgangspunktet ikke er et krav informert pasienten/brukeren må få relevant informasjon om hva han skal samtykke til, hva som er formålet med bruken av opplysningene osv. Kravet til samtykkets innhold og form vil variere etter tiltakets alvor, risiko og situasjonen for øvrig. Ved spesielt risikofylte eller inngripende tiltak, vil det kunne være hensiktsmessig å innhente skriftlig samtykke. Pasienten/brukeren kan når som helst og formfritt trekke tilbake sitt samtykke. Den enkleste måten å dokumentere et gyldig samtykke på, er å innhente skriftlig samtykke vha. et samtykkeskjema.. Eksempel på skjema finnes i kapittel 7.1. Vedrørende samtykke for barn under 16 år gjelder pasient- og brukerrettighetsloven 4-4 (samtykke på vegne av barn) og 3-4 (informasjon når pasienten er mindreårig). Kravene til informasjonssikkerhet er hjemlet i personopplysningsloven 13. Disse kravene er nærmere beskrevet i personopplysningsforskriftens kapittel 2 der bestemmelsene i 2-11 (sikring av konfidensialitet), 2-12 (sikring av tilgjengelighet) og 2-13 (sikring av integritet) er mest relevante. 1.5 Virksomhetens ansvar ved kommunikasjon med pasienten/brukeren Iht kapittel i Normen er virksomheten ansvarlig for at: samtykke fra pasienten/brukeren er innhentet til å formidle helse- og personopplysninger til pasient/bruker elektronisk. Samtykket skal innhentes i tråd med alminnelige regler for samtykke. Samtykke fra pasienten/brukeren er etter Normen det eneste grunnlaget for datakommunikasjon med pasienten/brukeren. dersom pasient/bruker har oppgitt digital kontaktinformasjon (til virksomheten) kan dette anses som et samtykke til at virksomheten kan sende timepåminnelse per SMS. Videre skal virksomheten påse at det gjennomføres tilstrekkelige tiltak for å sikre at meldinger sendes til Veileder for portaler sms og e-post versjon 2 side 6 av 39

7 rett mottaker i SMS-løsning for påminnelse om timeavtale og annet administrativt innhold. Det skal legges til rette for at pasient/bruker kan melde fra til virksomheten om at de ikke ønsker å motta slike meldinger. Den samlede informasjonen i meldingen må vurderes ut fra om innholdet totalt sett kan medføre brudd på taushetsplikten pasienten/brukeren entydig identifiseres tekniske tiltak iverksettes slik at all kommunikasjon krypteres det ikke skal kunne kommuniseres samtidig med andre parter enn den angitte pasienten/brukeren helse- og personopplysninger skal ikke stilles til rådighet på en slik måte at pasienten/brukeren er avhengig av å lagre opplysningene på eget utstyr for å gjøre seg kjent med informasjonen Oppfyller virksomheten kravene ovenfor, kreves det ikke særskilt avtale med pasienten/brukeren. Virksomheten (databehandlingsansvarlig) er ansvarlig for at løsningen for pasientkommunikasjon oppfyller kravene i Normen. 2 BRUK AV SMS I KONTAKT MED PASIENTEN/BRUKEREN SMS benyttes i mange sammenhenger i kommunikasjon mellom pasienten/brukeren og helsetjenestetilbyder. I den anledning er det viktig å etablere løsninger som ikke benyttes til overføring av informasjon som bryter med kravet til personvern og informasjonssikkerhet. Ved etablering av løsning for SMS kommer kravene nedenfor i tillegg til kravene i kapittel 4 merket med «SMS» 2.1 Etablering av SMS-løsning Bruk av SMS Virksomhetens leder skal beslutte om SMS kan benyttes ved kontakt med pasienten/brukeren og beskrive formålet med bruk av SMS. Regler for utplukk av pasienten/brukeren som skal motta SMS og løsning for utsendelse og mottak av SMS bør beskrives. Hvilke data som skal sendes og mottas som SMS bør dokumenteres og danne grunnlag for beslutningen. Endring av formål (se eksemplene i kapittel 2.2 ovenfor) og beskrivelsen skal godkjennes av virksomhetens leder. Masseutsendelse av SMS skal følge de samme reglene som enkeltstående SMS (for eksempel en SMS som sendes alle pasienter/brukere over 70 år med ordlyd: Alle over 70 år tilbys vaksine mot influensa. Ta kontakt med <virksomhet> for timeavtale ). Virksomheten skal påse at det gjennomføres tilstrekkelige tiltak for å sikre at meldinger sendes til rett mottaker i SMS-løsning for påminnelse om timeavtale og annet administrativt innhold. Innhenting av mobilnummer fra nummeropplysningstjenester vil ikke være et tilstrekkelig tiltak. Et godt tiltak vil være å innhente mobilnummer direkte fra pasient/bruker, eller informere om løsningen og registret kontaktinformasjon i innkallingsbrev til pasienter/brukere, f.eks med slik ordlyd: Veileder for portaler sms og e-post versjon 2 side 7 av 39

8 SMS <Vi ønsker å gi deg en påminnelse på SMS i forkant av avtalen. Hvis ditt mobilnummer er registrert hos oss, vil det stå her:>< (nummer)<xxxxxxxx>. <Gi oss beskjed hvis ditt nummer ikke er registrert, er registrert feil eller du ikke ønsker SMSpåminnelse.> Avtale med tjenesteyter - databehandler Kapittelet utgår om tjenesteyter ikke benyttes. Se kapittel 2.4 og 2.5 for eksempel med bruk av tjenesteyter og kapittel 4.2 for krav til etablering av databehandleravtale. Databehandleravtalen bør inneholde et slettekrav når SMS er vellykket videreformidlet Samtykke fra pasienten/brukeren Se kapittel 4.1 for krav til samtykke fra pasienten/brukeren. Pasienten / brukeren skal informeres om at samtykket kan trekkes tilbake når som helst, f. eks hvis man ikke ønsker å motta påminnelse om timer. Virksomheten må ha rutiner og tekniske løsninger som gjør det mulig å ta i mot og behandle slike henvendelser fra pasient / bruker. For å ivareta kravet til at det kun sendes SMS med timepåminnelse til pasient / bruker som ønsker det, kan systemet som genererer og sender ut SMS kontrollere at pasienten/brukeren ikke har reservert seg for eksempel med kontroll mot et avkrysningsfelt i fagsystemet. Virksomheten skal påse at det gjennomføres tilstrekkelige tiltak for å sikre at meldinger sendes til rett mottaker i SMS-løsning for påminnelse om timeavtale og annet administrativt innhold, se kapittel Innhold i SMS Virksomheten som benytter løsningen er ansvarlig for og skal påse at krav til informasjonssikkerhet ivaretas. Den samlede informasjonen i SMS må vurderes ut fra om innholdet totalt sett kan medføre brudd på taushetsplikten. Eksempler på informasjon som kan sendes som SMS - Navn, helst kun fornavn - Fødselsdato, kun dato, måned og år - Bestilling av time - Bekreftelse på timeavtale (..minner om timeavtale hos oss tir. 5. jan kl mvh <navn> ) - Aksept av timeavtale (svar tilbake til avsender at avtalen er OK Ja/Nei) - Endring av timeavtale (Time 5. jan kl 1200 utgår. Du er satt opp med ny time 18. januar kl Bekreft om foreslått tidspunkt passer Ja/Nei) - Forespørsel om blodgiving Veileder for portaler sms og e-post versjon 2 side 8 av 39

9 - Aksept av blodgiving (Ja/Nei) - Bekreftelse på at en resept er klar til henting ( Resepten din er ferdig og klar for henting ) - Engangspassord for pålogging til kommunikasjonsløsninger som inneholder helseopplysninger - Varsling om nye meldinger i andre systemer - Annet som er relatert til praktiske forhold vedr. kontakten mellom helsetjenestetilbyder og pasienten/brukeren, og som ikke inneholder sensitive personopplysninger (...vi har flyttet til... ) - Hvis det ikke kan eller skal sendes svar på SMS skal det opplyses om det i meldingen som sendes til pasienten/brukeren, f. eks kan meldingen utvides med: Du kan ikke sende svar på denne SMS Hver enkelt virksomhet må vurdere om navn på avdelinger eller oppmøtesteder som er tenkt brukt i SMS-varsel er av en slik karakter at det kan avledes opplysninger om diagnose eller helseforhold. For eksempel skal ikke avdelingsnavn som... psykiatrisk poliklinikk...,...gynekologisk avdeling... benyttes. Eksempler på informasjon som ikke kan sendes som SMS - Fødselsnummer (11 siffer) - Helseopplysninger. Dette gjelder for eksempel diagnose i form av kode eller tekst som viser pasienten/brukerens helsetilstand. - Reseptinformasjon. Dette gjelder for eksempel innhold i eller forordning av legemiddel - Avdelingsnavn (som kan knyttes til diagnose eller helseforhold. Unngå for eksempel...psykiatrisk poliklinikk...,...gynekologisk avdeling... ) Eksempler på informasjon som ikke bør sendes som SMS - Telefonnummer til avsender (slik at det ikke er mulig å identifisere avsender/avdeling med navn som kan angi helseforhold eller diagnose). 2.3 Teknisk løsning for SMS Se kapittel 2.4 og 2.5 for eksempler på tekniske løsninger for SMS. Se kapittel 4.5 for krav til drift og konfigurasjonsendringer og kapittel 4.8 for krav til oppbevaring og analyse av hendelsesregistre Hendelsesregistrering ved utsendelse og mottak av SMS Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og For å oppdage brudd eller forsøk på å bryte regelverket skal det som minimum føres hendelsesregistre over følgende: Autorisert bruk av informasjonssystemene skal registreres. Ved utsendelse av SMS fra virksomheten skal hendelsesregistre som minimum inneholde entydig identifikator for den autoriserte brukeren rollen den autoriserte brukeren har ved tilgangen virksomhetstilhørighet Faktaark 15 Hendelsesregistrering og oppfølging Veileder for portaler sms og e-post versjon 2 side 9 av 39

10 Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og organisatorisk tilhørighet til den som er autorisert tidspunkt (dato og klokkeslett) For feilsøking og drift anbefales det at følgende hendelsesregistreres ved bruk av SMS: Oppgaven eller funksjonen (for eksempel i EPJ-system) som initierer oppgaven, meldingskode, løpenummer, melding som sendes som SMS All utsendelse med løpenummer, meldingskode, mobilnummer, tidspunkt Feil ved utsendelse av SMS med løpenummer, meldingskode, mobilnummer, tidspunkt Kvittering fra tjenesteyter (om tjenesteyter benyttes.) med mobilnummer, meldingskode, tidspunkt Mottak av svar med mobilnummer, meldingskode, mottatt svar, tidspunkt Veileder for portaler sms og e-post versjon 2 side 10 av 39

11 2.4 Eksempel 1 - teknisk løsning for SMS Merk at det ikke er nødvendig å benytte tjenesteyter. Databehandler -avtale 1) Ved bruk av tjenesteyter i utlandet skal data behandles iht norsk lov Virksomhet Timebok, EPJ eller personal-/ pasientadministrativt system Tjenesteyter 1) Mobiloperatør (for eksempel Telenor og Netcom) Pasient/bruker Hendelsesregister for SMS lagres i 2 år Overføring av SMS på linje (via helsenettet) SMS system Overføring av SMS uten bruk av tjenesteyter på linje (via helsenettet) Overføring av SMS på linje Overføring av SMS i bakkenettet (ordinær telefoni) Mobilnettverk Mottar SMS med melding. Svar følger samme veien tilbake Eksempelet illustrer både løsning med og uten tjenesteyter. Som det fremgår fungerer tjenesteyter som en mellommann mellom virksomheten og mobiloperatøren. Tjenesteyter vil behandle personopplysninger på vegne av virksomheten og det må inngås en databehandleravtale med tjenesteyter. 2.5 Eksempel 2 - teknisk løsning for SMS Bestilling av time via SMS Pasient/bruker sender inn SMS med ønske om time til sitt legekontor. SMS transporters via telenettet til teleoperatør. Fra teleoperatør går meldingen videre til tjenesteyter over Internett. Hos tjenesteyter lagres meldingen midlertidig i DMZ før meldingen hentes inn til sikker sone. Legg merke til at all kommunikasjon initieres fra innsiden og ikke motsatt. Meldingen hentes så inn i f.eks. EPJ-system/timebok via helsenettet, timeavtale settes opp og melding med tildelt time sendes tilbake samme vei. Veileder for portaler sms og e-post versjon 2 side 11 av 39

12 Merk at all kommunikasjon inn og ut av helsevirksomhetens sikre sone initieres fra helsevirksomheten, selv om det er pasienten som initierer kommunikasjonen. Veileder for portaler sms og e-post versjon 2 side 12 av 39

13 3 BRUK AV E-POST I KONTAKT MED PASIENTEN/BRUKEREN Ordinær e-post skal ikke benyttes til kommunikasjon av helseopplysninger, men kan benyttes til kommunikasjon av personopplysninger (se kap. 1.1 ovenfor for eksempler på bruksområder) mellom virksomheten og pasienten/brukeren. Det anbefales at e-post benyttes med varsomhet til kommunikasjon mellom virksomhet og pasienten/brukeren. Grunnen er at både pasienten/brukeren og helsepersonell av ubetenksomhet lett kan sende sensitive personopplysninger og bryte gjeldende regelverk. Virksomheten må ta stilling til om e-post skal benyttes til kommunikasjon av sensitive personopplysninger. Hvis dette er aktuelt må det sikres at kravene i kapittel 3.2 oppfylles gjennom en sikker kommunikasjonsløsning. 3.1 E-post som ikke inneholder helseopplysninger Har virksomheten besluttet at det ikke skal benyttes e-post til kommunikasjon av sensitive personopplysninger skal virksomheten iverksette tiltak for å forhindre at helseopplysninger formidles ved hjelp av e-post. Som minimum skal databehandlingsansvarlig: Beskrive og informere helsepersonell i virksomheten om hva e-post kan og ikke kan benyttes til Ha prosedyrer for hendelsesregistrering for å kontrollere at det ikke sendes sensitive personopplysninger ifm bruk av ordinær e-post Sørge for at virksomhetens offentlig tilgjengelig nettsted fraråder pasienten å sende helse- og personopplysninger via e-post, evt. henvise til en sikker tjeneste for slik kommunikasjon. Det bør også opplyses at henvendelser som inneholder helseopplysninger ikke vil bli besvart, men at det må benyttes telefon, ev. sikre tjenester som måtte foreligge eller at kontakt må tas ved personlig fremmøte Klargjøre internt i virksomheten at dersom virksomheten likevel mottar e-post som inneholder helseopplysninger fra pasient / bruker, skal ikke slike henvendelser besvares, men at det må benyttes telefon eller at pasienten må oppfordres til personlig fremmøte eller at det henvises til en ev. sikker tjeneste 3.2 E-post som inneholder helseopplysninger Velger virksomheten å etablere løsning for e-post med sensitive personopplysninger skal kravene merket med E-post med helseopplysninger i kapittel 4 nedenfor ivaretas. Det skal være et klart skille mellom virksomhetens e-postfunksjonalitet for kommunikasjon av helseopplysninger og generell e-postløsning. E-postløsningen som benyttes for helseopplysninger må: - sikre at alle oversendinger blir kryptert Veileder for portaler sms og e-post versjon 2 side 13 av 39

14 - sikre at kun forhåndsdefinerte mottakere (f.eks. mottakere i virksomhetens katalogtjeneste) kan motta e-post fra løsningen - ha tilstrekkelig beskyttelse mot ondsinnet programvare og e-post/spam Avsender må være sikker på at mottaker også har slike tiltak implementert. Virksomheten må også ha prosedyrer som sørger for at journalverdig informasjon fra dette systemet blir riktig journalført. 3.3 Innhold i e-post: Virksomheten som benytter løsningen er ansvarlig for og skal påse at krav til informasjonssikkerhet ivaretas. Den samlede informasjonen i e-posten må vurderes ut fra om innholdet totalt sett kan medføre brudd på taushetsplikten. Større virksomheter kan ha behov for å utarbeide egne rutiner for å presisere hva som kan sendes i ordinær e-post. Eksempler på informasjon som kan sendes i ordinær e-post: - Navn, helst kun fornavn - Fødselsdato, kun dato, måned og år - Bestilling av time - Bekreftelse på timeavtale (..minner om timeavtale hos oss tir. 5. jan kl mvh <navn> ) - Aksept av timeavtale (svar tilbake til avsender at avtalen er OK Ja/Nei) - Endring av timeavtale (Time 5. jan kl 1200 utgår. Du er satt opp med ny time 18. januar kl Bekreft om foreslått tidspunkt passer Ja/Nei) - Forespørsel om blodgiving - Aksept av blodgiving (Ja/Nei) - Bekreftelse på at en resept er klar til henting ( Resepten din er ferdig og klar for henting ) - Varsling om nye meldinger i andre systemer - Annet som er relatert til praktiske forhold vedr. kontakten mellom helsetjenestetilbyder og pasienten/brukeren, og som ikke inneholder sensitive personopplysninger (...vi har flyttet til... ) - Hvis det ikke kan eller skal sendes svar på e-post, skal det opplyses om det i e-posten som sendes til pasienten/brukeren, f. eks kan meldingen utvides med: Du kan ikke sende svar på denne e-posten. Eksempler på informasjon som ikke kan sendes i ordinær e-post - Fødselsnummer (11 siffer) - Helseopplysninger. For eksempel diagnose i form av kode eller tekst som viser pasienten/brukerens helsetilstand - Reseptinformasjon. For eksempel innhold i eller forordning av legemiddel - Avdelingsnavn (som kan knyttes til diagnose eller helseforhold. Unngå for eksempel...psykiatrisk poliklinikk...,...gynekologisk avdeling... ) Eksempler på informasjon som ikke bør sendes i e-post - Telefonnummer til avsender (slik at det ikke er mulig å identifisere avsender/avdeling med navn. som kan angi helseforhold eller diagnose) Veileder for portaler sms og e-post versjon 2 side 14 av 39

15 4 KRAV TIL INFORMASJONSSIKKERHET I PASIENTKOMMUNIKASJON Kravene nedenfor gjelder for pasientkommunikasjon generelt. Det enkelte krav gjelder for de bruksområdene for pasientkommunikasjon som er avkrysset ( ) i det enkelte kapittel. Krav som gjelder i tillegg for det enkelte bruksområdet er beskrevet i kapitlene 2, 3 og Samtykke Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Virksomheten er ansvarlig for at: Samtykke fra pasienten/ brukeren er innhentet til å formidle helse- og personopplysninger elektronisk. Samtykke skal innhentes i tråd med alminnelige regler for samtykke. Samtykke fra pasienten/brukeren er etter Normen det eneste grunnlaget for datakommunikasjon med pasienten/brukeren Dersom pasient/bruker har oppgitt digital kontaktinformasjon (til virksomheten) kan dette anses som et samtykke til at virksomheten kan sende timepåminnelse per SMS. ( ). Det skal legges til rette for at pasient/bruker kan melde fra til virksomheten om at de ikke ønsker å motta slike meldinger ( ) Samtykket skal være informert, noe som betyr at pasienten/brukeren må få tilstrekkelig informasjon til å forstå hva samtykket innebærerdet anbefales at virksomheten utarbeider informasjon om bruk av løsningen for elektronisk pasientkommunikasjon som gis skriftlig eller muntlig til pasienten/brukeren. Bl.a. skal det informeres om hva den digitale kontaktinformasjonen skal brukes til og om at pasienten/brukeren ikke skal sende helseopplysninger via SMS eller e-post. Videre må samtykke være uttrykkelig og frivillig. Dersom pasient/bruker oppgir digital kontaktinformasjon til virksomheten regnes dette som et samtykke til elektronisk kommunikasjon av ikketaushetsbelagt informasjon som f.eks timepåminnelse. Dette kan skje i form av at pasient / bruker oppgir telefonnummer eller e-postadresse. Pasient/bruker må samtidig informeres om konsekvenser av å oppgi digital kontaktinformasjon. Veileder for portaler sms og e-post versjon 2 side 15 av 39

16 Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Samtykket gjelder til det blir trukket tilbake. Pasient/ bruker kan når som helst trekke sitt samtykke tilbake. Dette trenger ikke gjøres skriftlig, men kan for eksempel skje muntlig i skranken i virksomheten. Samtykke bør kunne gis elektronisk ved første gangs bruk av løsningen for pasientkommunikasjon. Det anbefales at helsepersonellet gjør en vurdering av samtykket før igangsetting av pasientkommunkasjon. Se kapittel 7.1 for eksempel på skjema for samtykke. 4.2 Avtaler Krav i Normen kapittel 5.8 Anbefalt løsning Referanse til faktaark og Det skal inngås skriftlige avtaler med leverandør. Avtalene skal inkludere forpliktelser om at partene skal oppfylle de krav og tiltak som følger av den til enhver tid gjeldende Norm for informasjonssikkerhet, samt regulering av sanksjoner ved brudd på Normen og avtalen for øvrig. Når leverandør utfører behandling av helse- og personopplysninger på vegne av virksomheten skal det inngås en databehandleravtale. Drifter leverandør løsninger for flere kunder skal denne sørge for at det ikke opprettes felles registre som inneholder helseopplysninger for flere kunder. Dette skal klart fremgå av databehandleravtalen. For leverandører av utstyr og/eller programvare som må ha adgang, til systemer som behandler helse- og personopplysninger, for vedlikehold, feilretting, oppdatering, ved hjelp av online tilkobling og/eller fysisk oppmøte skal det inngås en Faktaark 10 - Bruk av databehandler (ekstern driftsenhet). Faktaarket inneholder både eksempel på databehandleravtale og sjekkliste med krav til databehandler og etablering av databehandleravtale) Faktaark 36 - Fjernaksess mellom leverandør og virksomhet Veileder for fjernaksess mellom leverandør og virksomhet, versjon 2.0 Veileder for portaler sms og e-post versjon 2 side 16 av 39

17 Krav i Normen kapittel 5.8 Anbefalt løsning Referanse til faktaark og databehandleravtale. Det må sikres at det er inngått avtale som ivaretar taushetsplikten (enten ved inngåelse av databehandleravtale eller annen avtale). Drifter leverandør kun selve portalen (grensesnittet mellom pasient/bruker og virksomhetens fagsystem) er det vesentlig å avtale at mellomlagringen må sikres og slettes i portalen etter at kommunikasjonen er gjennomført. Alternativt kan det benyttes PKI som sikrer kommunikasjonen mellom pasient/bruker og virksomhetens fagsystem. 4.3 Risikovurdering Krav i Normen kapittel 4.6 Anbefalt løsning Referanse til faktaark og Risikovurdering skal som minimum gjennomføres før: det iverksettes behandling av helse- og personopplysninger etablering av nye informasjonsbehandlingssystemer eller registre som inneholder helse- og personopplysninger det iverksettes organisatoriske endringer som kan påvirke informasjonsbehandlingen det iverksettes tekniske endringer i utstyr og/eller programvare som kan påvirke informasjonsbehandlingen det iverksettes andre endringer med betydning for informasjonssikkerheten Risikovurderingen skal dokumenteres. Dersom Virksomheten skal gjennomføre risikovurdering av løsning for pasientkommunikasjon før den tas i bruk Risikovurdering som er gjennomført av leverandøren kan være tilstrekkelig dokumentasjon på at risikovurdering er gjennomført og danne grunnlag for risikovurderingen som virksomheten skal gjennomføre. Som basis for risikovurderingen skal virksomhetenes krav til akseptabel risiko til konfidensialitet, integritet, tilgjengelighet og kvalitet legges til grunn. Resultatet fra risikovurderingen skal sammenstilles med nivå for akseptabel risiko og nødvendige tiltak gjennomføres. Faktaark nr 7 Risikovurderinger Faktaark nr 5 Fastsettelse av akseptkriterier for tilgjengelighet, konfidensialitet og integritet Veileder for portaler sms og e-post versjon 2 side 17 av 39

18 Krav i Normen kapittel 4.6 Anbefalt løsning Referanse til faktaark og teknologiske tiltak for å oppnå akseptabel risiko ikke innføres umiddelbart, kan det i en overgangsperiode benyttes administrative tiltak, f.eks. i form av prosedyrer. Se kapittel 7.2 for eksempel på risikovurdering. Det anbefales at virksomheten gir informasjon til pasient/bruker om risiko ved brukerutstyr. 4.4 Bruk av fødselsnummer Krav i Normen Anbefalt løsning Referanse til faktaark og Kravet er ikke formulert i Normen, men i personopplysningsforskriften 10-2 som lyder Postsendinger som inneholder fødselsnummer skal være utformet slik at nummeret ikke er tilgjengelig for andre enn adressaten. Tilsvarende gjelder sendinger som formidles ved hjelp av telekommunikasjon. Fødselsnummer skal ikke sendes som SMS, i ordinær e- post eller usikre løsninger. 4.5 Drift og konfigurasjonsendringer Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Konfigurasjonen skal sikre at utstyret og programvaren kun utfører de funksjoner som er formålsbestemt Konfigurasjonsendringer, dvs. endringer i utstyr og/eller programvare, skal ikke settes i drift før følgende tiltak er gjennomført: Risikovurdering som viser at nivå for akseptabel risiko oppfylles Test som sikrer at forventede funksjoner er ivaretatt Implementering som sikrer mot uforutsette hendelser Ny konfigurasjon er Virksomheten må etablere prosedyrer for drift og konfigurasjonsendringer av løsningen for pasientkommunikasjon. Faktaark 3 Oversikt over anbefalte prosedyrer i styringssystemet for informasjonssikkerhet Veileder for portaler sms og e-post versjon 2 side 18 av 39

19 Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og dokumentert Konfigurasjonsendringer er godkjent av virksomhetens leder eller den ledelsen bemyndiger 4.6 Ondsinnet programvare Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Virksomheten skal for å ivareta konfidensialitet, integritet, tilgjengelighet og kvalitet for helse- og personopplysninger forsikre seg om at: leverandørens utstyr som benyttes ved online oppkobling ved hjelp av kommunikasjonsnett eller medbrakt utstyr som knyttes til virksomhetens utstyr, ikke har ondsinnet programvare som inneholder virus e.l. og at utstyret er sikret mot adgang fra uvedkommende. Løsning for pasientkommunikasjon skal ha løsning for å hindre spredning av ondsinnet programvare som inneholder virus eller lignende. Dette gjelder både ved utgående og inngående datatrafikk. For SMS skal meldingen kontrolleres før den sendes og ved mottak før den hentes inn til fagsystemet. Faktaark 19 Tiltak for å hindre ondsinnet programvare 4.7 Krypteringsstyrke Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Sikkerhetstiltak skal hindre at personer som ikke er autoriserte får tilgang til helseog personopplysninger ved at: All kommunikasjon, enten dette skjer ved hjelp av trådløst samband eller ved hjelp av linjer sikres ved kryptering iht. Datatilsynets til enhver tid gjeldende anbefalinger. Ivareta krypteringsstyrke iht kravspesifikasjon for PKI i offentlig sektor, eller tilsvarende styrke. 1 Faktaark 24 Kommunikasjon over åpne nett Faktaark 26 Sikring av trådløs teknologi Faktaark 49 Krav ved bruk av PKI ved ekstern kommunikasjon 1 Se https://www.regjeringen.no/globalassets/upload/fad/vedlegg/iktpolitikk/2010_kravspek_pki_norsk.pdf?id= Veileder for portaler sms og e-post versjon 2 side 19 av 39

20 4.8 Hendelsesregistrering Krav 1 Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og All autorisert bruk og forsøk på uautorisert bruk av informasjonssystemene skal registreres og registeret skal lagres i minimum 2 år. Hendelsesregistrene skal enkelt kunne analyseres ved hjelp av analyseverktøy med henblikk på å oppdage brudd. Det skal etableres prosedyrer for å analysere hendelsesregistrene slik at hendelser oppdages før de får alvorlige konsekvenser, og fortrinnsvis innen 1 uke. Hendelsesregistrene skal sikres mot endring og sletting av uautorisert personell. Krav 2 Virksomheten må utarbeide skriftlig prosedyre for gjennomgang av de ulike hendelsesregistrene. Alle hendelsesregistre skal oppbevares i minst 2 år i elektronisk form. Om det avdekkes uautoriserte hendelser skal opprettes en avviksmelding som skal behandles iht etablerte prosedyrer. Hendelsesregistre skal kun være tilgjengelig for fastsatte roller i virksomheten. Faktaark 15 Hendelsesregistrering og oppfølging Faktaark 3 Oversikt over anbefalte prosedyrer i styringssystemet Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og For å oppdage brudd eller forsøk på å bryte regelverket skal det som minimum føres hendelsesregistre over følgende: Sikkerhetsbarrierene skal registrere sikkerhetsrelevante hendelser, bl.a. forsøk på uautorisert bruk av informasjonssystemet Nettverksoperativsystemer skal registrere alle forsøk på uautorisert bruk Alle informasjonssystemer skal registrere alle forsøk på uautorisert bruk For forsøk på uautorisert bruk skal følgende hendelsesregistreres: Brukeridentiteten som ble benyttet Tidspunkt (dato og klokkeslett) IP-adresse eller annen identifikasjon av PC/arbeidsstasjon som ble benyttet (for eksempel MACadresse eller NAT-adresse) Hendelsesregistret bør inneholde informasjon om hvilken handling som ble forsøkt utført. Faktaark 15 Hendelsesregistrering og oppfølging Veileder for portaler sms og e-post versjon 2 side 20 av 39

21 4.9 Integritet Krav 1 Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Helse- og personopplysninger skal være fullstendige og ajourført i forhold til behandlingen av opplysningene Krav 2 Virksomheten skal ha prosedyrer som sørger for at journalverdig informasjon fra pasientkommunikasjon blir riktig journalført. Det anbefales en integrasjon med EPJ slik at journalverdig informasjon fra pasientkommunikasjon kan overføres til EPJ uten å måtte registreres på nytt. Kontroll av hvilke opplysninger som skal overføres til EPJ påhviler helsepersonellet. Overskuddsinformasjon skal ikke lagres. Spesielt for SMS: Behovet for å kontrollere svaret fra pasienten/brukeren mot utsendt SMS skal vurderes ift type SMS og iht gjennomført risikovurdering. Grunnen er virksomheten kan sende flere SMS til en pasient/bruker samtidig. Kontrollen kan for eksempel baseres på mobilnummer i svaret, innhold i svaret og meldingskode i utsendte SMS Ved manglende match mellom utsendt SMS og mottatt mobilnummer og meldingskode stanses svaret og hendelsen hendelsesregistreres Ansvarlig som har sendt SMS til pasienten/brukeren bør få tydelig beskjed om at svar fra pasienten/brukeren er mottatt Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Veileder for portaler sms og e-post versjon 2 side 21 av 39

22 Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Ved tilkobling til nett utenfor virksomheten skal det etableres tekniske tiltak som ivaretar at: Kun eksplisitt angitt tillatt trafikk kan passere, annet stoppes. Trafikk kan ikke passere direkte utenfra og inn; all slik ekstern trafikk må initieres fra virksomhetens systemer. Virksomheten skal påse at de tekniske tiltakene ivaretas ved at sikkerhetsbarrierer kun tillater godkjent trafikk Med direkte utenfra og inn menes at trafikken må passere via en sikkerhetsmekanisme (for eksempel proxytjeneste eller terminalserver) eller at SMS og e-post hentes inn til nettverket (og ikke tillates sendt direkte inn til nettverket) Faktaark 15 Hendelsesregistrering og oppfølging Faktaark 22 Kontroll og sikring av ekstern tilgang Faktaark 24 Kommunikasjon over åpne nett 4.10 Tilgjengelighet for pasientkommunikasjon Krav i Normen Anbefalt løsning Referanse til faktaark og Ingen relevante krav. Krav til tilgjengelighet til løsninger for pasientkommunikasjon baseres på resultat fra gjennomført risikovurdering (se kapittel 4.3 ovenfor) Avvik Krav i Normen kapittel 6.3 Anbefalt løsning Referanse til faktaark og Virksomhetens ledelse, eller det organ ledelsen bemyndiger, skal behandle avvik med det formål å gjenopprette normal tilstand, fjerne årsaken til avviket og å hindre gjentagelse. Avviksbehandlingen iverksettes ved sikkerhetsbrudd og/eller når behandling av helse- og personopplysninger er utført i strid med gjeldende regelverk, retningslinjer eller prosedyrer. Avviksbehandling kan også iverksettes ved tilfeller av manglende eller uhensiktsmessige prosedyrer. Avvik skal behandles iht fastsatt prosedyre. Alle regelbrudd skal håndteres som avvik og personalmessige konsekvenser skal vurderes. Faktaark 8 - Avviksbehandling Veileder for portaler sms og e-post versjon 2 side 22 av 39

23 5 KRAV TIL INFORMASJONSSIKKERHET I PORTALLØSNINGER Ved etablering av portalløsning kommer kravene nedenfor i tillegg til kravene i kapittel 4 merket med Portalløsning. Denne n beskriver hvordan en portalløsning kan etableres, mens det er databehandlingsansvarlig som må vurdere hva en portalløsning skal benyttes til ut fra risiko og helsefaglige forhold. Kravene nedenfor gjelder for hele kommunikasjonskjeden mellom pasient/bruker og virksomhetens fagsystem. 5.1 Pasienten/brukerens rett til innsyn, retting og sletting Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Det skal etableres prosedyrer og gjennomføres tiltak for å sikre at: Pasienten/brukeren får informasjon om virksomhetens behandling av helse- og personopplysninger, og sine rettigheter til innsyn i, retting, sletting og sperring av registrerte opplysninger om seg selv. Pasienten/brukeren sikres innsyn i egne helse- og personopplysninger. Pasientens/brukerens rettigheter til retting/sletting av helse- og personopplysninger ivaretas. Virksomheten må utarbeide Informasjon til pasienten/brukeren om behandlingen av helse- og personopplysninger og sine rettigheter Prosedyrer for hvordan innsyn i, retting, sletting (for eksempel om samtykke trekkes tilbake) og sperring av registrerte opplysninger utføres 5.2 Opplæring Krav i Normen kapittel 5.6 Anbefalt løsning Referanse til faktaark og Virksomheten skal iverksette tiltak som ivaretar at: alle som gis tilgang til og/eller drifter informasjonssystemene og Helsepersonell skal ha opplæring i bruk av portalløsningen Portalløsningen skal inneholde bruksanvisning for Faktaark 9 - Opplæring av ledere og medarbeidere Veileder for portaler sms og e-post versjon 2 side 23 av 39

24 Krav i Normen kapittel 5.6 Anbefalt løsning Referanse til faktaark og tilhørende informasjon skal ha tilstrekkelig kunnskap til å utnytte systemene for sin rolle og til å ivareta informasjonssikkerheten pasienten/brukeren Pasienten/brukeren kan også ha tilgang til elektronisk hjelp 5.3 Autorisering Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Databehandlingsansvarlig er ansvarlig for at autorisasjoner tildeles, administreres og kontrolleres. Ved tildeling av autorisasjon skal lovbestemt taushetsplikt vurderes og ivaretas. Autorisasjon for å lese, registrere, redigere, rette, slette og/eller sperre helse- og personopplysninger skal gis til dem som har tjenstlig behov. Autorisasjonen skal tildeles i henhold til betryggende prosedyrer Pasienten/brukeren skal gis tilgang enten av virksomheten eller ved selvbetjening i portalløsningen Ved selvbetjening må samtykke aksepteres eksplisitt i portalløsningen (for eksempel ved at pasient/bruker må huke av for å akseptere at det behandles personopplysninger) Pasienten/brukeren skal gis tilgang for den enkelte funksjon som skal tas i bruk Helsepersonell skal autoriseres til portalløsningen iht til sin rolle og tjenstlig behov Faktaark 14 - Tilgangsstyring 5.4 Autorisasjonsregister Krav i Normen kapittel og Anbefalt løsning Referanse til faktaark og Databehandlingsansvarlig skal sørge for at det oppettes et autorisasjonsregister. Registeret skal som minimum inneholde: informasjon om hvem som er tildelt autorisasjon til hvilken rolle autorisasjonen er tildelt formålet med autorisasjonen tidspunkt for når For helsepersonell skal autorisasjonsregisteret som minimum inneholde informasjon om hvem som er tildelt autorisasjon til hvilken rolle (for eksempel lege, tannlege, helsesøster, psykolog, kiropraktor) autorisasjonen er tildelt formålet med autorisasjonen tidspunkt for når Faktaark 47 - Autorisasjonsregister Veileder for portaler sms og e-post versjon 2 side 24 av 39

25 Krav i Normen kapittel og Anbefalt løsning Referanse til faktaark og autorisasjonen ble gitt og eventuelt tilbakekalt informasjon om hvilken virksomhet den autoriserte er knyttet til autorisasjonen ble gitt og eventuelt tilbakekalt informasjon om hvilken virksomhet den autoriserte er knyttet til 5 års lagring minimum fra det tidspunkt dokumentet ble tatt ut av bruk: Oversikt over tildelte autorisasjoner og tilganger til helse- og personopplysninger (autorisasjonsregister) For pasienten/brukeren skal autorisasjonsregisteret som minimum inneholde informasjon om hvem som er tildelt autorisasjon formålet med autorisasjonen tidspunkt for når autorisasjonen ble gitt og eventuelt tilbakekalt Virksomheten må etablere prosedyrer og en løsning slik at tildelte autorisasjoner lagres i autorisasjonsregisteret i 5 år fra det tidspunkt autorisasjonen ble tatt ut av bruk. 5.5 Autentisering Krav i Normen kapittel og Anbefalt løsning Referanse til faktaark og Ved bruk av mobilt utstyr, hjemmekontor og trådløs kommunikasjon skal autentiseringen ikke innebære økt risiko utover det som gjelder for stasjonært utstyr. En risikovurdering må vise at autentiseringsløsningen gir tilstrekkelig sikkerhet Faktaark 14 Tilgangsstyring Faktaark 49 Krav ved bruk av PKI ved ekstern kommunikasjon Tilgang fra hjemmekontor og/eller mobilt utstyr skal sikres ved autentisering som ikke innebære økt risiko utover det som gjelder for stasjonært utstyr. En risikovurdering må vise at autentiseringsløsningen gir tilstrekkelig sikkerhet. Dette gjelder også for avdelingskontor som kommuniserer ved hjelp av linjer man ikke har fysisk kontroll over Autentisering for bruk av kun administrative funksjoner uten helseopplysninger (som for eksempel bestilling og avbestilling av time uten at grunnen for timebestilling oppgis) skal gjøres med minimum sikkerhetsnivå 3 Autentisering for tilgang til og kommunikasjon av helseopplysninger i nasjonale løsninger (for eksempel helsenorge.no) eller løsninger levert av helsepersonell (inklusive timebestilling der pasient/bruker oppgir grunnen for bestilling av time og reseptfornying) skal gjøres med personlig kvalifisert sertifikat eller en annen sikker autentiseringsløsning. Veileder for portaler sms og e-post versjon 2 side 25 av 39

26 Krav i Normen kapittel og Anbefalt løsning Referanse til faktaark og Ved bruk av annen autentiseringsløsning må en risikovurdering vise at denne har tilstrekkelig sikkerhet (se kapittel 4.3 ovenfor) For løsninger til private formål (helsepersonell er ikke involvert) anbefales autentisering med sikkerhetsnivå Hendelsesregistrering Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og For å oppdage brudd eller forsøk på å bryte regelverket skal det som minimum føres hendelsesregistre over følgende: Autorisert bruk av informasjonssystemene skal registreres. Det skal iverksettes hendelsesregistrering, slik at det er mulig å oppdage og oppklare brudd på sikkerheten. I virksomhetens portalløsning skal følgende hendelsesregistreres ved autorisert bruk: For helsepersonell skal hendelsesregistre som minimum inneholde: entydig identifikator for den autoriserte brukeren rollen den autoriserte brukeren har ved tilgangen virksomhetstilhørighet organisatorisk tilhørighet til den som er autorisert hvilke type opplysninger det er gitt tilgang til grunnlaget for tilgangen tidspunkt og varighet for tilgangen For pasient/bruker skal hendelsesregistre som minimum inneholde: entydig identifikator for den autoriserte pasienten/ brukeren hvilke type opplysninger det er gitt tilgang til Faktaark 15 Hendelsesregistrering og oppfølging Veileder for portaler sms og e-post versjon 2 side 26 av 39

27 Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og tidspunkt og varighet for tilgangen 5.7 Teknisk løsning Krav 1 Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Tekniske tiltak og organisatoriske tiltak skal iverksettes slik at personer ikke skal kunne få tilgang til helseog personopplysninger de ikke er autorisert for Krav 2 For pasient/bruker vil tilgang basert på sikkerhetsnivå 3 eller personlig kvalifisert sertifikat gi tilstrekkelig konfidensialitetsbeskyttelse for tilgang til portalløsningen (se kapittel 5.5 ovenfor). Virksomheten bør ta inn i samtykket med pasient/brukeren at tilganger og autentiseringsmekanismer er personlige og ikke skal lånes ut til andre. Faktaark 14 - Tilgangsstyring Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Tekniske tiltak som sikrer at Internett-tjenesten er logisk atskilt fra der helse- og personopplysninger behandles. Portalløsningen må etableres slik at nettverket hvor helse- og personopplysninger behandles er atskilt fra Internett med sikkerhetsbarrierer. Faktaark 28 - Alternative tekniske løsninger for primærhelsetjenesten 5.8 Konfidensialitet Krav 1 Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Konfidensialitet skal ivareta taushetsplikten og for øvrig sikre mot at uvedkommende får kjennskap til opplysningene. Dette innebærer blant annet: For pasient/bruker vil tilgang basert på sikkerhetsnivå 3 eller personlig kvalifisert sertifikat gi tilstrekkelig konfidensialitetsbeskyttelse for Faktaark 14 Tilgangsstyring Faktaark 22 Kontroll og sikring av ekstern tilgang Veileder for portaler sms og e-post versjon 2 side 27 av 39

28 Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Personer utenfor virksomheten uansett ressurser og kunnskap skal ikke kunne få uautorisert tilgang til helse- og personopplysninger Krav 2 tilgang til portalløsningen (se kapittel 5.5 ovenfor). Det anbefales at løsningen etableres slik at det ikke er mulig å lagre helseopplysninger på pasientens/brukerens utstyr. Skal det likevel gjøres skal opplysningene krypteres iht kapittel 4.7. Ved bruk av arbeidsgivers utstyr skal pasient/bruker gjøres oppmerksom på at arbeidsgiver kan dekryptere HTTPS ifm kontroll av datatrafikken. Faktaark 49 Krav ved bruk av PKI ved ekstern kommunikasjon Krav i Normen kapittel Anbefalt løsning Referanse til faktaark og Virksomheten er ansvarlig for at: Tekniske tiltak iverksettes slik at all kommunikasjon krypteres. All datakommunikasjon av helseopplysninger skal krypteres. Eksempel på krypteringsløsning er HTTP (Hypertext Transfer Protocol - standard for overføring av informasjon over Internett) med bruk av en kryptert SSL (Secure Sockets Layer) hvor det benyttes sertifikater som gir nødvendig krypteringsstyrke (jf. kapittel 4.7) Kommunikasjonen mellom virksomhet og pasienten/brukeren bør stenges, og ny autentisering kreves, etter et fastsatt antall minutter med inaktivitet. Stengingen bør være en del av portalløsningen og ikke overlates til pasienten/ brukeren med oppfordring til bruk av skjermsparer Ved bruk av standardiserte meldinger skal det benyttes meldingskryptering (PKI) Faktaark 24 Kommunikasjon over åpne nett Faktaark 26 Sikring av trådløs teknologi Veileder for portaler sms og e-post versjon 2 side 28 av 39

29 5.9 Eksempel 1- portalløsning helsepersonell drifter portalen Leverandør Databehandler Databehandlingsansvarlig Pasient/bruker 1 - Initiere 2 - Initiere 3 - Initiere 6 - Motta svar 5 Videresende/ presentere resultat 4 - Sende svar Personlig kvalifisert sertifikat HTTPS / PKI Portal HTTPS / PKI Fagsystem Eksempelet viser en helseportal, herunder føring av pasientdagbok etter avtale med helsepersonell. Kommunikasjonen initieres av pasient/bruker og viser kommunikasjonsprosessen sammen med viktige sikkerhetstiltak. I den sammenheng er også områder for risikovurdering angitt. Databehandler er kun med i figuren for å vise at databehandlingsansvarlig (virksomheten) kan benytte databehandler til hele eller deler av løsningen. Nr Kommunikasjon Sikkerhetstiltak Områder for risikovurdering 1. Pasient/bruker initierer - Samtykke er ivaretatt - Bruk av privat utstyr bruk av portalen - Ondsinnet programvare på privat utstyr - Bruk av internettkafé hvor det ofte er uklart hvordan utstyr blir overvåket og data blir logget / lagret - Bruk av arbeidsgivers utstyr ifm dekryptering av HTTPS - Forhold rundt pasient/bruker ift 2. Portalen initierer trafikk mellom portal og fagsystem 3. Fagsystem initierer trafikk mot portalen og åpner opp for registrering eller presentasjon av opplysninger om pasient/bruker - Autentisering av pasient/bruker - Kryptering av datakommunikasjon - Videreformidle forespørsel fra pasient/bruker til fagsystem - Hendelsesregistrering - Initiering av datakommunikasjon fra fagsystem til portal (ikke omvendt) medhjelper og familie - Kryptering ende til ende (forhindre Man-in-themiddle ) - Autentisering med kvalifisert sertifikat eller en annen tilsvarende sikker autentiseringsløsning - Lagring av opplysninger i portalen så kort tid som mulig - Datakommunikasjon skal initieres fra fagsystem til portalen - Minst to uavhengige tekniske tiltak mot eksterne nettverk - Ondsinnet programvare 4. Fagsystem henter informasjon fra portalen eller sender forespurt informasjon til portalen - Hendelsesregistrering - Kryptering av datakommunikasjon - Kontroll at kryptering fungerer etter hensikten Veileder for portaler sms og e-post versjon 2 side 29 av 39

30 Nr Kommunikasjon Sikkerhetstiltak Områder for risikovurdering 5. Portal presenterer forespurt informasjon for - Kryptering av datakommunikasjon - Sletting av opplysninger i portalen så raskt som mulig pasient/bruker - Kontroll av at informasjon vises til riktig pasient/bruker 5.10 Eksempel 2 - portalløsning - helsenorge.no Borger 1-veis SSL transportkryptering Personlig kvalifisert sertifikat Helsenorge benytter en system-til-system integrasjon med bruk av virksomhetssertifikater til to-veis kryptering av transportkanal (med bruk av SSL eller TSL) og meldingskryptering og - signering med nøkler i henhold til eller utover krav til PKI. For symmetriske nøkler brukes 1024 bits eller 2048 bits nøkler. For asymmetriske brukes 128 bits eller 256 bits nøkler med godkjente leverandører av PKI (Norsk Helsenett/Buypass). For kommunikasjon med pasient/bruker benyttes 1-veis SSL med offentlige Buypasssertifikater inn til helsenettets datasenter med Threat Management Gateway (TMG) reverseproxy/firewall/load balancer Eksempel 3 - portalløsning - privat bruk Pasient/bruker Helsepersonell HTTPS HTTPS Internett HTTPS Sikker sone leverandør Portalløsning som tilbys av leverandør Eksempelet illustrerer portalløsninger som tilbys fra kommersielle leverandører slik at pasient/bruker kan føre pasientdagbok på eget grunnlag. Pasient/bruker er selv ansvarlig for Veileder for portaler sms og e-post versjon 2 side 30 av 39

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Personvern og informasjonssikkerhet i kontakten med pasient/bruker Personvern og informasjonssikkerhet i kontakten med pasient/bruker En veileder i bruk av portalløsninger, SMS og e-post Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1 Introduksjonskurs til Normen Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS 1 Innhold 1. Litt om personvern og informasjonssikkerhet 2. Norm for informasjonssikkerhet 3. Risikovurdering 4.

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

mellom leverandør og virksomhet

mellom leverandør og virksomhet Veileder for fjernaksess mellom leverandør og virksomhet Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 2.0 www.normen.no INNHOLD 1 INNLEDNING... 4 1.1

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet) Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 4.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN LÆRINGS- og GJENNOMFØRINGSPLAN Fagkurs i informasjonssikkerhet og personvern for kommuner basert på Normen Planen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.

Detaljer

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN LÆRINGS- og GJENNOMFØRINGSPLAN Fagkurs i informasjonssikkerhet og personvern for kommuner basert på Normen Planen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.1

Detaljer

Oversiktstabell for faktaark, veiledere og kurs til Normen

Oversiktstabell for faktaark, veiledere og kurs til Normen på hnett Utgitt med støtte av: Norm for informasjonssikkerhet Oversiktstabell for faktaark, veiledere og kurs til Normen Støttedokument Versjon: 4.0 Dato: 19.12.2013 Det er utviklet en rekke faktaark og

Detaljer

Hvordan få tilgang til journalopplysning fra andre virksomheter

Hvordan få tilgang til journalopplysning fra andre virksomheter Hvordan få tilgang til journalopplysning fra andre virksomheter Avdelingssjef, KITH Tema Løsninger for utlevering og tilgang til helseopplysninger Utlevering ved hjelp av web-publisering Samhandlingsarkitektur

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN Norm for informasjonssikkerhet Helse- og omsorgstjenesten Tor Ottersen HVA - HVORFOR - HVORDAN Hva er Normen Et omforent sett av adferdsregler og tiltak Besluttet og forvaltet av sektoren, forankret i

Detaljer

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner Velkommen til Fagkurs i informasjonssikkerhet basert på Normen for kommuner 1 Mål for fagkurset (1) Deltakerne skal etter gjennomføring av kurset: Ha kunnskap om og kunne formidle hvorfor ivaretakelse

Detaljer

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud Helseopplysninger på tvers - rammer for deling og tilgang HelsIT 15. oktober 2014 Marius Engh Pellerud Hva er personvern? 18.06.2014 Side 2 Retten til privatliv Selvbestemmelse Rett til å vite og forstå

Detaljer

Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner

Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner Veilederen er et støttedokument til Norm for informasjonssikkerhet www.normen.no Utgitt med støtte av: Versjon 2.0

Detaljer

Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner

Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner Veilederen er et støttedokument til Norm for informasjonssikkerhet www.normen.no Utgitt med støtte av: Versjon 1.2

Detaljer

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Kapittel 1. Generelle bestemmelser 1.Lovens formål Formålet med loven er at behandling av helseopplysninger skal skje

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Norm for informasjonssikkerhet Helse, omsorgs og sosialsektoren Utgitt med støtte av: Oslo, 2010 FORORD Stadig mer av arbeidet i helsesektoren er basert på elektronisk behandling av pasientenes opplysninger.

Detaljer

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Nr Sjekkpunkt Faktaark /ikke ok Beskrivelse 7 Ikke ok Er gjennomført en rekke ROS-analyser vedr. FIKS. Det mangler i vesentlig

Detaljer

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten - en veileder Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 2.0 www.normen.no

Detaljer

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN LÆRINGS- og GJENNOMFØRINGSPLAN Instruktørkurs i informasjonssikkerhet basert på Normen for helseforetak, regionale helseforetak og deres IKT-driftsenheter Kurs i informasjonssikkerhet for utvalgte grupper

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag. Tor Ottersen

Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag. Tor Ottersen Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag Tor Ottersen Bakgrunn Helse-, sosial- og omsorgssektoren er: Enorm både i antall årsverk og omsetning Organisatorisk fragmentert Har

Detaljer

Datasikkerhet internt på sykehuset

Datasikkerhet internt på sykehuset Datasikkerhet internt på sykehuset DRG Konferansen 11. mars 2009 Informasjonssikkerhetsleder Jan Gunnar Broch Sykehuset Innlandet HF Agenda Informasjonssikkerhet; Hva, hvorfor og hvordan Hvordan håndterer

Detaljer

Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Normkonferansen 15. oktober 2014. Nytt i Normen

Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Normkonferansen 15. oktober 2014. Nytt i Normen Hva er i Normen? Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Normkonferansen 15. oktober 2014 Normen med støttedokumenter Juridisk bindende ved avtale: Normen: Normen ( Code of conduct

Detaljer

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet Velferdsteknologi og personvern Camilla Nervik, Datatilsynet Datatilsynet http://itpro.no/artikkel/20499/vipps-deler-din-kundeinformasjon-medfacebook/ http://e24.no/digital/undlien-vil-skape-medisiner-tilpasset-dine-gener-uioprofessor-vil-digitalisere-genene-dine/23608168

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten - en veileder Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.3 www.normen.no

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum. Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.no OH 1 Agenda Hva er personopplysninger Personvern vs informasjonssikkerhet

Detaljer

Innholdsfortegnelse. Veiledning i selvdeklarering av programvare

Innholdsfortegnelse. Veiledning i selvdeklarering av programvare Innholdsfortegnelse 1. Innledning... 2 2. Om selvdeklarering... 2 3. Programvare som selvdeklareringen anbefales brukt på... 2 4. Veiledningsdokumenter... 3 5. Utfylling av skjematikk... 3 6. Eksempel

Detaljer

E-resept og Kjernejournal. Bent A larsen Fastlege Konsulent Direktoratet for e-helse

E-resept og Kjernejournal. Bent A larsen Fastlege Konsulent Direktoratet for e-helse E-resept og Kjernejournal Bent A larsen Fastlege Konsulent Direktoratet for e-helse Agenda 1. e-resept : Hva er det? 2. Sikkerhetsaspekter ved e-resept 3. e-resept og personvern 4. Kjernejournal: Hva er

Detaljer

Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi

Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Veileder i personvern og informasjonssikkerhet ved bruk av velferdsteknologi Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.0 www.normen.no INNHOLD 1

Detaljer

Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet

Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veilederen er et støttedokument til Norm for informasjonssikkerhet www.normen.no Utgitt med støtte av: Versjon

Detaljer

Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger mellom virksomheter

Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger mellom virksomheter Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse Dato 14/3724-14/01084-2/EOL 14. november 2014 Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Personvern og informasjonssikkerhet for apotek

Personvern og informasjonssikkerhet for apotek Personvern og informasjonssikkerhet for apotek - en veileder Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av Versjon 1.1 www.normen.no INNHOLD 1 INNLEDNING... 5

Detaljer

Lydopptak og personopplysningsloven

Lydopptak og personopplysningsloven Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...

Detaljer

Det skal ikke være lett! Elektronisk sårjournal: Liten brikke i stort spill

Det skal ikke være lett! Elektronisk sårjournal: Liten brikke i stort spill Det skal ikke være lett! Elektronisk sårjournal: Liten brikke i stort spill Juridiske og sikkerhetsmessige problemstillinger HelsIT, 28. september 2011 Eva Skipenes, sikkerhetsrådgiver NST eva.skipenes@telemed.no

Detaljer

Personvern og informasjonssikkerhet for legekontorer

Personvern og informasjonssikkerhet for legekontorer Personvern og informasjonssikkerhet for legekontorer - en veileder Veilederen er et støttedokument til Norm for informasjonssikkerhet i helsesektoren Utgitt med støtte av: Versjon 1.1 www.normen.no INNHOLD

Detaljer

Personvern og sikkerhet

Personvern og sikkerhet Personvern og sikkerhet Formålet med personvern er å verne om privatlivets fred, den personlige integritet og sørge for tilstrekkelig kvalitet på personopplysninger. Behandlingen av personopplysninger

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Hvordan håndtere juridiske, teknologiske og sikkerhetsmessige utfordringer?

Hvordan håndtere juridiske, teknologiske og sikkerhetsmessige utfordringer? Nasjonal møteplass Når pasienten skriver journalen, om pasientinvolvering og bruk av nye verktøy i psykiatrien Tromsø 7. september 2010 Hvordan håndtere juridiske, teknologiske og sikkerhetsmessige utfordringer?

Detaljer

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Personvernombud Støttedokument Faktaark nr. 35 Versjon: 2.1 Dato: 15.12.2010 Målgruppe Dette faktaarket er spesielt relevant for: Ansvar

Detaljer

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som Fornyings- administrasjons- og kirkedepartementet Postboks 8004 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 13/1249 13/00654-2/HHU 20. september 2013 Dato Høring - Endringer i eforvaltningsforskriften

Detaljer

Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet

Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veilederen er et støttedokument til Norm for informasjonssikkerhet i helsesektoren Utgitt med støtte av:

Detaljer

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Rapport informasjonssikkerhet Helgelandssykehuset 2015 Rapport informasjonssikkerhet Helgelandssykehuset 2015 1. Innledning I Oppdragsdokumentet 2015 punkt 4.4. Beredskap, er et av punktene: Området informasjonssikkerhet med tilhørende status på ROS [1] -analyser

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Gyldighet fra 09.02.2015 Versjon Pilot 1.0 BRUKSVILKÅR FOR INNBYGGERTJENESTER I MIN HELSE: DIALOGTJENESTER OG PERSONLIG HELSEARKIV

Gyldighet fra 09.02.2015 Versjon Pilot 1.0 BRUKSVILKÅR FOR INNBYGGERTJENESTER I MIN HELSE: DIALOGTJENESTER OG PERSONLIG HELSEARKIV Gyldighet fra 09.02.2015 Versjon Pilot 1.0 BRUKSVILKÅR FOR INNBYGGERTJENESTER I MIN HELSE: DIALOGTJENESTER OG PERSONLIG HELSEARKIV Innhold 1. Aksept av vilkår... 2 2. Om Tjenestene... 2 2.1 Dialogtjenester...

Detaljer

Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak]

Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak] Databehandleravtale Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak] 1 Kontraktens parter Kontrakten inngås mellom databehandlingsansvarlig

Detaljer

Nordiska erfarenheter med Nationell patientöversikt

Nordiska erfarenheter med Nationell patientöversikt Nordiska erfarenheter med Nationell patientöversikt Kristian Skauli, seniorrådgiver,, Administrasjonsavdelingen/e-helse, Norge Nasjonal kjernejournal - Trygt og enkelt Kristian Skauli, Stockholm Behovet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres.

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres. Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 200902492-/STL 11/00288-2 /MOF 5. april 2011 Kommentarer til forprosjektrapport om nasjonal

Detaljer

AVTALEEKSEMPEL FOR GRUPPEPRAKSIS Avtaleparter Databehandlingsansvarlig

AVTALEEKSEMPEL FOR GRUPPEPRAKSIS Avtaleparter Databehandlingsansvarlig Virksomhet Lege 1 Lege 2 Lege 3 Lege 4 AVTALEEKSEMPEL FOR GRUPPEPRAKSIS Avtaleparter Organisasjonsnummer xxx xxx xxx xxx Databehandlingsansvarlig Meldingsnummer fra Datatilsynet 1 (Det skal kun sendes

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Ny lov nye muligheter for deling av pasientopplysninger

Ny lov nye muligheter for deling av pasientopplysninger Ny lov nye muligheter for deling av pasientopplysninger - regelverksendringene - felles journal i Helse Nord 17.09.15 - STYRK Årskonferanse 2015 Juridisk rådgiver Heidi Talsethagen, FIKS Fra én journal

Detaljer

Krav til sikkerhetsarkitektur for tilgang på tvers av virksomheter (og systemer)

Krav til sikkerhetsarkitektur for tilgang på tvers av virksomheter (og systemer) Krav til sikkerhetsarkitektur for tilgang på tvers av virksomheter (og systemer) HelsIT 27. september 2011 Trond Elde Arkitekt og FoU-koordinator DIPS ASA Jernbaneveien 85 Bodø Telefon: Epost: 95927134

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Kontroll av reseptformidleren 11122013 endelig kontrollrapport

Kontroll av reseptformidleren 11122013 endelig kontrollrapport Helsedirektoratet Postboks 7000 St Olavs plass 0130 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/10134-6 13/01268-8/MEP 27. februar 2014 Kontroll av reseptformidleren 11122013 endelig

Detaljer

IKT-reglement for NMBU

IKT-reglement for NMBU IKT-reglement for NMBU Vedtatt av Fellesstyret for NVH og UMB 23.05.2013 IKT-reglement for NMBU 1 Innhold 1 Virkeområde for NMBUs IKT-reglement... 3 1.1 Virkeområde... 3 1.2 Informasjon og krav til kunnskap

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Felles datanett for kommunene Inderøy, Verran og Steinkjer IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.

Detaljer

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INSTRUKS FOR BRUK AV INTERNETT OG E-POST Vedtatt av administrasjonsutvalget i Levanger XX.XX.XXXX Vedtatt av administrasjonsutvalget i Verdal XX.XX.XXXX

Detaljer

Avtale mellom. om elektronisk utveksling av opplysninger

Avtale mellom. om elektronisk utveksling av opplysninger Avtale mellom og.. om elektronisk utveksling av opplysninger INNHOLD 1. AVTALENS PARTER 3 2. AVTALENS GJENSTAND OG AVTALENS DOKUMENTER 3 3. HJEMMEL FOR UTLEVERING, INNHENTING OG BEHANDLING AV OPPLYSNINGENE

Detaljer

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18. Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.september 2012 Om Datatilsynet Et forvaltningsorgan med stor grad av faglig uavhengighet

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Legetimen.no Bruksanvisning Versjon 1.02 25. februar 2015

Legetimen.no Bruksanvisning Versjon 1.02 25. februar 2015 Legetimen.no Bruksanvisning Versjon 1.02 25. februar 2015 Forord Velkommen til SMSGurus tjeneste for SMS-timebestilling Legetimen.no! Vi har den glede å presentere et system som gir deg følgende: - enklere

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

innhente taushetsbelagte helseopplysninger. Setningen burde derfor omformuleres.

innhente taushetsbelagte helseopplysninger. Setningen burde derfor omformuleres. SAKSPROTOKOLL Utvalg: Fylkesrådet Møtedato: 14.09.2010 Utvalgssak: 172/10 Resultat: Innstilling vedtatt Arkivsak: 08/2496-7 Tittel: HØRINGSUTTALELSE TIL FORSLAG OM FORSKRIFT OM INFORMASJONSSIKKERHET, TILGANGSSTYRING

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Veileder i. Personvern og informasjonssikkerhet -medisinsk utstyr

Veileder i. Personvern og informasjonssikkerhet -medisinsk utstyr Veileder i Personvern og informasjonssikkerhet -medisinsk utstyr Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.0 www.normen.no INNHOLD 1 INNLEDNING...

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Personvern og informasjonssikkerhet i forskningsprosjekter innenfor helse- og omsorgssektoren

Personvern og informasjonssikkerhet i forskningsprosjekter innenfor helse- og omsorgssektoren Personvern og informasjonssikkerhet i forskningsprosjekter innenfor helse- og omsorgssektoren Veilederen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.2 www.normen.no

Detaljer

eportal for legekontoret

eportal for legekontoret for legekontoret www.compugroupmedical.no Side 1 av 19 Hva er... 3 Fordeler... 3 Aktivering av... 3 Innmelding av pasient... 4 Innmelding av pasient via Winmed Allmenn... 4 Timebok... 5 Generere timebok

Detaljer

Velferdsteknologi Brukerbehov, Erfaringer, Krav og Standardisering Teleforum 2014

Velferdsteknologi Brukerbehov, Erfaringer, Krav og Standardisering Teleforum 2014 Velferdsteknologi Brukerbehov, Erfaringer, Krav og Standardisering Teleforum 2014 Behov for modernisering Antall nordmenn over 67 år øker fra 650 000 i dag til 1 million før 2030 NyAnalyse Norge vil oppleve

Detaljer

Fagplan Helse IKT Versjon 1.0

Fagplan Helse IKT Versjon 1.0 Fagplan Helse IKT Versjon 1.0 Bakgrunn Denne fagplan er laget som et rammeverk til hjelp for å sikre kompetanse om prinsipper for behandling av pasientinformasjon og en forståelse for de krav og regler

Detaljer

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet Direktøren Styresak 69- Orienteringssak - Informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 05.06. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Fremdriftsplan Bakgrunn I

Detaljer

Video-, lyd- og bildeopptak i helse- og omsorgssektoren - en veileder

Video-, lyd- og bildeopptak i helse- og omsorgssektoren - en veileder Video-, lyd- og bildeopptak i helse- og omsorgssektoren - en veileder Veilederen er et støttedokument til Norm for informasjonssikkerhet www.normen.no Utgitt med støtte av: Versjon 1.0 INNHOLD 1 INNLEDNING...

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Fokus på sikkerhet pass på pasientdata

Fokus på sikkerhet pass på pasientdata Fokus på sikkerhet pass på pasientdata Sensitive personopplysninger: Må ikke forsvinne (tilgjengelighet) Må finnes lett og oversiktlig (tilgjengelighet) Må ikke endres av uvedkommende (integritet) Må ikke

Detaljer

Veileder i sikkerhetsarkitektur. For virksomheter som behandler personopplysninger og sensitive personopplysninger. August 2011

Veileder i sikkerhetsarkitektur. For virksomheter som behandler personopplysninger og sensitive personopplysninger. August 2011 Veileder i sikkerhetsarkitektur For virksomheter som behandler personopplysninger og sensitive personopplysninger. August 2011 Innhold Innledning... 3 Krav i regelverket... 5 Hva er informasjonssikkerhet?...

Detaljer

Hva skjer i helse Sør-Øst?

Hva skjer i helse Sør-Øst? Legg inn et bilde som passer programmet Helse Sør-Øst RHF Gode og likeverdige helsetjenester til alle som trenger det, når de trenger det, uavhengig av alder, bosted, etnisk bakgrunn, kjønn og økonomi.

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer