Introduksjon til temaserien
|
|
- Lars-Erik Løken
- 8 år siden
- Visninger:
Transkript
1 TEMAHEFTE NR 1 Introduksjon til temaserien TEMASERIE SIKKER INFORMASJONSBEHANDLING I HELSEVESENET
2
3 Forord Målet med temaserien "Sikker informasjonsbehandling i helsevesenet" er å sette opp et rammeverk som kan benyttes for å etablere og vedlikeholde sikker informasjonsbehandling i alle deler av helsevesenet i Norge. Vårt utgangspunkt er at sikker informasjonsbehandling er en nødvendighet for å drive en forsvarlig helsetjeneste, men også at sikker informasjonsbehandling er en forutsetning og katalysator for at IT skal bidra til mer effektive og kvalitativt bedre helsetjenester og -virksomheter. For å oppnå dette, må arbeidet med å realisere sikker informasjonsbehandling i den enkelte virksomhet gis en hensiktsmessig organisatorisk forankring og fokusering. KITH bygger opp og tar mål av seg til å inneha høy faglig kompetanse på dette området, både på nasjonalt og internasjonalt nivå. KITH vil i samråd med helsemyndigheter, helseinstitusjoner og Datatilsynet gjennomføre konkrete prosjekter innen fagområdet informasjonssikkerhet, og gjennom ulike tiltak informere helsevesenet om utviklingen innen feltet. Temaserien hvor dette heftet er nr 1 i en serie er et viktig ledd i denne informasjons- og kunnskapsoverføringen. Dette temaheftet er i hovedsak ment som en introduksjon og sammendrag av de viktigste problemstillingene knyttet til sikker informasjonsbehandling i helsevesenet. Heftet er tidligere gitt ut i 1994, men i denne utgaven er det foretatt en betydelig revisjon. Målgruppen er ledere og beslutningstakere på alle forvaltningsnivåer, både på virksomhets- og eiersiden. Kenneth R. Iversen er redaktør for temaserien. Dette heftet er skrevet av sjefkonsulent Kenneth R. Iversen og konsulent Bjarte Aksnes, med bidrag fra seniorkonsulent Tor Olav Grøtan, alle KITH. Direktør Bjørn Engum, KITH, har medvirket med kvalitetskontroll av temaheftet. Trondheim Kenneth R. Iversen
4 Innhold SIKKER INFORMASJONSBEHANDLING 1 Hvorfor sikker informasjonsbehandling? 2 Strategiske utfordringer 3 HVORDAN ETABLERE SIKKER INFORMASJONS BEHANDLING? 5 Et ledelsesansvar 7 Et ansvar for alle 7 Internkontroll og kvalitetssikring 8 HANDLINGSPLAN VED BRUK AV TEMASERIEN 9 Gevinster knyttet til informasjonssikkerhet 9 Faktorer for en vellykket satsing 10 Handlingsplan for sikker informasjonsbehandling 11 Mål, omfang og avgrensing 14 Referanser 15 VEDLEGG A: TEMAHEFTER I SERIEN 17 Anbefalt litteratur 18
5
6 INTRODUKSJON TIL TEMASERIEN Sikker informasjonsbehandling Kapittel 1 I dette innledningsheftet til temaserien vil vi skissere rammene for hva temaserien vil omfatte. Temaserien har fått navnet "Sikker informasjonsbehandling i helsevesenet", og vi vil derfor starte med å forklare hva vi mener med sikker informasjonsbehandling. Sikker informasjonsbehandling Hva er informasjonssikkerhet? Sikkerhetsmål for medisinsk informasjon Med sikker informasjonsbehandling menes en kontrollert, trygg og forsvarlig håndtering og bruk av informasjon i.h.t vedtatte, aksepterte og autoritative normer og krav. Gevinstene knyttet til sikker informasjonsbehandling er på den ene siden knyttet til reduksjon av risiko for avdekking, tap eller skade på informasjon, og dermed på personer eller virksomheter, som følge av dramatiske hendelser eller overlagte sikkerhetsbrudd. På den andre side har vi gevinstene som kan oppnås gjennom å stille krav og forventninger til informasjonsbehandlingens rolle i forhold til å styrke og forbedre den daglige oppgaveløsningen og de sentrale arbeidsprosessene. Informasjonssikkerhet omfatter de tekniske og organisatoriske modeller, verktøy, standarder, krav og anbefalinger sektoren har tilgjengelig for å sikre at utvikling, innføring og bruk av IT-systemer på en best mulig realiserer de vedtatte målene for sikker informasjonsbehandling. Informasjonssikkerhet er et begrep som kan defineres på ulike måter. Det mest vanlige er å knytte definisjonen til de sikkerhetsmål som generelt kan settes opp for sensitiv og kritisk medisinsk informasjon: Sikre informasjonens kvalitet og integritet. Med kvalitet forstår vi at informasjonen er korrekt, relevant, tidsriktig og komplett. Integritet innebærer også at informasjon ikke er endret eller slettet på en måte som ikke er autorisert, og som reduserer kvaliteten. For medisinsk informasjon kan konsekvensene av manglende kvalitet være at pasienter blir feilbehandlet. Sikre informasjonens tilgjengelighet. Med tilgjengelighet mener vi at autoriserte personer skal få tilgang til den informasjon det er behov for, når det er nødvendig. Manglende tilgjengelighet kan få fatale konsekvenser for pasientene, samtidig som det ofte er forbundet med store ekstrakostnader for virksomheten. 1
7 SIKKER INFORMASJONS-BEHANDLING Sikre informasjonens konfidensialitet. Konfidensialitet innebærer at informasjon ikke avdekkes (gjøres tilgjengelig) for andre enn de som har et rettmessig behov for å lese informasjonen. Konfidensialitet forbindes ofte entydig med personvern, selv om dette er å definere personvern for snevert. Konfidensialitet er også av stor betydning for å opprettholde tillitsforholdet mellom befolkningen og helsevesenet. I tillegg er det et mål å oppnå organisatoriske forbedringer, samt økt tillit fra pasientene gjennom sikker informasjonsbehandling. Vi vil poengtere at disse sikkerhetsmålene ikke bare er knyttet til helserelatert personidentifiserbar informasjon, men gjelder for all informasjon som forvaltes i virksomheten, riktignok i ulik grad etter informasjonens karakter (sensitivitetsgrad, risikofaktorer, sårbarhet etc). Ikke bare et teknologisk spørsmål, men også et organisatorisk spørsmål Informasjonssikkerhet er som vi allerede har påpekt, ikke kun et teknologisk anliggende, og det er således ikke nok å fokusere på sikkerhet i ITsystemene alene. I denne temaserien vil vi legge vekt på hele organisasjonens innretting mot å behandle informasjon på en måte som sikrer informasjonens konfidensialitet, kvalitet og tilgjengelighet. I dette perspektivet er informasjonsforvaltning en helt fundamental del av helseinstitusjoners kjernevirksomhet; diagnostisering, behandling og pleie av pasienter, forebygging av sykdommer, utdanning av helsepersonell etc. Hvorfor sikker informasjonsbehandling? Helsevesenet behandler store mengder informasjon, hvorav en stor del er svært sensitive person- og pasientopplysninger. Undersøkelser på europeisk basis antyder at over 30 % av helsevesenets driftskostnader er direkte knyttet til informasjonshåndtering [CEC93]. Under konstante krav om kostnadseffektivisering, produktivitetsøkning og bedret kvalitet og service, har helsevesenet i stadig større grad tatt Det er en kortsiktig tankegang i bruk informasjonsteknologi (IT) 1. Det å gjemme seg unna en satsing er også planlagt en videre satsing på på sikker informasjonsbehandling! informasjonsteknologi i helsevesenet gjennom handlingsplanen "Mer helse for hver bit" for perioden [SHD96], som helseminister 1 Informasjonsteknologi (IT) er teknologi for å samle inn, bearbeide, lagre og formidle informasjon som tekst, data, lyd, bilde og video, i digital form. Deles ofte inn i programvare (eng. software), maskinvare (eng. hardware) og nettvare (eng. netware) [SHD96]. 2
8 SIKKER INFORMASJONS-BEHANDLING Gudmund Hernes la fram i desember Blant de hovedmålene som er gitt i planen finner vi mål nr 5: Ivareta fullgod informasjonssikkerhet ivareta både forsvarlig og effektiv pasientbehandling og et sterkt personvern. Dette signaliserer at helsevesenet tar sikte på å utnytte informasjonsteknologi til å gi oss en bedre helsetjeneste, samtidig som personvernet ivaretas og styrkes i forhold til dagens situasjon med i all hovedsak papirbaserte informasjonssystemer. Ikke nødvendigvis motsetning mellom personvern og tilgjengelighet Det blir ofte satt opp en motsetning mellom personvern (les konfidensialitet) og tilgjengelighet til pasientopplysninger. Betrakter vi dagens papirbaserte fellesjournaler på større sykehus, kan dette til en viss grad være riktig 2. Vi vil hevde at denne motsetningen ikke lenger burde være en relevant problemstilling: Informasjonsteknologien er i dag i stand til å tilby løsninger som kan sikre god kvalitet og tilgjengelighet, samtidig som personvernet ikke bare blir ivaretatt, men også styrkes i forhold til de fleste av dagens manuelle systemer (f.eks fellesjournaler på sykehus). Strategiske utfordringer Tilgjengelighet til og kvalitet på informasjonen er kritiske faktorer Når informasjonsteknologi i stadig større grad blir tatt i bruk i helsevesenet, vil mange ansatte som følge av dette, bli helt avhengige av rask tilgang til nøyaktig informasjon fra disse systemene for å kunne utføre sitt arbeide. Tilgjengelighet til informasjon og informasjonens kvalitet blir derfor stadig mer kritiske faktorer, som framover vil være av stor betydning for hvordan helsevesenet skal klare å løse sine oppgaver. For ledere i helsevesenet utgjør informasjon fra ulike administrative- og pasientadministrative systemer, journalsystemer og økonomisystemer hovedgrunnlaget som virksomheten kan planlegges og styres etter. Informasjon og informasjonsteknologi er i stadig større grad strategiske ressurser for virksomheter i helsevesenet. Tillitsforholdet mellom pasienter og helsevesenet er av stor betydning Informasjonen som behandles f.eks pasientjournaler vil ofte ha direkte betydning for pasientbehandlingen og pasientsikkerheten. Her berører vi en viktig, men ofte undervurdert faktor i sammenheng med innføring og bruk av informasjonsteknologi: Tillitsforholdet mellom helsevesenet på den ene siden og pasienter og allmennheten på den andre blir satt på prøve. Det er nødvendig for helsevesenet at pasienter har god tiltro til den behandling og pleie de gjennomgår. Dette fordrer god informasjonskvalitet og -tilgjengelighet. Samtidig må de ha god tiltro til at den informasjonen som benyttes, forvaltes på en betryggende og konfidensiell måte. Manglende tiltro fra pasienter til at konfidensialiteten er sikret, kan på lengre sikt føre til at pasienter holder tilbake viktige sensiti- 2På den ene siden kan det være viktig for leger å ha rask tilgang til relevante opplysninger om en pasient. På den andre siden er all informasjon om pasienten uten videre tilgjengelig for alt personell som får tilgang til fellesjournalen, uten at det nødvendigvis er behov for det. 3
9 SIKKER INFORMASJONS-BEHANDLING ve opplysninger, med de alvorlige følger dette kan få både for pasientsikkerhet og informasjonskvalitet. Det er fare for at Datatilsynet eller helsemyndighetene kan komme til å forsinke videre utnyttelse av ny teknologi hvis ikke informasjonssikkerheten ivaretas på en tilfredsstillende måte. Dagens utvikling har tendenser til teknologidrevet tøyning av til dels uklare prinsipper og regler for beskyttelse av informasjon. Dette kan ikke vedvare, selv om det er all grunn til å tro at helsevesenet fortsatt vil være en hovedarena for utvikling og grensesetting innen innhenting, behandling og spredning av sensitiv informasjon, i forhold til politiske og fag-etiske normer og mål. Desto viktigere er det for ledelsen å innarbeide et syn i organisasjonen på at sikker informasjonsbehandling ikke er en pålagt byrde, men en positiv grunnholdning knyttet til en hensiktsmessig, målrettet og effektiv informasjonsbehandling. Økende vilje til å prioritere tiltak for sikker informasjonsbehandling Helsemyndighetene og ledere ved ulike virksomheter i helsevesenet har, som følge av denne utviklingen, i økende grad erkjent at IT og ITrelaterte problemstillinger må planlegges og styres. De har også innsett betydningen og nødvendigheten av å definere strategier, policyer, målsetninger og retningslinjer for informasjonsbehandling, herunder bruk av informasjonsteknologi. Ikke minst er det viktig at det har vært en økende vilje til å bruke tid og penger til tiltak for sikker informasjonsbehandling, både gjennom sentrale og lokale initiativ. KITH har startet utarbeidingen av denne temaserien som et ledd i programmet "Helsevesenets generelle kravspesifikasjoner" (HGK). HGK har bl.a som målsetning å sikre praktisk anvendelse av resultatene fra standardiseringsprogrammet, og det er derfor et mål at denne temaserien skal stimulere til og støtte opp under tiltak på lokalt plan. 4
10 INTRODUKSJON TIL TEMASERIEN Hvordan etablere sikker informasjons behandling? Kapittel 2 Pasientinformasjon som innhentes, lagres og behandles i helsevesenet er til dels svært sensitiv og ofte av vital betydning. Taushetsplikten og hensynet til pasientene står, og har alltid stått, sterkt blant helsepersonell. Samtidig er det en bred forståelse for at medisinsk og annen informasjon må sikres bedre både i forhold til kvalitet, tilgjengelighet og konfidensialitet. I dette kapittelet vil vi beskrive en metodisk tilnærming for å etablere og opprettholde sikker informasjonsbehandling. For å etablere og opprettholde sikker informasjonsbehandling er det ikke nok å gjøre "enkle" grep som å installere programvare og teknisk utstyr som er utviklet spesielt for å ivareta sikkerhet. Det må framfor alt skje en endring i organisasjonskulturen og de ansattes holdninger, og for å få dette til tror vi at det er nødvendig å gjennomføre en organisasjonsutviklingsprosess. En slik prosess kan være krevende å gjennomføre, men dersom en ikke legger et slikt ambisjonsnivå til grunn, vil en vanskelig kunne lykkes i målet om sikker informasjonsbehandling. Vi vil derfor legge et OU 3 -perspektiv til grunn for den videre beskrivelse av hvordan helseinstitusjoner kan oppnå sikker informasjonsbehandling Figur 1 Sikker informasjonsbehand ling som OU-prosess NÅTILSTAND Sikker Infobehandling Forvaltning og forbedring (Trinnvis) Organisatorisk endring ØNSKET TILSTAND Sikker Infobehandling Figur 1 uttrykker at arbeidet med informasjonssikkerhet bør ha to (relativt) uavhengige fokus. Det ene er forvaltning av en nåsituasjon (nåtilstand). Det andre er en organisatorisk endringsprosess i retning av en ønsket tilstand. For å fange opp begge disse to aspektene bør arbeidet innrettes som en organisajonsutviklingsprosess (OU-prosess). Figuren uttrykker også at både nåtilstanden og den ønskede tilstanden må romme en beskrivelse av og bevissthet om målene for sikker informasjonsbe- 3 Organisasjonsutvikling 5
11 HVORDAN ETABLERE SIKKER INFORMASJONS BEHANDLING? handling, samt hvordan målene er tenkt realisert i form av informasjonssikkerhet. Figur 2 Faseinndeling INNSTRAMMING SAMARBEID og UTVIKLING Visjon: Den lærende organisasjonen Fase 1: Innstramming (kortsiktig) Fase 2: Samarbeid og utvikling (langsiktig) Vi vil anbefale at arbeidet med å sikre informasjonsbehandlingen, legges opp som et løp med to faser (se Figur 2). Den første fasen har vi kalt innstramming, og den går ut på finne ut hva som er status for informasjonssikkerheten i organisasjonen og gjennomføre tiltak for å forbedre sikkerheten på kort sikt. I denne fasen bør det utarbeides dokumentasjon som sikkerhetspolicy, retningslinjer og handlingsplan for sikker informasjonsbehandling. Dette bør skje sammen med en innstramming av rutiner, prosedyrer og ansvarsforhold. Dette kan skje ved å benytte prinsipper fra intern- og egenkontroll. På denne måten vil en sikre at alle interesser ivaretas, og at det skapes en juridisk ryggdekning i forhold til gjeldende regelverk. I fase 2, som vi har kalt samarbeid og utvikling, legges det opp til en langsiktig og kontinuerlig forbedringsprosess. For å få dette til må det legges opp til et bredt samarbeid gjennom å etablere arenaer og prosesser for sikker informasjonsbehandling. Det tas utgangspunkt i de spillereglene som er utviklet i fase 1, men disse bør hele tiden være utgangspunkt for diskusjon og revisjon. I denne fasen vil metodene fra OU spille en stor rolle. Det vi ønsker å strekke oss mot er en såkalt lærende organisasjon, der brukerne og organisasjonen hele tiden er i stand til å endre seg i takt med utviklingen, uten at det må iverksettes strenge kontrolltiltak. 6
12 HVORDAN ETABLERE SIKKER INFORMASJONS BEHANDLING? Et ledelsesansvar Ledelsen har overordnet ansvar for sikker informasjonsbehandling Ikke bare IT-sjef som er ansvarlig for informasjonssikkerheten Det overordnede ansvaret for sikker informasjonsbehandling ligger hos virksomhetens øverste ledelse. Riktignok knytter det seg en del juridiske krav til roller og ansvar for håndtering av medisinsk informasjon. Disse er ofte knyttet til legers selvstendige ansvar for de pasientopplysninger de samler og oppbevarer i pasientjournalene 4. Dette endrer ikke på det faktum at toppledelsen har det overordnede ansvaret for sikker informasjonsbehandling. Informasjon er i stadig økende grad en strategisk ressurs for virksomheter i helsevesenet. Medisinsk pasientinformasjon, pasientadministrativ informasjon, personalinformasjon og økonomiinformasjon utgjør grunnlaget som virksomheten kan planlegges og styres etter. Informasjonssikkerhet er således ikke kun et ansvar for IT-sjefer 5. IT-sjef har et delansvar for at IT-sikkerheten 6 er tilstrekkelig sett i forhold til de krav som er definert på strategisk ledelsesnivå, og som skal gjelde for virksomheten som helhet. Et viktig moment både for øverste ledelse og IT-ledelse er at informasjonssikkerhet må ses som en integrert del av virksomhetens satsing på informasjonsteknologi, og at sikkerhet er klart i fokus i virksomhetens strategi for informasjonsforvaltning generelt og IT-strategi spesielt. Et ansvar for alle Brukerne er nøkkelen til sikker informasjonsbehandling Vi har allerede påpekt at IT er en stadig viktigere faktor i informasjonsbehandlingen i helsevesenet. Det er derimot menneskene i organisasjonen som i all hovedsak står for registreringen og bruken av informasjonen, som trekker konklusjonene og gjør vurderingene. IT skal væreen støtte for brukerne i deres daglige behandling av informasjon. Samtidig som IT-systemene skal støtte menneskene i deres daglige virke, er det sentralt at også menneskene støtter IT-systemene, f.eks ved å følge de retningslinjene som er satt for bruk av systemene. Skal vi få dette til må brukerne for det første ha tiltro til at systemet reellt bidrar til å forenkle deres hverdag og/eller bidrar klart positivt i forhold til andre sentrale målsetninger som f.eks bedre og mer effektiv pasientbehandling. For det andre må brukerne ha en klar forståelse for at det er de som er nøkkelen til å nå de fastsatte mål med å ta IT-systemet i bruk ikke IT-systemet selv. 4I følge Helsetilsynet/Datatilsynet er medisinsk faglig ansvarlig lege overordnet ansvarlig for sikkerheten knyttet til informasjonen i pasientjournaler, også EDB-baserte pasientjournalsystemer, innen sin virksomhet. 5Vi presiserer dette fordi erfaring tilsier at EDB/IT-sjefer for ofte har fått et for stort og selvstendig ansvar på dette området. 6IT-sikkerheten slik vi fortolker begrepet, omfatter de systemtekniske sikkerhetstiltakene i tilknytning til de enkelte IT-systemene. 7
13 HVORDAN ETABLERE SIKKER INFORMASJONS BEHANDLING? Organisasjonskultur som bygger opp under sikkerhetspolicyen Vi vil poengtere at det ikke er mulig å oppnå et tilfredsstillende nivå for sikker informasjonsbehandling om ikke hver enkelt bruker av ITsystemene behandler disse i henhold til den policy for informasjonssikkerhet som er definert for virksomheten generelt og for IT-systemet spesielt. Alle har et selvstendig ansvar for informasjonssikkerheten. Det må derfor etableres en kultur som på en positiv måte bygger opp under sikkerhetspolicyen, noe vi tror best kan gjøre gjennom en OU-prosess. Dette krever en kontinuerlig satsing på opplæring, motivering og bevisstgjøring av de ansatte, samtidig som IT-systemene må tilby sikkerhet på en brukervennlig måte. Internkontroll og kvalitetssikring Vi betrakter sikker informasjonsbehandling som en naturlig og nødvendig del av det totale kvalitetsbegrepet som benyttes i helsevesenet. Internkontroll, egenkontroll og kvalitetssikring er områder hvor det i dag satses betydelige ressurser, men som sjelden forholder seg spesifikt til informasjonsbehandling eller informasjonssikkerhet. Samordning av internkontroll og kvalitetssikring med informasjonssikkerhet Virksomheter i helsevesenet bør organisere arbeidet med å etablere sikker informasjonsbehandling innen sin virksomhet i nær tilknytning til arbeidet med internkontroll, egenkontroll og kvalitetssikring. Det er så mange fellesnevnere i arbeidet med informasjonssikkerhet, internkontroll og kvalitetssikring, at det er grunn til å tro det er både nødvendig, hensiktsmessig og kostnadseffektivt å samordne disse tiltaksområdene innen virksomheten. Vi tror at internkontroll er den beste måten å sikre at gjeldende policy og retningslinjer følges opp. Ved å bruke prinsippene fra internkontroll og kvalitetssikring kan brukerne være med på både å utforme og følge opp retningslinjer og policy, noe som kan bidra til mer motiverte brukere. For å få dette til er det nødvendig å satse på å bygge opp kompetansen i bruk av internkontroll og kvalitetssikring. 8
14 INTRODUKSJON TIL TEMASERIEN Handlingsplan ved bruk av temaserien Kapittel 3 I dette kapittelet vil vi starte med å peke på de gevinster man kan oppnå ved å etablere en sikker informasjonsbehandling i virksomheten. Vi vil deretter skissere en handlingsplan for hvordan man kan gå frem for å etablere en sikker informasjonsbehandling, ved å støtte seg til temaserien. Denne handlingsplanen vil sette de ulike temaheftene inn i en sammenheng, og peke på i hvilken fase hvert av temaheftene bør brukes. Gevinster knyttet til informasjonssikkerhet IT som virkemiddel for å få mer ut av helsekronene Helsetjenestene står i dag overfor store og økende utfordringer samtidig som de økonomiske rammebetingelsene ikke øker med samme takt. "Mer helse for hver krone" er et politisk slagord som ofte innebærer en hard virkelighet for de som får i oppgave å sette politikken ut i livet. Gjennom handlingsplanen "Mer helse for hver bit" signaliserer Sosialog Helsedepartementet at IT skal være et viktig virkemiddel for å få mer ut av de kronene som investeres i helsesektoren. Mot en slik bakgrunn, hvorfor skal ledelsen ved virksomheter i helsevesenet satse ressurser på informasjonssikkerhet? Vi har allerede forsøkt å trekke fram en del sentrale aspekter som vi mener tydeliggjør nødvendigheten av og gevinster ved å investere tid og penger i tiltak for sikker informasjonsbehandling. I tabellen nedenfor rekapitulerer vi kort de gevinster ledelsen ved virksomheter i helsevesenet kan forvente å få ut av en slik investering, både m.h.t det vi kan kalle "utgift til inntekts ervervelse" og "utgift til utgifts besparelse". 9
15 HANDLINGSPLAN VED BRUK AV TEMASERIEN Bedre forståelse for informasjonens betydning generelt og informasjonsteknologiens betydning spesielt. Mer motiverte brukere av informasjonssystemene. Bedret informasjonsgrunnlag for både planlegging, ledelse og styring, kvalitetssikring, klinisk virksomhet og forskning. Økt tiltro til informasjonsforvaltningen fra pasienter og allmennheten generelt. Bedre, mer kostnadseffektiv og mer kontinuerlig utnyttelse av IT-systemene. Konkurransefortrinn med hensyn til inntekter fra innsatsstyrt finansiering. Forhindre økonomiske utgifter 7 som følge av virksomhetsavbrudd eller tap av informasjon/utstyr. Forhindre tapte inntekter 8 som følge av virksomhetsavbrudd eller tap av informasjon/utstyr. Forhindre at informasjon om pasienter og ansatte gjøres tilgjengelig for uautoriserte personer (sikre personvernet). Forhindre andre negative konsekvenser som pasientskader, negativ mediaomtale, erstatningskrav (fra pasienter), etc. Faktorer for en vellykket satsing Erfaringer fra Norge og Europa ellers viser at følgende faktorer er svært viktige for vellykket etablering og vedlikehold av informasjonssikkerhet innen virksomheter i helsevesenet [DTI93, Sta93]: 1. Det må være etablert en god forståelse i organisasjonen generelt og ledelsen spesielt for hva som er grunnlaget for og formålet med de ulike delene av informasjonsbehandlingen i virksomheten. Det må også være en klar bevissthet om hvilke trusler og sårbarheter som er knyttet til informasjonsbehandlingen. 2. Sikkerhetsstrategier, sikkerhetspolicyer og organiseringen av Skal man få full uttelling, må man ha det klart for seg hva som kreves. 7F.eks knyttet til den betydelige ekstrainnsatsen som er nødvendig for å drive forsvarlig uten tilgang til de IT-systemer en har blitt så avhengig av. 8F.eks tap av primærlegekunder for laboratoriene i et sykehus eller tapte muligheter for fakturering/refusjon. 10
16 sikkerhetsarbeidet må være orientert mot og understøtte kjernevirksomheten 9 og føres an av personer i tilknytning til denne. 3. Det må under hele prosessen være klar og synlig støtte og deltakelse fra ledelsen. 4. Kunnskap og bevissthet om informasjonssikkerhet må effektivt og målrettet bibringes i første rekke til alle ledere i virksomheten og deretter til andre ansatte. 5. Utfyllende opplæring og veiledning om gjeldende sikkerhetspolicy må gis regelmessig til alle ansatte. Veiledning må også gis utenforstående som utfører arbeid på vegne av virksomheten. 6. Regelmessig evaluering, testing og revisjon av alle strategier og tiltak. Handlingsplan for sikker informasjonsbehandling Vi vil her skissere en handlingsplan for etablering og vedlikehold av sikker informasjonsbehandling for virksomheter i helsevesenet. Handlingsplanen driver fram et krav om en forståelse fra ledelsens side om hva som er omfanget av og formålet med selve informasjonsbehandlingen i virksomheten. En skisse av handlingsplanen med angivelse av hvilken fase hvert av temaheftene bør brukes i er gitt i Figur 3. Forprosjekt: Gjennomgå TH1 og TH4; dagens status TH2: Overordnet sikkerhetspolicy Prosessen med å forbedre informasjonssikkerheten i virksomheten bør starte med et forprosjekt. Målet med forprosjektet er å vurdere dagens situasjon når det gjelder sikkerhet i informasjonsbehandlingen, samt å skape en felles forståelse for situasjonen. I denne fasen er det spesielt viktig å sikre en forankring hos ledelsen, slik at en er sikker på at nødvendige ressurser for å gjennomføre prosessen gjøres tilgjengelig. Forprosjektet kan gjennomføres ved å sette ned en gruppe, sammensatt av personer med både medisinsk og teknisk (IT) kompetanse, samt personer fra strategisk ledelse. Disse bør som et minimum gjennomgå temahefte 1 og temahefte 4 som setter opp rammene for temaserien, og deretter foreta en vurdering av hvordan status for sikkerheten er i egen virksomhet. Med dette som grunnlag bør det settes opp en handlingsplan for det videre arbeidet med å sikre informasjonsbehandlingen. Neste steg bør være å etablere en overordnet sikkerhetspolicy for virksomheten. Temahefte 2 Overordnet sikkerhetspolicy 10 gir retningslinjer for dette. Arbeidet må koordineres med virksomhetens overordnede 9Som i all hovedsak er pasientbehandlingen og det personell som er involvert i denne. 10 Med policy mener vi et dokument som omfatter både mål, prinsipper, regler, instrukser og retningslinjer. 11
17 HANDLINGSPLAN VED BRUK AV TEMASERIEN strategi og annen relevant virksomhetsplanlegging. Dersom det finnes en IT-strategi for virksomheten, må det også tas utgangspunkt i denne. Dette kan også være en anledning til å avdekke behovet for en revisjon av gjeldende IT-strategi. Det er viktig at det skapes en bred aksept av og forståelse for policydokumentet; dette innebærer opplæring, bevisstgjøring og motivering, samt brukermedvirkning i utarbeidingen. Figur 3 Handlingsplan for sikker informasjonsbehandling Forprosjekt Gjennomgå TH1 og TH4 Handlingsplan Overordnet sikkerhetspolicy og basal sikkerhetsorg. (TH2) Systemvise sikkerhetspolicyer (TH3) OU og endringsarbeid TH4 og TH5 Kvalitetssikring og internkontroll i sikkerhetsarbeidet (TH6) For å sette en sikkerhetspolicy ut i livet, er det nødvendig å organisere virksomheten på en måte som gjør hele organisasjonen best mulig i stand til å tilegne og tilpasse seg policyen. Roller må defineres, delansvar og oppgaver må delegeres. Dette er ofte et kritisk og vanskelig punkt og kan være en kilde til konflikt mellom ulike helsepersonellkategorier, tekniske personell og ulike ledernivåer, både medisinsk og administrativt. TH3: Systemvise sikkehetspolicyer Når den overordnede policyen for sikker informasjonsbehandling er på plass, gjelder det å få satt denne ut i livet i virksomheten. Her anbefaler vi at det etableres systemvise sikkerhetspolicyer for de viktigste informasjonssystemene, slik som pasientadministrative system (PAS-system), journalsystem, meldingssystem osv. Dette innebærer m.a en konkretisering av administrative rutiner for de spesifikke IT-systemene, ned til et relativt detaljert nivå; hvilke rutiner skal benyttes for f.eks registrering og 12
18 uthenting av informasjon, hvem skal ha tilgang til hvilken informasjon, etc. Temahefte 3 Utarbeiding av systemvise sikkerhetspolicyer kan tjene som en mal for hver av disse policyene. I etterkant må det sørges for at de systemvise policyene tas i bruk, ved å skissere konkrete administrative, personellmessige, systemtekniske og fysiske tiltak som er nødvendige for at alle policyer blir etterkommet. Det er her helt essensielt at policyen spres til alle brukere, samt at det gis tilstrekkelig opplæring og motivasjon. Etter at denne prosessen er gjennomført bør man ha oppnådd et nødvendig grunnlag for sikker informasjonsbehandlingen, men dersom ikke policyene jevnlig følges opp og revideres, vil de fort komme i utakt med endringer i informasjonsbehandling og informasjonsteknologi. Temahefte 4 Rammeverk for organisasjonsutvikling og Temahefte 5 Mot nye mål! Perspektiver og endringsmetodikk gir støtte til det videre arbeidet. TH4:Rammeverk for organisasjonsutvikling TH5 Mot nye mål! Perspektiver og endringsmetodikk Kvalitetssikring og internkontroll i sikkerhetsarbeidet (TH6) Ulike ambisjonsnivåer Det bør etableres en egen sikkerhetsorganisasjon som er i stand til å håndtere det langsiktige endrings- og strategiarbeidet som er nødvendig for å ivareta sikker informasjonsbehandling. Temahefte 4 gir hjelp til å trenge dypere inn i nåtilstanden, og å etablere et rammeverk for endringsutvikling. Ikke minst er det viktig at det skapes en forståelse og delaktighet i organisasjonen for sikkerhetstiltakene, og dette tror vi best kan gjøres gjennom en organisatorisk endringsprosess (OU-prosess). Temahefte 5 kan brukes for å identifisere, utdype og konkretisere virksomhetens visjon for en ønsket sikkerhetstilstand. Det legges opp til at visjonen skal være kvalitets- og verdiorientert, i motsetning til regelorientert. Temaheftet gir også en beskrivelse av endringsmetodikk som kan brukes for å få organisasjonen til å endre seg i ønsket retning. Vi tror også at det er nødvendig å utvide organisasjonens internkontroll og kvalitetssikringssystem til også å omfatte informasjonsbehandlingen, og på denne måten bruke prinsipper fra disse fagområdene til å sikre informasjonsbehandlingen. Dette vil vi ta opp i et kommende Temahefte nr. 6. Vi har valgt å innrette temaserien slik at den kan støtte ulike ambisjonsnivåer i arbeidet med informasjonssikkerhet. Valg av ambisjonsnivå vil komme til syne gjennom måten endringsarbeidet drives på. De to ytterpunktene er: En tradisjonell ekspertprosess basert på f.eks Temahefte 2 og 3, der resultatene meddeles resten av organisasjonen gjennom retningslinjer og krav. En prosess med bred deltakelse og involvering fra brukersiden, slik det er skissert i Temahefte 4 og 5, der det legges stor vekt på å høyne bevissthetsnivået til hele organisasjonen m.h.t sikker informasjonsbehandling. 13
19 HANDLINGSPLAN VED BRUK AV TEMASERIEN Mål, omfang og avgrensing KITHs utgangspunkt for temaserien er innføring og bruk av informasjonsteknologi, og de muligheter og utfordringer dette byr på når det gjelder å innhente, lagre, behandle og kommunisere sensitive helserelaterte personopplysninger. Sikker informasjonsbehandling er i denne sammenhengen ikke bare en forutsetning for, men også en støtte for en målrettet, effektiv og tillitvekkende anvendelse av IT i organisasjoner i helsevesenet. Effektmål KITHs arbeid med en temaserie om sikker informasjonsbehandling har følgende effektmål: Å sette opp et rammeverk for etablering og vedlikehold av sikker informasjonsbehandling i alle deler av helsevesenet. Resultatmål: temaserien KITHs rolle Resultatmålet er å utarbeide en serie med temahefter som omhandler ulike sentrale aspekter ved problemområdet; fra overordnede problemstillinger som strategi- og policyutvikling og organisering av arbeidet med informasjonssikkerhet, til mer IT-spesifikke problemstillinger som utarbeiding av systemvise sikkerhetspolicyer. Temaseriens viktigste funksjon er å yte "hjelp til selvhjelp". KITH vil i et begrenset omfang være interessert i å innta rollen som prosesskonsulent, bl.a for å videreutvikle temaserien. For KITH kan en slik deltakelse være med på å videreutvikle vår kompetansen på området, samtidig som vi hjelper virksomhetene til å definere sitt eget ambisjonsnivå og hvordan dette kan nås. Temaserien søker å fokusere på den stadig økende rolle informasjonsteknologi spiller for informasjonshåndtering i helsevesenet. Vi setter særlig fokus på de konsekvenser dette har for personer og organisasjoner i helsevesenet som omgir seg med og råder over informasjonssystemene. Temaserien vil gjenspeile at vi ser på sikker informasjonsbehandling i helsevesenet primært som en sosioteknisk problemstilling, d.v.s som primært er knyttet til samspillet mellom mennesker og organisasjoner i helsevesenet og den informasjonsteknologi disse anvender i sin virksomhet. I tillegg er også problemstillingene rundt sikker informasjonsbehandling nært knyttet til politiske, etiske (inklusive faglig-etiske) og juridiske spørsmål og holdninger. Dette vil naturlig nok også reflekteres i temaheftene. 14
20 Referanser [CEC93] Commission of the European Communities, DG XIII B. Collaboration in the field of Electronic Signature and Trusted Third Party Services. INFOSEC Workplan '94. Juli [CGM91] Christensen, G., S. Grønland og L. Methlie. Informasjonsteknologi Strategi, organisasjon, styring. Bedriftsøkonomens forlag [DTI93] [Sta93] [SHD96] Department of Trade and Industry, UK. A Code of Practice for Information Security Management. Mars Statskonsult. IT-sikkerhet i sivil forvaltning. Med vekt på tilgjengelighet og kvalitet. Temahefte, Statskonsult. Desember Sosial og Helsedepartementet. Mer helse for hver bit. Handlingsplan Oktober
21
22 INTRODUKSJON TIL TEMASERIEN Temahefter i serien Vedlegg A Temaserien sikker informasjonsbehandling i helsevesenet består pr. juni 1997 av følgende temahefter: TH1: Introduksjon til temaserien for ledere og beslutningstakere TH2: Overordnet policy for informasjonssikkerhet i helsesektoren TH3: Utarbeiding av systemvise sikkerhetspolicyer TH4: Rammeverk for organisasjonsutvikling TH5: Mot nye mål! Perspektiver og endringsmetodikk Det er også under utarbeidelse et temahefte (TH6) om bruk av internkontroll og kvalitetssikring i arbeidet med informasjonssikkerhet. Vi vil poengtere at selv om dette er en serie av temahefter, kan hvert av heftene leses uavhengig av de andre. Temaheftene kan bestilles enkeltvis eller ved abonnement, hos KITH, Medisinsk Teknisk Senter, 7005 TRONDHEIM, Tlf Prisen vil være ca kr 100 pr hefte, som hovedsakelig går til å dekke trykkekostnader. Temaserien vil også være tilgjengelig på internett, se Nå er det på tide å komme i gang! 17
23 Anbefalt litteratur Barber, B., A. R. Bakker og S. Bengtson (red). Proceedings of the IMIA WG4 Working Conference on Caring for Health Information: Safety, Security and Secrecy. International Journal for Bio-Medical Computing 35 (Suppl. 1). Februar, Commission of the European Communities (red). Proceedings of the AIM Working Conference on Data Protection and Confidentiality in Health Informatics. IOS Press. Mai, Department of Trade and Industry, UK. Information Security Management. Introduksjon til "A Code of Practice for Information Security Management." Mars DNLF Datapolitiske grunnholdninger Iversen, K. R. OECD Noen aspekter ved konfidensialitet, kvalitet og tilgjengelighet i medisinske informasjonssystemer. KITHrapport R 5/92. Retningslinjer for informasjonssystemers sikkerhet (Norsk utgave ved Statskonsult, 1994.) Solheim, B. og A. Lie. Informasjonsteknologi i helsesektoren. Universitetsforlaget
Digitaliseringsstrategi for Buskerud fylkeskommune. Revidert
Digitaliseringsstrategi for Buskerud fylkeskommune Revidert 2018-2020 Buskerud fylkeskommune Stab og kvalitetsavdelingen oktober 2017 Innhold 1. INNLEDNING... 3 2. GJENNOMFØRING... 4 3. SATSINGSOMRÅDER...
DetaljerDigitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.
Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.april 2015 Innhold 1. INNLEDNING... 3 2. GJENNOMFØRING... 4 3. SATSINGSOMRÅDER...
DetaljerHelse- og omsorgsdepartementet St.meld. nr Samhandlingsreformen
Vedlegg 8A Hva er Felles grunnmur Formålet med Felles grunnmur for digitale tjenester er å legge til rette for enkel og sikker samhandling på tvers av virksomheter og forvaltningsnivå. Sammenfallende behov
DetaljerDigitaliseringsstrategi
Digitaliseringsstrategi 2014-2029 Stavanger kommune skal gi innbyggerne og næringsliv et reelt digitalt førstevalg. Den digitale dialogen skal legge vekt på åpenhet og tilgjengelighet. Digitale verktøy
DetaljerOVERSIKT SIKKERHETSARBEIDET I UDI
OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerBilag 7. Helse Midt-Norge RHF. Strategiske hovedmål HMN
Bilag 7 Helse Midt-Norge RHF Strategiske hovedmål HMN Innhold 1 Strategiske hovedmål... 3 1.1 Standardisering... 3 1.2 Informasjonsdeling gjennom hele pasientforløp... 4 1.3 Journalsystemer i strukturert
DetaljerDigitaliseringsstrategi 2014-2029
Digitaliseringsstrategi 2014-2029 Stavanger kommune Stavanger kommune skal gi innbyggerne og næringsliv et reelt digitalt førstevalg. Den digitale dialogen skal legge vekt på åpenhet og tilgjengelighet.
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
DetaljerUtviklingsprosjekt: Kulturutvikling som ledelsesverktøy og metode i organisasjonsutvikling
Utviklingsprosjekt: Kulturutvikling som ledelsesverktøy og metode i organisasjonsutvikling Nasjonalt topplederprogram Heidi Kjærnes Gaupseth Bakgrunn og organisatorisk forankring for prosjektet Bakgrunn:
DetaljerDigitaliseringsstrategi
Digitaliseringsstrategi 2014 2029 Innsatsområder Ansvar og roller Mål Brukerbehov Utfordringer Verdigrunnlag Digitaliseringsstrategien Stavanger kommune skal gi innbyggerne og næringsliv et reelt digitalt
DetaljerHvis helseregisterloven 13 ikke fantes hva så?: Tilgang til journalopplysninger. trengs
Hvis helseregisterloven 13 ikke fantes hva så?: Tilgang til journalopplysninger der det trengs, når det trengs Ellen K.Christiansen Seniorrådgiver Nasjonalt senter for telemedisin Ellen.Christiansen@telemed.no
DetaljerHELSE MIDT-NORGE RHF STYRET
HELSE MIDT-NORGE RHF STYRET Sak 24/14 Orienteringssaker Vedlegg Strategi 2020 Operasjonalisering gjennom programmer Saksbehandler Ansvarlig direktør Mette Nilstad Saksmappe 2014/12 Ingerid Gunnerød Dato
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11
KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES
DetaljerNTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet
Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet Type dokument Retningslinje Forvaltes av Leder av HR- og HMS-avdelingen Godkjent av Organisasjonsdirektør Klassifisering
DetaljerAnbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet
Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet
DetaljerDigitale legekonsultasjoner sett i fra tilsynsmyndigheten forsvarlighet og tilsynsmessige konsekvenser
Kommuneoverlegemøte Scandic Hell Hotell, Stjørdal 7. juni 2019 Digitale legekonsultasjoner sett i fra tilsynsmyndigheten forsvarlighet og tilsynsmessige konsekvenser Direktør Jan Fredrik Andresen Statens
DetaljerHvilken rolle spiller sikkerhetspolicy for UUS? Heidi Thorstensen IKT-sikkerhetssjef/Personvernombud
Hvilken rolle spiller sikkerhetspolicy for UUS? Heidi Thorstensen IKT-sikkerhetssjef/Personvernombud Hva slags opplysninger håndteres? Sykehuset har store mengder svært sensitive personopplysninger om
DetaljerHVEM ER JEG OG HVOR «BOR» JEG?
DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
DetaljerDigitaliseringsstrategi Birkenes kommune Vedtatt av RLG Digitaliseringsstrategi for Birkenes kommune 1
Digitaliseringsstrategi Birkenes kommune 2021 Vedtatt av RLG 15.05.17 Digitaliseringsstrategi for Birkenes kommune 1 Innholdsfortegnelse 1.0 Digitaliseringsstrategi for Birkenes kommune... 3 1.1 Visjon
DetaljerEndelig kontrollrapport
Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning
DetaljerSaksframlegg. Styret Helse Sør-Øst RHF 22. november 2012 SAK NR 076-2012 STRATEGI FOR NASJONAL IKT 2013-2016. Forslag til vedtak:
Saksframlegg Saksgang: Styre Møtedato Styret Helse Sør-Øst RHF 22. november 2012 SAK NR 076-2012 STRATEGI FOR NASJONAL IKT 2013-2016 Forslag til vedtak: Styret gir sin tilslutning til Nasjonal IKTs strategi
DetaljerPå vei mot digitale helsetjenester til befolkningen. Robert Nystuen Healthworld 2013-31. oktober
På vei mot digitale helsetjenester til befolkningen Robert Nystuen Healthworld 2013-31. oktober Vestre Viken ble etablert 1. juli 2009 da Ringerike sykehus, Sykehuset Buskerud, Sykehuset Asker og Bærum,
DetaljerRETNINGSLINJE FOR SAMARBEID MELLOM..KOMMUNE OG ST. OLAVS HOSPITAL OM IKT- LØSNINGER OG ELEKTRONISK SAMHANDLING
RETNINGSLINJE FOR SAMARBEID MELLOM..KOMMUNE OG ST. OLAVS HOSPITAL OM IKT- LØSNINGER OG ELEKTRONISK SAMHANDLING Hjemlet i lov om kommunale helse- og omsorgstjenester av 14.6.2011 3-5 tredje ledd, 6-2 siste
DetaljerDet må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning.
Policydokument nr. 3/2011 Etablering og bruk av helseregistre Legeforeningen arbeider for å bedre kvaliteten i helsetjenesten og for en helsetjeneste som er mest mulig lik for alle. Bruk av valide og kvalitetssikrede
DetaljerTiltaksplan digitalisering 2019
Tiltaksplan digitalisering 2019 Kommunene i Kongsbergregionen etablerte våren 2015 en felles strategi for sitt digitaliseringssamarbeid for perioden 2015 2018. SuksIT som er kommunenes felles digitaliseringsorgan
DetaljerRapport informasjonssikkerhet Helgelandssykehuset 2015
Rapport informasjonssikkerhet Helgelandssykehuset 2015 1. Innledning I Oppdragsdokumentet 2015 punkt 4.4. Beredskap, er et av punktene: Området informasjonssikkerhet med tilhørende status på ROS [1] -analyser
DetaljerNasjonalt IKTs Klinisk IKT Fagforum
Nasjonalt IKTs Klinisk IKT Fagforum Mandat Dokumentkontroll Forfatter Gjennomgang Godkjent av Programkontoret Nasjonal IKT Klinisk IKT Fagforum Styringsgruppen Nasjonal IKT Endringslogg Versjon Dato Endring
DetaljerPå vei mot digitale helsetjenester 3l befolkningen. Robert Nystuen CIO Forum It- helse - 22. august
På vei mot digitale helsetjenester 3l befolkningen Robert Nystuen CIO Forum It- helse - 22. august Vestre Viken ble etablert 1. juli 2009 da Ringerike sykehus, Sykehuset Buskerud, Sykehuset Asker og Bærum,
DetaljerInformasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for
Velkommen til Difis høstkonferanse om informasjonssikkerhet! Det er veldig hyggelig å se så mange. Informasjonssikkerhet har hatt et spesielt fokus nå i oktober ifbm sikkerhetsmåneden Men informasjonssikkerhet
DetaljerMandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.
DetaljerKontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler
Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning
DetaljerSamarbeid om IKT- løsninger og elektronisk samhandling
Tjenesteavtale 9 Samarbeid om IKT- løsninger og elektronisk samhandling Samarbeid om IKT-løsninger og bruk av felles plattform lokalt er av stor betydning for å få til god samhandling. Enkel, rask og pålitelig
DetaljerStyresak. Styresak 031/04 B Styremøte
Styresak Går til: Styremedlemmer Selskap: Helse Vest RHF Dato skrevet: 17.03.2004 Saksbehandler: Vedrørende: Åsmund Norheim Nasjonal Styresak 031/04 B Styremøte 26.03.2004 Administrerende direktørs anbefalinger/konklusjon
Detaljer3-1 Digitaliseringsstrategi
3-1 Digitaliseringsstrategi 2017-2020 Digitaliseringsstrategi 2017-2020, forslag fra Regional rådmannsgruppe 3-1 Digitaliseringsstrategi Side 2 Innledning Digitaliseringen av samfunnet gir muligheter for
DetaljerSaksframlegg Referanse
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang
DetaljerHandlingsplan for oppfølging av regionale anbefalinger i oppsummeringsrapport 10/2012, etter revisjon av intern styring og kontroll av det
Handlingsplan for oppfølging av regionale anbefalinger i oppsummeringsrapport 10/2012, etter revisjon av intern styring og kontroll av det pasientadministrative arbeidet i helseforetakene 1 Tiltak på kort
DetaljerDigital fornying i en nasjonal kontekst
Digital fornying i en nasjonal kontekst Digital fornying - for bedre pasientsikkerhet og kvalitet Cathrine M. Lofthus administrerende direktør Helse Sør-Øst RHF Innhold Helse Sør-Østs strategiske mål Digital
DetaljerMandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
Detaljer3-1 DIGITALISERINGSSTRATEGI
3-1 DIGITALISERINGSSTRATEGI 2017-2020 GAUSDAL KOMMUNE LILLEHAMMER KOMMUNE ØYER KOMMUNE INNLEDNING Digitaliseringen av samfunnet gir muligheter for innovasjon, økt produktivitet og bedre kvalitet i både
DetaljerDigitalisering former samfunnet
Digitalisering former samfunnet Digitaliseringsstrategi for Universitetet i Bergen Vedtatt av universitetsstyret 20.oktober 2016 1 Innledning Denne digitaliseringsstrategien skal støtte opp om og utdype
DetaljerStrategisk retning Det nye landskapet
Strategisk retning 2020 Det nye landskapet 1. Innledning Kartverkets kjerneoppgaver er å forvalte og formidle viktig informasjon for mange formål i samfunnet. Det er viktig at våre data og tjenester er
DetaljerNS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester
NS-EN 15224 Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester NS-EN 15224 LEDELSESSYSTEMER FOR KVALITET NS-EN ISO 9001 FOR HELSE- OG OMSORGSTJENESTER Krav til systematiske metoder
DetaljerOG HANDLINGSPLAN, - ET FORNYINGSPROGRAM FOR STANDARDISERING OG TEKNOLOGISKE LØSNINGER
Helse Sør-Øst RHF Gode og likeverdige helsetjenester til alle som trenger det, når de trenger det, uavhengig av alder, bosted, etnisk bakgrunn, kjønn og økonomi. Helse Sør-Øst IKT-STRATEGI OG HANDLINGSPLAN,
DetaljerForvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"
Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for
DetaljerKontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer
Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein
DetaljerStrategi for Pasientreiser HF
Strategi 2017 2019 for Pasientreiser HF 1 Innhold side 1 Pasientens helsetjeneste 3 2 Overordnede føringer 4 2. 1 Stortingsmeldinger 4 2.2 Eiernes strategier 4 2.3 Pasientreiser HF sitt samfunnsoppdrag
DetaljerSviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.
Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.september 2012 Om Datatilsynet Et forvaltningsorgan med stor grad av faglig uavhengighet
DetaljerInnovasjonsstrategi Gjennomføring av morgendagens løsninger
Innovasjonsstrategi 2018-2020 Gjennomføring av morgendagens løsninger Innovasjon i Bærum kommune Innovasjonsstrategien «På vei mot morgendagens løsninger» ble vedtatt i 2014. Systematisk arbeid har så
DetaljerRisikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket
DetaljerKan du legge personopplysninger i skyen?
Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,
DetaljerRullering av Strategi 2020. Styreseminar 30. januar 2013
Rullering av Strategi 2020 Styreseminar 30. januar 2013 Hvorfor rullere Eierskap til Strategi 2020 Kvalitetssikre Strategi 2020 ift. nye føringer og kunnskap Etablere en strategimodell Hva står vi foran
DetaljerDigitaliseringsstrategi. - trygghet og tillit til teknologi
- trygghet og tillit til teknologi Utkast til behandling i kommunestyret 18. oktober 2018 BAKGRUNN OG MÅL Digitaliseringsstrategien beskriver sentrale innsatsområder for å møte innbyggerne der de er, yte
DetaljerNy styringsmodell for informasjonssikkerhet og personvern
Ny styringsmodell for informasjonssikkerhet og personvern Direktoratet for IKT og fellestjenester i høyere utdanning og forskning Rolf Sture Normann CISA, CRISC, ISO27001LI Fagleder informasjonssikkerhet
DetaljerStrategi for Informasjonssikkerhet
Strategi for Informasjonssikkerhet Vedtatt 2015 Informasjonssikkerhet og personvern en naturlig del av Bergen kommune Side 1 av 8 Innholdsfortegnelse Sammendrag 3 Visjon 3 Innledning 4 Begreper 5 Nasjonalt
DetaljerStrategi for Langtidfrisk i Notodden kommune
Strategi for Langtidfrisk i Notodden kommune 2012 Utarbeidet av Tove-Merethe Birkelund Dato Godkjent av Dato 2 Forord Notodden kommune hadde et nærvær på 88,9 % i 2009, det vil si en fraværsprosent på
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerStrategi for nasjonale felleskomponenter og -løsninger i offentlig sektor. Strategiperiode
Dokumentasjon fra Skate Veikartarbeidet for nasjonale felleskomponenter og -løsninger i offentlig sektor periode 2016-2018 Versjon 1.0 17.11.15 for nasjonale felleskomponenter og løsninger i offentlig
DetaljerET VERKTØY FOR FORSKNING
strategi 2016 2019 ET VERKTØY FOR FORSKNING NSD Et verktøy for forskning strategi 2016 2019 «Målet med statens eierskap i NSD er å sikre dataforvaltning og tjeneste yting overfor forskningssektoren. Selskapet
DetaljerNår EPJ implementeres og tas i bruk for alt helsepersonell ved et sykehus hvordan ivaretas informasjonssikkerheten?
Når EPJ implementeres og tas i bruk for alt helsepersonell ved et sykehus hvordan ivaretas informasjonssikkerheten? Else Sandvand Agder University College, Kristiansand S, Norway Svein A. Berntsen Spesialsykehuset
DetaljerStrategi for Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten
Strategi for Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten 2019-2021 Versjon 1.0 Side 1 Bakgrunn Om Normen Normen Faktaark og veiledere Utadrettet virksomhet Kurs Normen er
DetaljerSAKSFREMLEGG. Ledelsens gjennomgang av kvalitets- og HMS-systemet ved St. Olavs Hospital 2016
Sentral stab Fagavdelingen SAKSFREMLEGG Sak 15/17 Ledelsens gjennomgang av kvalitets- og HMS-systemet ved St. Olavs Hospital 2016 Utvalg: Styret for St. Olavs Hospital HF Dato: 16.02.2017 Saksansvarlig:
DetaljerSikkerhet adferd eller teknologi? Ellef Mørk, sikkerhetsleder
Sikkerhet adferd eller teknologi? Ellef Mørk, sikkerhetsleder Samfunnsoppdraget Styrke befolkningens sosiale trygghet og helse gjennom helhetlig og målrettet arbeid på tvers av tjenester, sektorer og forvaltningsnivå
DetaljerFagplan Helse IKT Versjon 1.0
Fagplan Helse IKT Versjon 1.0 Bakgrunn Denne fagplan er laget som et rammeverk til hjelp for å sikre kompetanse om prinsipper for behandling av pasientinformasjon og en forståelse for de krav og regler
DetaljerEndelig kontrollrapport
Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerUtviklingsprosjekt: Organisering av indremedisinsk avdeling som følge av samhandlingsreformen. Nasjonalt topplederprogram. Kari Mette Vika.
Utviklingsprosjekt: Organisering av indremedisinsk avdeling som følge av samhandlingsreformen Nasjonalt topplederprogram Kari Mette Vika Gjøvik Bakgrunn og organisatorisk forankring for prosjektet Prosjektet
DetaljerVerktøy for forretningsmodellering
Verktøy for forretningsmodellering Referanse til kapittel 12 Verktøyet er utviklet på basis av «A Business Modell Canvas» etter A. Osterwalder og Y. Pigneur. 2010. Business Model Generation: A Handbook
DetaljerStrategi 2015-2018 Strategisk retning for Helsetjenestens driftsorganisasjon for nødnett HF for perioden 2015-2018
Strategi 2015-2018 Strategisk retning for Helsetjenestens driftsorganisasjon for nødnett HF for perioden 2015-2018 Innhold Hovedmål 1 Vellykket teknisk innføring av nødnett-brukerutstyr... 6 Hovedmål 2:
DetaljerKontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal
Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning
DetaljerIfølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:
Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede
DetaljerAnskaffelsesstrategi for Stavanger kommune
Referanse: 13/5309 Anskaffelsesstrategi for Stavanger kommune «VERDISKAPENDE, INNOVATIVE OG BÆREKRAFTIGE ANSKAFFELSER» Målgruppen for dette dokument er politikere, ledere og personer som jobber med anskaffelser
DetaljerSatsingsområdene synliggjør samtidig verdier og holdninger som alle medarbeidere i direktoratet har ansvar for å stå for i sitt arbeid.
STRATEGI 2015-2020 Fiskeridirektoratet skal fram til 2020 arbeide spesielt med fem områder som vil være helt sentrale for at vi skal kunne løse det oppdraget og nå de målene samfunnet har satt for vår
DetaljerAvmystifisere internkontroll/styringssystem - informasjonssikkerhet
Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering
DetaljerHelseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud
Helseopplysninger på tvers - rammer for deling og tilgang HelsIT 15. oktober 2014 Marius Engh Pellerud Hva er personvern? 18.06.2014 Side 2 Retten til privatliv Selvbestemmelse Rett til å vite og forstå
DetaljerHvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS
Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen
DetaljerTilgang på tversdrøm eller virkelighet? Ellen K. Christiansen, juridisk rådgiver, Nasjonalt senter for telemedisin Ellen.Christiansen@telemed.
Tilgang på tversdrøm eller virkelighet? Ellen K. Christiansen, juridisk rådgiver, Nasjonalt senter for telemedisin Ellen.Christiansen@telemed.no Et fargerikt felleskap rundt EPJ,- er det dette vi ønsker?
DetaljerLitt bedre i dag enn i går.. Kvalitetsstrategi for Helse Midt-Norge 2011-2015
Litt bedre i dag enn i går.. Kvalitetsstrategi for Helse Midt-Norge 2011-2015 Godkjent: Styrevedtak Dato: 01.09.2011 Innhold 1. Våre kvalitetsutfordringer 2. Skape bedre kvalitet 3. Mål, strategi og virkemidler
DetaljerPrinsipper for virksomhetsstyring i Oslo kommune
Oslo kommune Byrådsavdeling for finans Prosjekt virksomhetsstyring Prinsippnotat Prinsipper for virksomhetsstyring i Oslo kommune 22.09.2011 2 1. Innledning Prinsipper for virksomhetsstyring som presenteres
DetaljerKrav til informasjonssikkerhet i nytt personvernregelverk
Krav til informasjonssikkerhet i nytt personvernregelverk 8. desember 2017 Informasjonsikkerhet er et ledelsesansvar Sikkerhetsledelse Klare ansvarsforhold Oversikt over det totale risikobildet og beslutte
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerBedre effekt av IKT jobb systematisk!
NSF ehelsekonferanse Bedre effekt av IKT jobb systematisk! ehelse et nødvendig virkemiddel for samhandling 13. 14. mai 2009 Deloitte AS Tønsberg 13.mai 2009 Bedre effekt av IKT er mulig! Effekter fra IKT
DetaljerDigital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland
Digital pasientsikkerhet, Normen og litt velferdsteknologi Stavanger 4. juni 2019 Aasta Margrethe Hetland Veien til toppen av agendaen «Dødelig personvern» digital pasientsikkerhet? Diskusjonen i media
DetaljerEndringsoppgave: Implementering av metode for lokal strategiutvikling
Endringsoppgave: Implementering av metode for lokal strategiutvikling Nasjonalt topplederprogram Aina Merethe Løhre Stavanger, høst 2015 En strategi er et mønster eller en plan som integreres i en organisasjons
DetaljerPresentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management
DetaljerStrategier 2010-2015. StrategieR 2010 2015 1
Strategier 2010-2015 StrategieR 2010 2015 1 En spennende reise... Med Skatteetatens nye strategier har vi lagt ut på en spennende reise. Vi har store ambisjoner om at Skatteetaten i løpet av strategiperioden
DetaljerVedvarende forbedringer og spredning
Hvordan skape forbedringer som vedvarer Vedvarende forbedringer og spredning Læringsnettverk 3 Forebygging av fall og fallskader Mette Fredheim Er det slik? Noen frustrasjoner ved forbedringsprosjekter
DetaljerProsjekt IKT strategi HMN. Styremøte Helse Midt-Norge
Prosjekt IKT strategi HMN Styremøte Helse Midt-Norge 10.05.2012 2 3 Utfordringer kompleksitet 4 Det fokuseres i denne omgang på kliniske systemer Utfordringsbilde- løsning (så langt..) Pasienten som eier
DetaljerOverordnet IT beredskapsplan
Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting
DetaljerBUFETATS STRATEGI Kvalitetsutviklingsprogrammet
BUFETATS STRATEGI 2018-2020 Kvalitetsutviklingsprogrammet INNHOLD INNHOLD FORORD... 3 1. VISJON OG VERDIER... 4 2. MÅLGRUPPER... 5 3. KVALITET... 6 4. MÅL OG INNSATSOMRÅDER... 7 5. AKTUELLE TILTAK... 8
DetaljerEndringsoppgave: Dokument for virksomhetsstyring av Radiologisk avdeling, SiV HF. Nasjonalt topplederprogram. Lene Aa Hoffstad
Endringsoppgave: Dokument for virksomhetsstyring av Radiologisk avdeling, SiV HF Nasjonalt topplederprogram Lene Aa Hoffstad Sandefjord, 26. oktober 2015 1. Bakgrunn og organisatorisk forankring for oppgaven
DetaljerDelavtale mellom Sørlandets sykehus HF og Lund kommune
Delavtale mellom Sørlandets sykehus HF og Lund kommune Delavtale nr. 9 Samarbeid om IKT-løsninger lokalt Enighet om hvilke plikter og ansvar som partene er ansvarlig for, knyttet til innføring og forvaltning
DetaljerFÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE
FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE Start din reise mot å etterleve de nye personvernreglene INTRODUKSJON I mai 2018 innføres ny personvernlovgivning i Norge. Disse har vært mye omtalt, både som de
DetaljerPersonvern og informasjonssikkerhet ved samhandling
Personvern og informasjonssikkerhet ved samhandling Helge Veum, senioringeniør Dataforeningens frokostmøte om samhandlingsreformen Oslo 29. november 2011 Agenda 1. Innledning 2. Tilgangsstyring 3. Logging
DetaljerInformasjonssikkerhet i Nord-Trøndelag fylkeskommune
Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter
Detaljer3.1. Visjon for digitalisering i Overhalla kommune Vi kan formulere følgende visjon for arbeidet med digitalisering i Overhalla kommune:
3. Mål og strategier for digitalisering i Overhalla kommune Digitalisering i Overhalla kommune skal samlet sett bidra til at vi når de overordnede mål som er fastsatt i kommuneplanen og øvrige styrende
DetaljerKARTVERKETS STRATEGISKE HANDLINGSPLAN Kartverket
KARTVERKETS STRATEGISKE HANDLINGSPLAN 2018-2021 Kartverket 1 Kartverket Kartverket samler inn og forvalter viktig informasjon for mange formål i samfunnet Da er det viktig at våre data og tjenester er
DetaljerKvalitetsstrategi Overordnet handlingsplan
Kvalitet i møte mellom pasient og ansatt Kultur og ledelse Kvalitetssystem Kompetanse Kapasitet og organisering KVALITET, TRYGGHET, RESPEKT Sykehuset Innlandet har vektlagt å fokusere på kvalitet og virksomhetsstyring
DetaljerStyret Helseforetakenes senter for pasientreiser ANS 27/10/11
Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 27/10/11 SAK NR 053-2011 Erfaringer og endelig oppsummering av internkontroll ved pasientreisekontorene
Detaljer