Temahefte nr. 6 Sikker informasjonsbehandling i helsevesenet. Versjon april KITH Rapport 4/00 ISBN

Størrelse: px
Begynne med side:

Download "Temahefte nr. 6 Sikker informasjonsbehandling i helsevesenet. Versjon 1.0 28. april 2000. KITH Rapport 4/00 ISBN 82-7846-081-7"

Transkript

1 Temahefte nr. 6 Sikker informasjonsbehandling i helsevesenet Versjon april 2000 KITH Rapport 4/00 ISBN

2 KITH-rapport Tittel Kvalitetssystemer og informasjonssikkerhet Forfatter(e) Annebeth Askevold, Arnstein Vestad Oppdragsgiver(e) Sosial og helsedepartementet Rapportnummer R 4/00 ISBN Godkjent av URL Dato Antall sider Kvalitetssikret av 28. april Tor Olav Grøtan Kompetansesenter for IT i helsevesenet AS Postadresse Sukkerhuset 7005 Trondheim Besøksadresse Sverresgt 15, inng G Telefon Telefaks e-post Foretaksnummer Prosjektkode S-SV-TEMA Gradering Kenneth R. Iversen Kst. direktør Sammendrag Mange fellestrekk mellom arbeid med kvalitetsutvikling og informasjonssikkerhet blir tydeligere etter hvert som man arbeider med områdene, noe som gjelder både organisasjonsmessig og praktiske aspekter. Dette temaheftet ser på hvordan arbeidet med informasjonssikkerhet i helsevesenet kan integreres i et kvalitetssystem, i den tro at en slik integrering kan gi effektivitet og besparelser for den enkelte helseinstitusjon. Temaheftet tar utgangspunkt i Datatilsynets Retningslinjer for informasjonssikkerhet og Helsetilsynets arbeid med kvalitetsledelse i helsesektoren. Det er kun sett på hovedtrekkene i oppbygging av og innhold i et kvalitetssystem og det er ingen lærebok eller veiledning i kvalitetsarbeid. Det er fokusert på veien frem til et kvalitetssystem og likhetsstrekk mellom informasjonssikkerhet og kvalitetsutvikling. Vi har fokusert på likheter og sammenfallende tankegang og metodikk, og påpekt eventuelle motsetningsforhold og utfordringer i integreringen.

3 Innhold INNLEDNING... 1 Kvalitetsutvikling i helsevesenet 1 Informasjonssikkerhet 2 Dette temaheftet 2 KVALITETSUTVIKLING... 3 Bakgrunn 3 Noen definisjoner 4 Hva er kvalitet 4 Kvalitetsledelse 5 Helsetilsynets kvalitetsprinsipper 6 Kvalitetssystem 7 Systematikk i kvalitetsarbeid 9 Måling og avviksbehandling 10 Ledelsens ansvar 11 Utfordringer (og kritisk blikk) 11 DATATILSYNET OG INFORMASJONSSIKKERHET Sikkerhetskrav for helsevesenet 14 FELLESTREKK SIKKERHET OG KVALITET Sammenfallende organisasjon 17 Prosedyrer 18 Måling og indikatorer 19 Synergieffekter 19 Utfordringer for helsevesenet 19 INTEGRERING Indikatorer for informasjonssikkerhet 21 Risikoanalyse 23 Internkontroll og avvikshåndtering 23 Rutiner for informasjonssikkerhet 24

4 Kapittel Innledning Det er mange fellestrekk i kvalitetsutvikling og informasjonssikkerhet, både organisasjonsmessig og i praktisk utføring. Vi har sett på hvordan arbeidet med informasjonssikkerhet i helsevesenet kan integreres i et kvalitetssystem med bakgrunn i de tidligere utgitte temaheftene om informasjonssikkerhet. Det er kun sett på hovedtrekkene i oppbygging av og innhold i et kvalitetssystem og er ingen lærebok eller veiledning i kvalitetsarbeid. Det er fokusert på veien frem til et kvalitetssystem og likhetsstrekk mellom informasjonssikkerhet og kvalitetsutvikling, og påpekt eventuelle motsetningsforhold og utfordringer i integreringen. Kvalitetsutvikling i helsevesenet Det ble i 1995 utarbeidet en nasjonal strategi for kvalitetsutvikling i helsetjenesten (IK-2482). Det overordnede målet i strategien er at alle virksomheter innen norsk helsetjeneste skal ha etablert helhetlige og effektive internkontroll-/kvalitetssystemer innen år Lov om statlig tilsyn med helsetjenesten sier at Enhver som yter helsetjeneste skal etablere internkontroll for virksomheten og sørge for at virksomhet og tjenester planlegges, utføres og vedlikeholdes i samsvar med allment aksepterte faglige normer og krav fastsatt i medhold av lov eller forskrifter med virkning fra Internkontrollsystem og kvalitetssystem griper inn i hverandre og supplere hverandre på forskjellige og nødvendige måter, og internkontrollsystemet vil ofte være den bærende delen av kvalitetssystemet. Det som tidligere har vært skrevet om informasjonssikkerhet i de tidligere temaheftene vil være naturlig å se på som en del av internkontrollsystemet. Begge systemene baserer seg på den lukkede kontrollsløyfens prinsipp. Det lovpålagte internkontrollsystemet vil utgjøre det bærende deler av kvalitetssystemet, og vil være et minimumskrav til innhold i et hvert KSsystem i helsetjenesten. 1

5 INNLEDNING Informasjonssikkerhet Informasjonssikkerhet handler om å definere og implementere mål og strategier for å sikre informasjonens konfidensialitet, kvalitet/integritet og tilgjengelighet. Disse generelle konseptene kan tjene flere ulike formål: Personvern, som handler om enkeltindividets rettigheter og stilling i forhold til fellesskapets interesser, og i som i hovedsak peker mot konfidensialiteten og kvaliteten til personopplysninger. Pasientvern, som legger føringer på de samme personopplysningenes kvalitet og tilgjengelighet for å legge grunnlaget for trygg og vellykket pasientbehandling. Prosessvern, som skal sikre kvalitet og tilgjengelighet for å bygge opp under tjenestene og primærprosessene i helsetjenesten holder god nok kvalitet og effektivitet. Systemvern, som skal sørge for at institusjonene enkeltvis og i samarbeid kan organisere sine virksomheter på en effektiv måte. Å utlede gode sikkerhetsmål i en helseinstitusjon er en kompleks oppgave som må ta utgangspunkt i mange ulike hensyn og sammenhenger som ofte kan være motstridende. Eksempelvis, mens personvernperspektivet kan begrenses til å ta ansvar for selve personopplysningene, kjennetegnes særlig prosess- og pasientvernet av at bruken av personopplysninger gjerne må foregå samtidig med, og prosessuelt i nær tilknytning til (sikker) bruk av informasjon på åpne, eksterne nettverk Dette temaheftet Det eksisterer flere fellestrekk mellom arbeidet med kvalitetssikring i en virksomhet og innføringen av en organisasjon for og arbeid med informasjonssikkerhet. I dette temaheftet ønsker vi å trekke fram i lyset en del av disse likhetene og sammenhengene, for dermed å identifisere områder hvor en samstemt tenking vil være formålstjenlig og hvor det kan være gevinster å hente på samordning av organisering og systemer. Temaheftet inngår som en naturlig del i KITH s temaserie Sikker informasjonsbehandling i helsevesenet, hvor særlig hefte 4 og 5 retter søkelyset mot organisasjonsutvikling og endringsmetodikk. Heftet må også ses i sammenheng med det regime for informasjonssikkerhet som Datatilsynet legger opp til i sine Retningslinjer, samt det arbeidet som pågår i helsesektoren med kvalitetsledelse og kvalitetssystemer. 2

6 Kapittel Kvalitetsutvikling Hensikten med dette kapittelet er å gi en kortfattet oversikt over hva kvalitet og kvalitetsledelse er og peker på en del punkter som må være tilstede for å drive med kvalitetsutvikling. En del ord og begreper innenfor temaet kvalitetsutvikling blir definert. Bakgrunn Kvalitet er kommet i fokus i 1990-årene i alle typer virksomheter, og i 1995 ble Nasjonal strategi for kvalitetsutvikling i helsetjenesten (IK- 2482) utgitt. Det overordnede målet i denne strategien er at alle virksomheter innen norsk helsetjeneste skal ha etablert helhetlige og effektive internkontroll-/kvalitetssystem innen år Et kvalitetssystem er prinsipielt et styringssystem som kan brukes av ledelsen for alle typer aktiviteter og organisasjoner. Mye av kvalitetstankegangen er tradisjonelt bundet opp i å forbedre produkter, men mange av prinsippene kan overføres til tjenesteytende næring, og bevisstgjøring i forhold til kvalitetstenkning benyttes i økende grad også innenfor tjenesteytende næring. Kvalitetsarbeid bør dekke relasjoner mellom produkter/tjenester og kunder/brukere. Internkontrollforskriftene pålegger den som er ansvarlig for virksomheten å sørge for systematisk oppfølging av krav som er fastsatt i flere lover som berører helse, miljø og sikkerhet. Interkontrollsystem kalles gjerne kvalitetssikring etter lover og forskrifter. Det lovpålagte internkontrollsystemet vil utgjøre det bærende deler av kvalitetssystemet, og vil være et minimumskrav til innhold i et hvert KSsystem i helsetjenesten. I helsevesenet vil det være tjenester og mellommenneskelige forhold som må vektlegges, og brukerne som må være i fokus, både interne og eksterne. En ekstern bruker i helsevesenet er en pasient eller pårørende, eventuelt andre samarbeidspartnere utenfor organisasjonen. 3

7 KVALITETSUTVIKLING Noen definisjoner Hva er kvalitet Kvalitet er et subjektivt begrep som kan ilegges flere betydninger. Ordet kvalitet kan både knyttes opp mot egenskaper og kjennetegn ved et produkt eller tjeneste eller opp mot verdier og verdinormer. Ordet kvalitet kan presiseres i minst to retninger: - overensstemmelse med krav - grad av fortreffelighet ( excellence). ISO har denne definisjonen på kvalitet (NS-ISO 8402): Helhet av egenskaper og kjennetegn et produkt eller en tjeneste har, som vedrører dets evne til å tilfredsstille fastsatte krav eller behov som er antydet I produksjon- og markedssammenheng kan man forenklet si at Kvalitet = samsvar med spesifiserte krav. Denne definisjonen egner seg dårlig i mer tjenesteytende næring der mellommenneskelig kontakt, holdninger og gjensidig forståelse er viktig. Da kan denne definisjonen være bedre: Kvalitet = samsvar mellom opplevd resultat og forventet resultat Siden kvalitet ikke bare er et objektivt begrep med målbare egenskaper, men også med mindre målbare verdier (fortreffelighet, evne til å tilfredsstille krav), er det viktig å være enige om målene for helsetjenesten. Å sikre tilfredsstillende kvalitet i helsesektoren vil innebære trygghet for brukerne ved at en oppnår ønskede resultater med minst mulig risiko. Med kvalitet i forbindelse med informasjonssikkerhet forstås trygghet for at både informasjon, og eventuelt informasjonssystemene, forblir fullstendige, riktige og gyldige både i systemet og under forsendelsen. For medisinsk informasjon kan konsekvensene av manglende kvalitet være at pasienten blir feilbehandlet. Kvalitetskontroll, -styring og sikring Kvalitetskontroll vil si å vurdere tjenesten eller produktet opp mot spesifiserte krav. Med kvalitetssikring forstår en alle de styringstiltakene som er nødvendig for prosessen som helhet og for de enkelte leddene for at det skal ble samsvar mellom det som er avtalt eller forventet i utgangspunktet og det som til slutt ble levert. Med kvalitetsstyring menes alle de driftsmessige teknikker og aktiviteter som produsenten/leverandøren bruker for å styre selve utviklings-, salgs-, produksjons- og installasjonsprosessen slik at kravene til samsvar og tillit blir oppfylt. 4

8 KVALITETSUTVIKLING Kvalitetsledelse Begrepet kvalitetsledelse kommer av at kvalitetssikring og kvalitetssikringssystem i prinsippet er et ledelses- og styringsverktøy. Kvalitetsledelse angår hele organisasjonen, må være drevet av toppledelsen og omfatter typiske aktiviteter som kvalitetsplanlegging, kvalitetsstyring, kvalitetssikring og kvalitetsforbedring. Kvalitet er alles ansvar og kvalitetsledelse vil i praksis være et samspill mellom ulike aktiviteter som teknologi, økonomi, organisasjon, administrasjon og metode. Kvalitetsledelse dreier seg om å hindre at problemer oppstår slik at organiserte aktiviteter skjer som planlagt. Kvalitetsarbeid er en kontinuerlig prosess som aldri må slutte. Det er to strømninger innefor kvalitetsarbeid som har kommet sterkt i fokus de senere år, ISO 9000 og TQM (Total Quality Management). En kort karakteristikk kan være at ISO 9000 er prosedyreorientert og TQM er endringsorientert. ISO 9000 ISO er en forkortelse for International Organization for Standardization som er en verdensomspennende organisasjon for standardiseringsarbeid. ISO 9000 er en serie standarder for kvalitetssystemer i bedrifter (NS-ISO 9000 i norsk versjon). ISO 9000 kan sammenfattes til å være en målestokk som en bedrift eller organisasjon kan vurderes mot når det gjelder deres kvalitetssystem. Kvalitet og ISO 9000 sertifisering er ikke synonyme begreper. Det er en fare ved ensidig å fokusere på sertifiseringsbiten da det kan fremme holdninger som gjør det viktigere å tilfredsstille sertifiseringsorganet enn kunden/brukeren, samt en oppfatning av at når sertifiseringen er foretatt så er man i mål! ISO 9000 er svært prosedyreorientert og legger liten vekt på forbedring. Et sentralt punkt i ISO-standardene er at ansvar, myndighet og samarbeidsforhold er klarlagt og dokumentert. Dette skal bidra til å hindre avvik og feilkostnader. Standarden kan være et godt utgangspunkt for å utvikle sitt eget kvalitetssystem. TQM (Total Quality Management) Total kvalitetsledelse er en lederstil og en ledelsesform som skal føre virksomheten mot total kvalitet. Kvalitetsledelse dreier seg derfor om å styre alle tekniske, administrative, kreative og sosiale prosesser. Total kvalitetsledelse er kunde-/brukerfokusert, vektlegger systematisk kvalitetsforbedring og den menneskelige faktor. Total kvalitet gjelder for alle trinn i organisasjonens strøm av aktiviteter, og for alle ansatte i organisasjonen. En kvalitetsstyrt bedrift er karakterisert ved at alle prosesser fokuserer på kvalitet først når det gjelder å tilfredsstille brukerens behov. 5

9 KVALITETSUTVIKLING Kvalitetsstyrte bedrifter sies ideelt å skulle la mål vedrørende service og kvalitet få prioritet over (kortsiktige) økonomiske mål. Dette er ment å bidra til økt tillit blant kundene, som i siste instans vil øke bedriftens lønnsomhet. Aktiviteter som er nødvendige i arbeidet for å fremskaffe kvalitet er: Kvalitetsvedlikehold - daglig drift Kvalitetsforbedring - organisering og drift av kontinuerlige forbedringsaktiviteter Kvalitetsfornying - aktiviteter knyttet til planlegging med utgangspunkt i brukerbehov Total kvalitetsledelse Kvalitetsfornying Kvalitetsvedlikehold Kvalitetsforbedring Kvalitetssystem Total kvalitetsledelse eller det som kjennetegner en kvalitetstyrt helsetjeneste kan sammenfattes i Pasient/brukerfokus Systematisk forbedring av alle prosesser Helhetlig lederskap og tverrfaglig samarbeid Fokus på erfaringslæring og felles organisasjonskultur Høy kvalitet på tjenester Vekt på kontinuerlig forbedring Kommunikasjon og gruppetilhørighet Vektlegging av de ansatte som bedriftens viktigste ressurs Helsetilsynets kvalitetsprinsipper Helsetilsynet har utarbeidet følgende grunnprinsipper i sin nasjonale plan for kvalitetsutvikling i helsetjenesten. 1. Brukeren i fokus 2. Engasjert og forpliktende ledelse 3. Målrettet deltakelse fra alle 6

10 KVALITETSUTVIKLING 4. Beslutninger basert på fakta 5. Prosessorientering 6. Kontinuerlig forbedring Kvalitetssystem Tillit er vesentlig i kvalitetsutvikling og alle foretak og organisasjoner trenger et kvalitetssystem i en eller annen form. Hovedhensikten med et kvalitetssystem er å skape og vedlikeholde tillit hos brukeren, og å være et verktøy for å realisere bedriftens målsetting. Kvalitetsarbeid bør dekke relasjoner mellom produkter/tjenester og kunder/brukere. Kvalitet er ikke noe man kan kjøpe seg. Kvalitet skapes ved målbevisst arbeid i egen organisasjon støttet av kompetente og kreative medarbeidere. Et kvalitetssystem må være bygget opp med basis i en kvalitetsfilosofi. Et kvalitetssystem har både en teknisk og en kulturell (menneskelig) side der begge er like viktige. Skal man arbeide med å forbedre kvalitetene må man arbeide med å forbedre begge sidene. Et kvalitetssystem må ha et sett med metoder og verktøy som redskaper i kvalitetssikringsarbeidet. ISO s definisjon av et kvalitetssystem er: Organisasjonsstruktur, ansvar, prosedyrer, prosesser og ressurser ved gjennomføring av kvalitetsledelse. Et kvalitetssystem kan ivareta mange formål: sikre at lover og forskrifter holdes, gi kunden/brukeren tillitt til produktet/tjenesten skire at tjenesten/produktet ivaretar brukerens behov og forventninger sikre at egne ressurser benyttes på en effektiv og riktig måte. Kvalitet må bygges inn i alle systemer og deler av organisasjonen, og kvalitetssystemet bør ikke være mer omfattende enn det som er nødvendig for å oppnå målene for kvalitet. Vi kan forenklet si at vi kan ha kvalitetssystem på tre nivåer: system for oppfylling av rammevilkår (internkontrollforskriftene) kvalitetssystem (med vekt på sikring og avviksbehandling) utvidet kvalitetssystem (med vekt på kvalitetsforbedring og fornying). Et godt kvalitetssystem må ha en lukket styringssløyfe med muligheter for å korrigere avvik. Veien frem til et kvalitetssystem kan fremstilles skjematisk som i figuren under: 7

11 KVALITETSUTVIKLING Implementer kulturprogram Målsetting/ kartlegging Planlegg Evaluer og vurder Implementer teknisk program Korrigerende tiltak Figur 1 Trinnene frem til et kvalitetssystem Et effektivt kvalitetssystem baserer seg på gode prinsipper om: Forhindring Tidlig korreksjon Finn og eliminer årsaker, ikke bare symptomer Definerte roller og ansvar Et kvalitetssystem uten et opplegg for avviksregistrering, -behandling ogmelding er ikke fullstendig. Internkontrollsystem og kvalitetssystem griper inn i hverandre og supplere hverandre på forskjellige og nødvendige måter, og internkontrollsystemet vil ofte være den bærende delen av kvalitetssystemet. Internkontrollsystem er i Kommunal og arbeidsdepartementets forskrift om internkontroll definert som : Systematiske tiltak som skal sikre og dokumentere at aktivitetene utøves i samsvar med krav fastsatt i eller i medhold av lov eller forskrift. De systematiske tiltakene skal være beskrevet i administrative prosedyrer. Viktige elementer i et kvalitetssystem vil være: Bedriftens kvalitetspolitikk og kvalitetsmål Organisasjonsplan og ansvarsfordeling Dokumentstyring Standarder Prosedyrer Intern og ekstern revisjon Avviksbehandling og opplysninger om oppnådd kvalitet Opplæring kvalitet er alles ansvar Kontinuitet ( Never-ending ) Dokumentasjonen av kvalitetssystemet vil være samlet i en kvalitetshåndbok som kan være en eller flere mapper eller ringpermer som skal være lett å slå opp i. Det beste alternativet er likevel et elektronisk dokumenthåndteringssystem, f.eks. i form av intranett. Slike løsninger vil også 8

12 KVALITETSUTVIKLING kunne integreres tettere med organisasjonens arbeidsprosesser. Kvalitetshåndboken skal være det daglige verktøyet i kvalitetsarbeidet og brukes som en oppslagsbok som hele tiden må holdes oppdatert og vise alle vedtatte regler som skal sikre at besluttet kvalitet oppnås. Den vil også være et virkemiddel overfor omverdenen for å vise at organisasjonen har orden på alle prosesser. Strukturen på en kvalitetshåndbok kan være som vist på figuren under: Kvalitetsmål og organisasjons plan Kvalitetshåndbok Prosedyrer med ansvarsfordeling Detaljert metodebeskrivelse (etter behov) Figur 2 Kvalitetshåndboken i dokumentasjonshierarkiet Systematikk i kvalitetsarbeid I praksis trengs metoder til å systematisere kvalitetsarbeidet. Systematikken Planlegg Utfør Kontroller - Korriger (PDCA-løkken, Plan DO Check Act) benyttes ofte i kvalitetsarbeid. Den er et organisatorisk prinsipp som kan benyttes i mange sammenhenger som for eksempel ved avviksbehandling i daglig drift, problemløsningssyklus i forbedringsarbeid eller bedriftledelse. Planlegg Utfør Kontroller Korriger Elementer i de ulike trinnene kan være: P Planlegg Hva? Definer problem Analyser problem Hvorfor Identifiser Årsaker Hvordan Planlegg tiltak U Utfør Implementer K Kontroller Bekreft resultater 9

13 KVALITETSUTVIKLING K Korriger Standardiser, ev. revider Det er viktig å kartlegge hvor forbedringspotensialet er størst og begynne der. I systematisk forbedringsarbeid er det viktig å fokusere på kjerneprosessene. En prosess kan sees på som en samling av aktiviteter og ressurser som skal sørge for å fremstille de produkter eller tjenester som skal tilfredsstille en kundens/brukerens behov. Kontinuerlig prosessforbedring har tre faser: Overvåke prosessen Kontrollere prosessen Forbedre prosessen Måling og avviksbehandling Kvalitetsarbeid må være basert på fakta og ikke på gjetninger. For å kunne benytte et kvalitetssystem som et styringssystem er det avhengig av tilbakemelding basert på kontroll- og inspeksjonstiltak. Innsamling, bearbeiding og tolkning av data er nødvendige aktiviteter som må planlegges og systematiseres. Kontroll tar tid og krever ressurser. Det er derfor viktig å finne de rette tingene å måle, måle de på riktig måte og sette inn tiltak ved avvik. Det er viktig å fokusere på kjerneprosessene. Finn ut hvilke prosesser dette er, hva som påvirker disse, hvem som deltar og hvordan disse prosessene kan analyseres og forbedres. Viktige krav til et målesystem som er egnet for kvalitetsledelse er: måling for forbedring, ikke overvåkning, måling er relativt, ikke absolutt, måling er i første rekke til for prosesseier, måling må reflektere kundebehov, måling er alles ansvar, måling må synliggjøre fremgang. Det er viktig å vite hva man skal måle, hvorfor man måler og hvordan man skal måle.viktige prinsipper for datainnsamling er: Bestem hensikten Bestem typen av data som skal samles inn Finn egenskapen til dataene Bestem hvem som skal samle dataene og når Vurder påvirkningen fra mennesker 10

14 KVALITETSUTVIKLING Hva slags mål som er egnet i en gitt situasjon vil kunne avhenge av relevans, pålitelighet, tigjengelig tid og/eller ressurser (økonomiske, tekniske og menneskelige). For at datagrunnlaget skal kunne utnyttes best mulig er det viktig å sikre at datakvaliteten er god. (at data ikke mangler, at data som fins blir brukt, at data ikke tolkes feil, at riktig tolkning fører til riktig handling). Hensikten med datainnsamling er å øke forståelsen, kunne evaluere, kontrollere og forutsi. Statistiske verktøy benyttes ofte som et hjelpemiddel i kvalitetsarbeid. De kan benyttes til: Oppsummere og beskrive egenskaper ved prosessen Finne årsak til variasjon og problemer i prosesser Forenkle og forbedre arbeidsprosedyrer Øke innflytelse på beslutningsprosessen Evaluere endringer Forhindre i stedet for å oppdage. Styring gjennom fakta, ikke tro Ledelsens ansvar Det er umulig å få til forbedringer med mindre toppledelsen er engasjert og demonstrere forpliktelse og lederskap. Kvalitet og prosessforbedringer er en evigvarende og kontinuerlig aktivitet. Det er også viktig at kvalitetssystemet er tilpasset organisasjonen. Det er ikke mulig å kopiere et kvalitetssystem fra en annen bedrift, det må skreddersys for å bli effektivt. Det er viktig at toppledelsen utformer en klar kvalitetspolitikk som blir bekjentgjort og forstått i alle ledd i organisasjonen. Dette innebærer forståelsen av at kvalitet er alles ansvar, avsetting av tid og ressurser til opplæring og forpliktelse for at strukturen blir etablert, vedlikeholdt og forbedret. For at kvalitetssystemet skal være et effektivt og lønnsomt verktøy, må det være nøye integrert i hele organisasjonen og akseptert av ledere og ansatte på alle nivåer. Det må legges til rette for og oppmuntres til egenutvikling og personlig kvalitet for alle medarbeidere. Utfordringer (og kritisk blikk) Det er lett å enes om prinsippene rundt og viktigheten av kvalitetsledelse og kvalitetsutvikling og å skaffe seg et teoretisk fundament. Mye av prinsippene rundt kvalitetsarbeid og kvalitetsledelse baserer seg på sunn fornuft og å sette ting i system. Like fullt kan kvalitetspersonell lett oppfattes som moralister og pekefingre ( ikke gjør det sånn, men...). Det kan også lett oppfattes som mye ekstra papirarbeid, begrensning av kreativitet, at det er kjedelig, at det har lav status etc. Det er derfor viktig at kva- 11

15 KVALITETSUTVIKLING litetsarbeid tar utgangspunkt i et realistisk bilde av organisasjonen, søker aktiv deltagelse av ansatte på alle plan og det ikke gjøres forsøk på å tre et ferdig system over de ansatte, og at det ikke fremstilles som en trosbekjennelse som eneste farbare vei. Det er viktig å være klar over at kvalitetsarbeid krever langsiktighet og utholdenhet og huske på at det er viktig å tilpasse arbeidet til organisasjonen. Samtidig er det viktig at det ikke bare snakkes om kvalitetledelse, men at det også gjøres konkrete utspill. 12

16 Datatilsynet og informasjonssikkerhet Kapittel Datatilsynet ble opprettet i 1980 og skal sikre gjennomføringen av Lov om personregistre av 1978 (personregisterloven). Personregisterloven er ment å beskytte individrettede og samfunnsorienterte personvernhensyn, og Datatilsynet er med dette utgangspunkt bl.a. gitt myndighet til å utstede konsesjoner for personregistre som inneholder sensitive personopplysninger. I den forbindelse kan det også som vilkår for konsesjonen gis pålegg om sikring av personopplysningene. De påleggene som gis tar utgangspunkt i Datatilsynets Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger, som er Datatilsynets grunnlag for vurdering av informasjonssikkerheten. Retningslinjene benyttes ved utarbeidelse av sikkerhetsvilkår, i Datatilsynets kontrollarbeid og er også ment til hjelp for den enkelte virksomhet i arbeidet med å etablere tilfredsstillende sikring av personopplysninger. Det har tidligere vært påkrevd at registre i helseinstitusjoner som inneholder sensitive personopplysninger, skal føres i dedikerte informasjonssystem. Ved søknad om dispensasjon fra dette vil Retningslinjene være Datatilsynets grunnlag for vurdering av informasjonssikkerheten og sikkerhetsvilkår i dispensasjoner har disse retningslinjene som utgangspunkt. Datatilsynet skriver derfor at virksomheter som søker dispensasjon fra vedtaket om føring av sensitive personopplysninger i dedikert informasjonssystem bør legge disse retningslinjene til grunn ved beskrivelse av egen informasjonssikkerhet. Datatilsynets Retningslinjer for informasjonssikkerhet gir utgangspunkt for et regime for informasjonssikkerhet som en organisasjon må etablere ved behandling av personopplysninger, og benyttes som underlag ved kontroll. Hovedelementene i dette regimet er: Ledelsen har ansvaret for virksomhetens informasjonssikkerhet og skal definere mål og strategi for dette. Sikkerhetsmålene skal angi overordnede krav til konfidensialitet, integritet og tilgjengelighet samt henvise til offentlige krav som gjelder for virksomheten. Strategien skal angi prioriteringer og valg i sikkerhetsarbeidet og retningslinjer for organisering og sikkerhet knyttet til informasjonssystemet. Det må etableres rutiner for arbeidet med informasjonssystemet. 13

17 DATATILSYNET OG INFORMASJONSSIKKERHET Mål Strategi Internkontroll Rutiner Systemteknisk sikkerhet Figur 3 - Regime for informasjonssikkerhet Det skal utføres jevnlige internkontroller. Internkontrollen skal kontrollere at beskrevne ansvars- og myndighetsforhold er i samsvar med de virkelige forhold, at rutiner benyttes og er hensiktsmessige, samt at planlagte sikkerhetstiltak er iverksatt og effektive. Det må utføres risikoanalyse for informasjonssystemet. Risikoanalysen skal vurdere trusler mot informasjonssikkerheten, vurdere effektiviteten av eksisterende sikkerhetstiltak og beskrive tiltak for forbedring. Risikoanalyse må gjentas ved endringer i informasjonssystemet eller endringer i trusselbildet. Det må finnes rutiner for avvikskontroll som beskriver hvordan avvik skal rapporteres og retningslinjer for iverksettelse av strakstiltak og korrigerende tiltak. Det stilles systemtekniske krav knyttet til f.eks. tilgangskontroll og dataoverføring. Til sammen gir disse elementene en organisering av sikkerhetsarbeidet, samt verktøy for å kontrollere og tilpasse arbeidet med personopplysningene. Sikkerhetskrav for helsevesenet Datatilsynets krav til informasjonssikkerhet fokuserer i stor grad på å beskytte konfidensialiteten til sensitive personopplysninger, og legger stor vekt på personvern. I helseinstitusjoner vil også andre sikkerhetsbehov gjøre seg vel så gjeldende, så som høy tilgjengelighet, behov for 14

18 DATATILSYNET OG INFORMASJONSSIKKERHET langtidslagring av f.eks. journalinformasjon og sporbarhet ved endring i informasjonen. Informasjonssikkerhet i helsevesenet dreier seg derfor vel så mye om sikring av pasienters medisinske behov og helseinstitusjonenes arbeidsprosesser som om personvern. Innen helsevesenet vil itsystemer i første rekke være verktøy som benyttes for å nå medisinske mål. Derfor er tilgangen til nødvendig informasjon når informasjonskritiske beslutninger tas med konsekvenser for pasienters liv og helse vel så mye målestokken for om sikker informasjonsbehandling er innført. Behovet for sikring av helseopplysninger blir også slått fast i utkastet til ny lov om helseregistre, og det åpnes også for at informasjonssikkerheten kan reguleres ved forskrift, slik det også åpnes for i utkast til ny lov om personregistre. I begge utkastene legges det opp til at arbeidet med informasjonssystemet skal underlegges internkontroll og det skal kunne dokumenteres at det eksisterer systemer og rutiner som sikrer overholdelse av reglene i lovene. Det forventes at Datatilsynets Retningslinjer vil ligge til grunn for slike forskrifter. 15

19 Kapittel Fellestrekk sikkerhet og kvalitet Informasjonssikkerhet har både tekniske og organisatoriske aspekter, og det er først og fremst det siste en tilnærming basert på kvalitetssystemer vil søke å ivareta. Dette kapittelet vil derfor fokusere på hvilke organisatoriske strukturer og prosesser som gir et utgangspunkt for å samordne informasjonssikkerhet med allerede eksisterende tiltak for kvalitetssikring og internkontroll. Likheten mellom kvalitetssikring og informasjonssikkerhet ligger bl.a. i at begge: Handler om kontinuerlig forbedring nye trusler og svakheter avdekkes stadig. Handler om å redusere og forhindre usikkerhet og risiko Metodene som benyttes for å oppnå disse hovedmålene har også mye til felles. Fire kjennetegn som ofte knyttes til kvalitetsstyrte organisasjoner er brukerfokus, systematisk forbedring, helhetlig lederskap og et fokus på kontinuerlig forbedring, som beskrevet i kapittel 2. Disse kjennetegnene har også relevans for informasjonssikkerhet: Brukerfokus informasjonssikkerhet skal bidra til at den enkelte bruker av informasjonssystemene kan utføre sitt arbeide på en sikker og effektiv måte. Systematisk forbedring informasjonssikkerhet må innføres utfra et helhetsperspektiv og kan ikke innføres kun på enkeltområder eller kun som tekniske løsninger. Helhetlig lederskap og tverrfaglighet Effektiv informasjonssikkerhet må ta hensyn til en rekke faglige behov og vil påvirkes av faktorer som er både eksterne og interne for organisasjonen. Fokus på erfaringslæring og kontinuerlig forbedring er nødvendig for sikkerhetsorganisasjoner som skal forholde seg til stadig nye trusler og skiftende rammebetingelser. Kvalitetsarbeid og informasjonssikkerhet er avhengig av og vil benytte en rekke ulike ressurser i tilknytning til organisasjonen, hvor de viktigste vil være teknologi, kunnskap og kompetanse, medarbeidere og ledelse. Teknologien vil i mange tilfeller være den ressurs som mest synlig vil legemliggjøre de valg en organisasjon gjør for sin informasjonssikkerhet. 16

20 FELLESTREKK SIKKERHET OG KVALITET Særlig vil teknologien i siste instans gi tilgang til konkrete elementer i informasjonssystemet, basert på valg og prioriteringer fra organisasjonens ledelse. Teknologien må derfor være et resultat av administrative valg og organisasjonens arbeidsprosesser og ikke omvendt. Det siste er selvsagt den ideelle situasjonen, og av mange grunner, både organisatoriske, økonomiske og tekniske, uheldigvis lite realistisk. Stadig flere arbeidsoppgaver stiller høye krav til kompetanse. Kravene til oppdatert kunnskap er tydelig innenfor de enkelte profesjonene, men også kunnskap innen mer generelle områder, og da særlig informasjonsteknologi, gjør seg gjeldende. Informasjonssikkerhet er intet unntak i så henseende, og årvåkenhet for hvilke kunnskapsområder som vil være kritiske er påkrevd. Den kunnskapen som kreves for å bygge en vedvarende og robust organisering av informasjonssikkerheten vil i stor grad være tverrfaglig, med store innslag særlig fra organisasjonsteori og ledelse samt informasjonsteknologi. Den tverrfaglige orienteringen skal sikre at beslutningstagere med et begrenset synsfelt ikke i unødig grad omdefinerer alle problemer til sin egen referanseramme (ser alle problemer som en spiker som må slås inn ), men at ulike perspektiver og behov tas hensyn til. Særlig er det viktig at perspektivet løftes opp fra teknisk flisespikkeri, og på den andre siden at visjonære organisasjonsteoretikere får føttene plantet blant de tekniske realiteter. I siste instans er det er virksomhetens ledelse som er ansvarlig for at informasjonsressursene er tilstrekkelig sikret på samme måte som for kvaliteten på den tjenesten eller produktet som organisasjonen leverer. Initiativer for informasjonssikkerhet må ha solid støtte fra toppledelsen for å inneha nok legitimitet og handlekraft til å skape endringer der det er nødvendig. Sammenfallende organisasjon Likhetstrekkene mellom den tankegangen som kommer til uttrykk i Datatilsynets Retningslinjer og tankegangen vi finner i mye av litteraturen om kvalitetssystemer kommer tydelig fram i hvordan arbeidet med informasjonssikkerhet, hhv. kvalitet organiseres. I begge tilfeller fokuseres det på klare linjer og forutsigbarhet i organisasjonen, og kontinuerlig forbedring gjennom avvikshåndtering og tilpassing av rutiner. Retningslinjene vektlegger at det er ledelsens ansvar at de personopplysningene som behandles er sikret på en tilfredsstillende måte. Dette skal ledelsen gjøre gjennom å utarbeide mål for informasjonssikkerheten samt strategi for å oppnå målene. Ledelsen blir også pålagt å gjennomføre jevnlig gjennomgang av organiseringen og vurdere de signaler som kommer fra internkontroll, risikoanalyser og endringer i krav f.eks. fra det offentlige eller fra brukerne av informasjonssystemet. Endringer i hvordan organisasjonen opererer og forholder seg til omgivelsene vil først og fremst effektueres gjennom mekanismene for internkontroll og avvikshåndtering. Disse skal sørge for at de fastsatte rutinene følges, og at rutinene og planlagte sikkerhetstiltak benyttes og fungerer 17

21 FELLESTREKK SIKKERHET OG KVALITET etter sin hensikt. På denne måten skapes en slags tilbakekobling fra de laveste nivåene (rutiner og systemtekniske sikringstiltak) til de styrende nivåene (mål og strategi). Prosedyrer Dokumentasjon av prosesser og prosedyrer ligger til grunn for ISO 9000, og standarden har av enkelte blitt oppsummert som Si hva du gjør. Gjør det du sier. Skriv det ned. Dokumenterte prosedyrer skal bl.a. gi klare ansvarsforhold og reproduserbare resultater. Når alle funksjoner og prosesser er dokumentert vil organisasjonen kunne ivareta kunnskap som tidligere har vært låst til enkeltpersoner og være mindre følsom overfor endringer i organisasjonen. Det samme prinsippet gjelder for informasjonssikkerhet hvor prosedyrer skal skape oversiktlige, ryddige forhold for å sikre informasjonsbehandlingen. For at informasjonssikkerhet skal bli en del av linjeansvaret må rutiner for informasjonssikkerhet legges inn i kvalitetssystemet, og eksisterende rutiner endres til å ta hensyn til informasjonssikkerheten. Mål og strategi for informasjonssikkerhet Styrende dokumentasjon Prosedyrer Område 1 Område 2 Område 3 IT-organisasjon Figur 4 - Generell modell for kvalitetssystemet Etter som større og større deler av hva bedriften gjør dokumenteres i kvalitetssystemet, settes det høye krav til håndteringen av denne informasjonen. Stadig flere innser at denne informasjonen er deres viktigste akti- 18

22 FELLESTREKK SIKKERHET OG KVALITET va og at håndteringen av den er kritisk for organisasjonens suksess og overlevelsesevne. Dokumentasjon skal skrives, lagres, endres og leses, og alle disse aktivitetene kan være arbeidsintensive og utsatt for feil. Særlig vil prosedyrer som er utsatt for hyppige endringer kreve effektive systemer for å håndtere de ulike versjonene og for å sikre at siste versjon til en hver tid er tilgjengelig for den som trenger informasjonen. Dette medfører at et dokumentsystem for elektronisk håndtering av kvalitetssystemet raskt vil bli nødvendig. Måling og indikatorer For å kunne evaluere virkningen av kontrolltiltak og endringer / innføringer av nye rutiner er det nødvendig å ha et sett av måleområder og indikatorer som gjør det mulig å se effekten av endringene. Innenfor HMS-området kan en slik indikatorer være antall personskader av en viss type pr. år, for informasjonssikkerhet f.eks. antall ganger systemer med sensitive personopplysninger har blitt forlatt uten utlogging fra systemet. I begge tilfeller må indikatorene være meningsfylte for de egenskapene de skal måle og gi verdifull merinformasjon for de avgjørelser organisasjonen tar. Synergieffekter Motivasjonen for å bruke kvalitetssystemet i arbeidet med informasjonssikkerheten ligger i hovedsak i verdien av å kunne benytte en eksisterende struktur for håndtering av prosedyrer samt administrasjon og ledelse. I tillegg er det viktig å vektlegge at informasjonssikkerhet er en sentral komponent i kvalitet, kanskje spesielt i helsevesenet. Organisatoriske endringer av det omfang som innføring av et robust og helhetlig regime for informasjonssikkerhet utgjør vil normalt være både komplisert og stille store krav til organisasjonen. Hvis en eksisterende struktur med tilstrekkelig likhetstrekk eksisterer og har aksept innad i organisasjonen vil det være mye å tjene på å integrere disse. Utfordringer for helsevesenet En sammenkobling av kvalitetssystemet og regimet for informasjonssikkerhet er en potensielt effektiv løsning for å håndtere to organisatoriske behov på en helhetlig og samkjørt måte. Forutsetningen for at dette skal ha en positiv effekt på innføringen og den videre styringen av organisasjonens informasjonssikkerhet er naturligvis at kvalitetssystemet og denne formen for organisasjonstenking allerede har vunnet innpass. Ikke alle organisasjonskulturer har like gode forutsetninger for å kunne bygge opp og utnytte et effektiv kvalitetssystem. Intuitivt er det kanskje byråkratiet som vil ses som den mest åpenbare rollemodellen for en organisasjon med dokumenterte rutiner og klar hierarkiske struktur. Denne rollemodellen er lite karakteristisk for helsesektoren, som i større grad er inndelt etter profesjoner enn etter ledelse/arbeidstager. Dette er selvsagt 19

23 FELLESTREKK SIKKERHET OG KVALITET utfordringer som må tas på alvor, og erfaring viser at arbeid som kartlegging av arbeidsprosesser, dokumentasjon av rutiner og håndtering av dette i ettertid er meget krevende. En felles organisering av arbeidet med kvalitet og internkontroll og arbeidet med informasjonssikkerhet kan forhåpentligvis redusere kompleksiteten og ressurskravene noe. 20

24 Kapittel Integrering Dette kapittelet beskriver de områdene hvor integrasjon av kvalitetssystem og system for informasjonssikkerhet er mest synlig. Dette gjelder indikatorer og målinger, risikoanalyse, internkontroll og avvikshåndtering samt rutiner. Indikatorer for informasjonssikkerhet Måling er et nødvendig verktøy for å avgjøre om innføringen av et kvalitetssystem er vellykket og om progresjonen er til stede. Målinger er nødvendige for å finne områder som kan forbedres og for å prioritere disse. Resultatene skal brukes til å avgjøre hvor vi ønsker å gå, og vise om vi har kommet dit. For informasjonssikkerheten vil et godt system for å måle frekvens og type for sikkerhetsrelevante hendelser være viktig for å avgjøre hvilke tiltak som bør innføres og for å synliggjøre behovet for tiltak innad i organisasjonen. Det første steget i en måleprosess er å avgjøre hva som skal måles. Innenfor kvalitetsledelse retter man da fokuset mot produktet eller prosessens primære kvalitetsegenskaper. Dette er de egenskapene som er av størst betydning for produktet eller prosessen, og har størst betydning for produktets kunder/brukere. Eksempel på dette for informasjonssikkerhet kan være at konfidensiell informasjon ikke blir sendt til uvedkommende, eller at prosedyrer for informasjonssikkerhet ikke medfører komplikasjoner i brukernes hverdag. Når det er avgjort hvilke primære kvalitetsegenskaper som skal måles er det nødvendig å gi disse klare, operasjonelle definisjoner. Dette betyr egenskapene må bindes til konsepter som kan måles. Eksempelvis kan egenskapen høy pålitelighet operasjonaliseres til gjennomsnittlig tid mellom alvorlige systemfeil. Prosessen med å finne operasjonelle definisjoner er en del av arbeidet med å avgjøre hvordan vi skal måle kvalitetsegenskapene. Før selve målingsprosessen igangsettes må det også avgjøres hvilke kriteria som skal ligge til grunn for analysen av måleresultatene, og eventuelt hvilke resultater som er tilfredsstillende. En anvendelse av denne tenkemåten for informasjonssikkerhet kan være å klassifisere alle sikkerhetshendelser basert på deres egenskaper. Et godt system for klassifikasjon vil være et nyttig verktøy for å måle frekvensen av ulike typer hendelser, noe som vil gi viktige innspill til valg av sikkerhetstiltak og hvorvidt tiltakene er effektive. Et viktig element i dette arbeidet vil være å benytte en god taksonomi for informasjonssikkerhet, 21

25 INTEGRERING Angriper Verktøy Svakhet Fase Resultat Motiv Hackere Brukerkommandoer Spioner Terrorister Selskapspirater Prof. kriminelle Scripts/programmer Autonome agenter Verktøykasser Distribuerte verktøy Designsvakhet Implementeringssvakhet Konfigurasjonssvakhet Informasjonsflyt Informasjonslager Integritet Konfidensialitet Tilgjengelighet Status Politiske mål Økonomisk Skadepåføring Vandaler Elektronisk støy Figur 5 - taksonomi for angrep som gir klare og entydige klassifiseringer av hendelser. Det er gjort flere forsøk på å skape et klassifiseringssystem eller taksonomi over angrep på datasystemer. Et system er gjengitt i [Howard97]. Dette tilfredstiller de krav som må stilles til taksonomier, som at kategoriene skal være gjensidig utelukkende, uttømmende og at gjentatte klassifikasjoner skal gi samme resultat og være utvetydige. Denne taksonomien er basert på et prosessorientert synspunkt. Med dette synspunktet søker en angriper å oppnå endelige mål eller objektiver, gjennom en operasjonell sekvens av verktøy, tilgangsmåter og resultater. Først klassifiseres angriperne i 6 kategorier: Hackere, spioner, terrorister, selskapskaprere (finansielt motiverte), profesjonelle kriminelle og vandaler, altså ulike typer angripere, med ulike motivasjoner. Videre klassifiseres verktøyene i 6 kategorier: brukerkommandoer, script eller programmer, autonome agenter, "verktøykasser", distribuerte verktøy og datatapping fra elektronisk støy. En angriper må utnytte visse svakheter i systemet. Disse blir foreslått klassifisert som designsvakhet, implementeringssvakhet eller konfigurasjonssvakhet, henholdsvis at en feil har blitt gjort under designet, at designet ikke har blitt korrekt implementert, eller at systemet ikke har blitt satt opp forskriftsmessig. Videre kan vi generelt si at informasjonen kan utsettes for angrep mot når den befinner seg i to slags faser, mens det befinner seg i ro på maskinen, eller under transport mellom ulike systemer. Resultatene som kan oppnås gjennom denne prosessen er ødeleggelse av data, avsløring av innholdet i data, tyveri eller nektelse av tilgang, altså henholdsvis tap av integritet, konfidensialitet og tilgjengelighet. Til slutt kan angrepet klassifiseres etter hvilket motiv angriperen har, kategoriene som foreslås er utfordring og status, politiske mål, finansielle mål eller ønske om å påføre skade. Totalt gir dette en effektiv måte å klassifisere angrep på informasjonssys- 22

26 INTEGRERING temer, men modellen tar ikke hensyn til sikkerhetsrelevante hendelser som forårsakes av uforsiktighet eller svakheter som avdekkes på andre måter en ved angrep, og den er i stor grad fokusert på eksterne trusler mot informasjonssystemet. Dette er selvsagt momenter som det bør tas hensyn til ved valg av et system for klassifisering og beskrivelse av sikkerhetshendelser i en organisasjon. Risikoanalyse I tillegg til den løpende håndteringen og klassifiseringen av sikkerhetsrelevante hendelser vil det være nødvendig å utføre risikoanalyse når det utføres endringer i informasjonssystemet som har betydning for sikkerheten. Dette kan være endringer i informasjonens mengde eller klassifisering, endringer i trusselbildet, systemets konfigurasjon eller i organisasjonen. Risikoanalyse bør ideelt sett foregå som en kontinuerlig prosess hvor trusselbilde og sikringstiltak jevnlig vurderes opp mot hverandre og mot kostnader og verdi av de ulike tiltakene. Hovedstegene i en risikoanalyse vil være: Beskriv analyseobjektet og utfør en avgrensing mot omgivelsene for å klargjøre hva analysen omfatter. Beskriv trusler rettet mot de sikkerhetskrav som er satt for systemet. Anslå konsekvens/hvor alvorlig de ulike truslene er. Anslå sannsynligheten for at trusselen utløses (evt. hvor lett en trussel kan utløses) Foreslå mottiltak og anslå nytte vs. kostnad for disse. Internkontroll og avvikshåndtering Rutinene omkring avvikshåndtering og internkontroll vil på mange måter være kjerneelementene i organisasjonens løpende håndtering av informasjonssikkerheten. Disse prosessene vil være avgjørende for hvor effektivt organisasjonen reagerer på trusler og hendelser av betydning, og i hvilken grad organisasjonen er i stand til å håndtere de krav til sikkerhet og kvalitet som stilles internt og fra omgivelsene. Avgjørende for kvalitets- og informasjonssikkerhetssystemets effektivitet er den enkelte medarbeiders innstilling og holdninger. Særlig viktig er det med tilstrekkelig opplæring i nyinnførte rutiner og nye systemer, slik at den enkelte settes i stand til å kunne avgjøre enkelthendelsers betydning for informasjonssikkerheten og se helheten i arbeidet med informasjonssikkerheten. Ledelsens innstilling til informasjonssikkerhet og kvalitet vil også kunne ha stor påvirkningskraft og bør utnyttes positivt. Avviksrutiner for kvalitet og informasjonssikkerhet bør utformes på en uniform måte for å sikre korrekt og effektiv behandling av avvik. Et tiltak kan være å definere et felles rapporteringspunkt for alle avvik. Et slikt 23

27 INTEGRERING rapporteringspunkt vil dermed kunne dra nytte av den kollektive kunnskapen som de som bemanner rapporteringspunktet besitter og effektivt vurdere trusler og tiltak etter hvert som det er nødvendig. Siden rapporteringspunktet blir et kritisk punkt i organisasjonens avvikshåndtering er det nødvendig å sikre gode rutiner rundt arbeidet og sørge for at nødvendig personell er tilgjengelig ved behov. Rutiner for informasjonssikkerhet Datatilsynets retningslinjer identifiserer en rekke områder hvor det må etableres sikringstiltak og rutiner knyttet til sikkerheten til informasjonssystemet. Det følgende skisserer disse, samt antyder på hvor disse prosedyrene kan høre hjemme i et kvalitetssystem. Det siste må ikke forstås dogmatisk, men er ment som en antydning av hvem prosedyrene mest naturlig vil utføres av. 1. Risikoanalyse Organisasjonen må ha en prosedyre som dokumenterer de minstekrav som settes til en risikoanalyse og ved hvilke anledninger en risikoanalyse er påkrevd. Risikoanalyse vil normalt utføres ved større endringer enten i informasjonssystemet eller i dets omgivelser, og da i utgangspunktet av systemets eier. Det kan være gunstig å ha en prosedyre som beskriver framgangsmåten for dette arbeidet på et overordnet nivå i kvalitetssystemet, eksempelvis som en del av strategi for informasjonssikkerhet. En annen tilnærming kan være å lage en generell prosedyre for risikoanalyse innen alle felt som omfattes av kvalitetssystemet, som helse, miljø osv. 2. Internkontroll For å kontrollere at besluttet sikkerhetsstrategi følges må organisasjonen utføre internkontroll. Rutinen for internkontrollen skal kontrollere at: beskrevne ansvars- og myndighetsforhold er i samsvar med de virkelige forhold beskrevne arbeidsoppgaver er i samsvar med de oppgaver som utføres i praksis rutiner benyttes og fungerer etter sin hensikt planlagte sikkerhetstiltak er iverksatt og fungerer etter sin hensikt. Internkontrollen kan f.eks. utføres av organisasjonens ansvarlige for informasjonssikkerhet, og kan beskrives i strategi for informasjonssikkerhet, eller i annen dokumentasjon på sentralt ledelsesnivå. 3. Ledelsens gjennomgang Prosedyren for ledelsens gjennomgang er ment å sikre at ledelsen gis mulighet til å vurdere statusen for informasjonssikkerheten og gi grunnlag for nødvendig revisjon av sikkerhetsmål og -strategi. Beskrivelsen av denne gjennomgangen kan ligge i strategi for informasjonssikkerhet eller lignende dokument. 24

28 INTEGRERING 4. Konfigurasjonsendringer Hvis det gjøres store endringer i informasjonssystemets konfigurasjon kan det være nødvendig å utføre en risikoanalyse (jf. prosedyre 1) for å avklare hvordan endringer vil påvirke informasjonssikkerheten. En prosedyre for konfigurasjonsendring må videre omfatte: retningslinjer for behovs- og kompatibilitetsanalyse retningslinjer for installasjon, utprøving og avvikling av utstyr og program beskrivelse av ansvar og myndighet, herunder hvordan konfigurasjonsendringer godkjennes. Arbeidet med organisasjonens sikkerhetsbarrierer, og endringer i konfigurasjonen av disse må særlig underlegges kontroll. Alle endringer må dokumenteres, og det må etableres klare ansvars- og myndighetsforhold slik at alle endringer er et resultat av beslutninger tatt på bakgrunn av organisasjonens sikkerhetspolicy og eventuelle pålegg fra eksterne myndigheter. Mye av dette vil best ivaretas gjennom konkrete rutiner for de enkelte systemer. 5. Utilsiktet avbrudd I den grad det er nødvendig må det etableres en prosedyre for alternativ informasjonsbehandling ved kritisk avbrudd i driften. Prosedyren må omfatte: retningslinjer for bedømmelse av avbruddets virkning på informasjonssystemet og informasjonssikkerheten angivelse av alternative informasjonssystemer alternative (manuelle) rutiner retningslinjer for gjenoppretting av normal drift beskrivelse av ansvar og myndighet I den grad informasjonssystemene er en nødvendig del av driften i en krisesituasjon, må disse tas med i eventuelle eksisterende beredskapsplaner. 6. Sikkerhetskopiering Det må eksistere prosedyrer som fastslår hvilke deler av organisasjonens informasjonssystem det skal tas sikkerhetskopi av, hvor ofte dette skal gjøres, og hva slags lagringsmedium som skal benyttes. Videre må med jevne mellomrom sikkerhetskopienes integritet kontrolleres. Ansvarsforhold knyttet til gjenoppretting må også beskrives. Disse rutinene må i stor grad knyttes til de systemer de gjelder for, det vil f.eks. kunne være ulike krav til sikkerhetskopiering av e-postsystem og system for pasientjournaler. 25

Brosjyren inneholder hovedpunkter fra dokumentet Kvalitetsstrategi for Helse Midt-Norge. Du kan laste ned hele dokumentet fra www.helse-midt.

Brosjyren inneholder hovedpunkter fra dokumentet Kvalitetsstrategi for Helse Midt-Norge. Du kan laste ned hele dokumentet fra www.helse-midt. K V A L I T E T S S T R A T E G I F O R H E L S E M I D T - N O R G E 2 0 0 4 2 0 0 7 Brosjyren inneholder hovedpunkter fra dokumentet Kvalitetsstrategi for Helse Midt-Norge. Du kan laste ned hele dokumentet

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Prosjekt: Kvalitetsutvikling og kvalitetssikring i tjenester til utviklingshemmede

Prosjekt: Kvalitetsutvikling og kvalitetssikring i tjenester til utviklingshemmede Prosjekt: Kvalitetsutvikling og kvalitetssikring i tjenester til utviklingshemmede Bydelene Fyllingsdalen og Årstad i Bergen kommune har i samarbeid med vernepleierutdanningen ved Høgskolen i Bergen utviklet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

KVALITETSSTYRINGSSYSTEMET VED IMB MASKINER

KVALITETSSTYRINGSSYSTEMET VED IMB MASKINER KVALITETSSTYRINGSSYSTEMET VED IMB MASKINER Innholdsfortegnelse 1 Innledning... 3 1.1 Generelt om kvalitetsstyringssystemet ved IMB Maskiner...3 1.2 Om IMB Maskiner...3 1.3 Definisjoner av sentrale begrep

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Saksnr Utvalg Møtedato 43/2010 Styret ved Universitetssykehuset Nord-Norge 22.06.2010. Saksbehandler: Anne Husebekk

Saksnr Utvalg Møtedato 43/2010 Styret ved Universitetssykehuset Nord-Norge 22.06.2010. Saksbehandler: Anne Husebekk Saksnr Utvalg Møtedato 43/2010 Styret ved Universitetssykehuset Nord-Norge 22.06.2010 HF Saksbehandler: Anne Husebekk Kvalitetsstrategi STYRESAK Innstilling til vedtak Styret vedtar kvalitetsstrategien

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Medarbeidersamtaler. Universitetet for miljø- og biovitenskap

Medarbeidersamtaler. Universitetet for miljø- og biovitenskap Medarbeidersamtaler Universitetet for miljø- og biovitenskap 1 UMBs visjon Universitetet for miljø- og biovitenskap skal gjennom utdanning og forskning bidra til å sikre livsgrunnlaget til dagens og fremtidens

Detaljer

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial)

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial) UTFORDRINGER INTERNKONTROLL- FORSKRIFTEN (Helse og sosial) Stavanger april 2012 Olav Molven Virksomheten mangler en felles fremgangsmåte for å vurdere risiko og tilhørende (intern)kontroll. Virksomheten

Detaljer

Nr. Vår ref Dato I - 2/2013 13/1641 28.05.2013

Nr. Vår ref Dato I - 2/2013 13/1641 28.05.2013 Rundskriv Nr. Vår ref Dato I - 2/2013 13/1641 28.05.2013 LEDERANSVARET I SYKEHUS 1. INNLEDNING Sykehusets hovedoppgaver er å yte god pasientbehandling, utdanne helsepersonell, forskning og opplæring av

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Strategi for Langtidfrisk i Notodden kommune

Strategi for Langtidfrisk i Notodden kommune Strategi for Langtidfrisk i Notodden kommune 2012 Utarbeidet av Tove-Merethe Birkelund Dato Godkjent av Dato 2 Forord Notodden kommune hadde et nærvær på 88,9 % i 2009, det vil si en fraværsprosent på

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Dato: 22.10.2014. Saksnr.: 2014/6628. Gjelder til: 31.12.2019. Opphever: Referanse til:

Dato: 22.10.2014. Saksnr.: 2014/6628. Gjelder til: 31.12.2019. Opphever: Referanse til: Rundskriv - Serie V Mottakere av rundskrivet: (sett kryss) Nr.: RSV 12-2014 Sdir : A: U: P: OFF: Hov: Andre: Sjøfartsdirektoratet 16 spesielt bemyndigete arbeidskontorer Utvalgte utenriksstasjoner Produsenter

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

KRITERIER FOR EVALUERING AV UNIVERSITETERS OG HØGSKOLERS KVALITETSSIKRINGSSYSTEM FOR UTDANNINGSVIRKSOMHETEN

KRITERIER FOR EVALUERING AV UNIVERSITETERS OG HØGSKOLERS KVALITETSSIKRINGSSYSTEM FOR UTDANNINGSVIRKSOMHETEN KRITERIER FOR EVALUERING AV UNIVERSITETERS OG HØGSKOLERS KVALITETSSIKRINGSSYSTEM FOR UTDANNINGSVIRKSOMHETEN Vedtatt av NOKUTs styre 5. mai 2003, sist revidert 25.01.06. Innledning Lov om universiteter

Detaljer

Sammenhengen mellom og

Sammenhengen mellom og Sammenhengen mellom og Kvalitet HMS v/ Geir A. Molland Haugaland Kraft EBL 4. mars 2008 Forenklet historikk, et utgangspunkt HMS: Fra lavstatus til kritisk suksessfaktor Kvalitet: Fra selvfølgelighet /

Detaljer

Hva er risikostyring?

Hva er risikostyring? Hva er risikostyring? EBL workshop - DNV innlegg Tore Magler Wiggen, Senior Consultant / Lawyer, Cleaner Energy, DNV Energy. 22.10.2008 Agenda Risiko definisjon og begreper Risikovurdering risikoanalyse

Detaljer

Litt bedre i dag enn i går.. Kvalitetsstrategi for Helse Midt-Norge 2011-2015

Litt bedre i dag enn i går.. Kvalitetsstrategi for Helse Midt-Norge 2011-2015 Litt bedre i dag enn i går.. Kvalitetsstrategi for Helse Midt-Norge 2011-2015 Godkjent: Styrevedtak Dato: 01.09.2011 Innhold 1. Våre kvalitetsutfordringer 2. Skape bedre kvalitet 3. Mål, strategi og virkemidler

Detaljer

Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring)

Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring) Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring) Utgitt første gang: 07.06.2010. Oppdatert: 02.05.2012 1 Bakgrunn... 2 2 Hensikt... 2 3 Omfang... 2 4 Sentrale

Detaljer

Kvalitetsnormer en gammel oppfinnelse med ny aktualitet?

Kvalitetsnormer en gammel oppfinnelse med ny aktualitet? Kvalitetsnormer en gammel oppfinnelse med ny aktualitet? http://www.nki.no NFF-konferansen 6.-7. desember 2005 Utdanning i spenningsfeltet mellom kvalitetskrav og IKT-muligheter Torstein Rekkedal Forskningsleder

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

Forskning og kvalitetsutvikling - 2 sider av samme sak? Gro Sævil Helljesen, prosessleder, RN, MSc Helse Sør-Øst RHF 26 august 2010

Forskning og kvalitetsutvikling - 2 sider av samme sak? Gro Sævil Helljesen, prosessleder, RN, MSc Helse Sør-Øst RHF 26 august 2010 Forskning og kvalitetsutvikling - 2 sider av samme sak? Gro Sævil Helljesen, prosessleder, RN, MSc Helse Sør-Øst RHF 26 august 2010 WHO (1993) fem hovedområder for å vurdere og evaluere kliniske virksomheter:

Detaljer

Bedre effekt av IKT jobb systematisk!

Bedre effekt av IKT jobb systematisk! NSF ehelsekonferanse Bedre effekt av IKT jobb systematisk! ehelse et nødvendig virkemiddel for samhandling 13. 14. mai 2009 Deloitte AS Tønsberg 13.mai 2009 Bedre effekt av IKT er mulig! Effekter fra IKT

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane. Forskrift om sikring på jernbane Kapittel 1. Innledende bestemmelser 1-1. Formål Formålet med denne forskriften er at jernbanevirksomheten skal arbeide systematisk og proaktivt for å unngå tilsiktede uønskede

Detaljer

Oppfølging av avvik og uønskede hendelser

Oppfølging av avvik og uønskede hendelser Veiledning om: Oppfølging av avvik og uønskede hendelser 1 Bakgrunn 2 2 Hensikt 2 3 Omfang 2 4 Sentrale krav i regelverk 2 Krav i sikkerhetsstyringsforskriften og kravforskriften 3 Fastsette årsak 3 Evaluere

Detaljer

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14. Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.april 2015 Innhold 1. INNLEDNING... 3 2. GJENNOMFØRING... 4 3. SATSINGSOMRÅDER...

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring)

Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring) Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring) Utgivelsesdato: 07.06.2010 1 Bakgrunn...2 2 Hensikt...2 3 Omfang...2 4 Sentrale krav...2 5 Generelt om målstyring...4

Detaljer

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet Direktøren Styresak 69- Orienteringssak - Informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 05.06. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Fremdriftsplan Bakgrunn I

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Søknad om sertifisering

Søknad om sertifisering Søknad om sertifisering Jf. forskrift om eksport av forsvarsmateriell, flerbruksvarer, teknologi og tjenester av 14. mai 2013. Alle spørsmål skal besvares. PDF-versjon av søknadsskjemaet sendes lisens@mfa.no.

Detaljer

Delavtale mellom Sørlandets sykehus HF og Lund kommune

Delavtale mellom Sørlandets sykehus HF og Lund kommune Delavtale mellom Sørlandets sykehus HF og Lund kommune Delavtale nr. 9 Samarbeid om IKT-løsninger lokalt Enighet om hvilke plikter og ansvar som partene er ansvarlig for, knyttet til innføring og forvaltning

Detaljer

Betryggende kontroll Internkontrollen til rådmannen

Betryggende kontroll Internkontrollen til rådmannen Stein A. Ytterdahl Rådmann Betryggende kontroll Internkontrollen til rådmannen Foto: Carl-Erik Eriksson Agenda Hvilke overordnede tanker styres kommunen etter, herunder kort om organisering, omfang og

Detaljer

Gjelder fra: 24.09.2014. Godkjent av: Fylkesrådet

Gjelder fra: 24.09.2014. Godkjent av: Fylkesrådet Dok.id.: 1.3.1.1.0 Formål og definisjoner Utgave: 1.00 Skrevet av: Camilla Bjørn Gjelder fra: 24.09.2014 Godkjent av: Fylkesrådet Dok.type: Generelt Sidenr: 1 av 6 Formålet med styrings- og kvalitetssystemet:

Detaljer

Sertifisering av tavlebyggere Er det veien å gå? Årsmøte 12.04.2012 Quality Hotel Olavsgaard, Skjetten

Sertifisering av tavlebyggere Er det veien å gå? Årsmøte 12.04.2012 Quality Hotel Olavsgaard, Skjetten Sertifisering av tavlebyggere Er det veien å gå? Årsmøte 12.04.2012 Quality Hotel Olavsgaard, Skjetten Daglig leder Gunnar Flø Guttulsrød Norsk Sertifisering AS 1 Vårt mål Å gjøre ting riktig første gang!

Detaljer

Sikkerhetsutfordringer i en stadig mer fragmentert jernbanebransje. Ved Sjur Sæteren og Harald Hilton.

Sikkerhetsutfordringer i en stadig mer fragmentert jernbanebransje. Ved Sjur Sæteren og Harald Hilton. Sikkerhetsutfordringer i en stadig mer fragmentert jernbanebransje Ved Sjur Sæteren og Harald Hilton. Side 1 31.10.2008 Leverandørstyring Sikkerhetsoppfølging av leveranser Leverandørsertifisering Refleksjoner

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Grønt sykehus grønn standard

Grønt sykehus grønn standard Miljøledelse miljøsertifisering Grønt sykehus grønn standard Norsk forening for Sterilforsyning 05.06.2015 Mette Myhrhaug, spesialrådgiver kvalitet Vestre Viken HF Miljøstyring Grønt sykehus Bakgrunn Miljøstandarden

Detaljer

RETNINGSLINJE FOR SAMARBEID MELLOM..KOMMUNE OG ST. OLAVS HOSPITAL OM IKT- LØSNINGER OG ELEKTRONISK SAMHANDLING

RETNINGSLINJE FOR SAMARBEID MELLOM..KOMMUNE OG ST. OLAVS HOSPITAL OM IKT- LØSNINGER OG ELEKTRONISK SAMHANDLING RETNINGSLINJE FOR SAMARBEID MELLOM..KOMMUNE OG ST. OLAVS HOSPITAL OM IKT- LØSNINGER OG ELEKTRONISK SAMHANDLING Hjemlet i lov om kommunale helse- og omsorgstjenester av 14.6.2011 3-5 tredje ledd, 6-2 siste

Detaljer

Ny ISO 9001:2015. Disclaimer:

Ny ISO 9001:2015. Disclaimer: Ny ISO 9001:2015 Disclaimer: Presentasjon basert på draft versjon Subjektiv vurdering av endringer Subjektiv vurdering av hva som oppfattes som viktig Representerer ikke et sertifiseringsorgan Ny ISO 9001:2015

Detaljer

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Instruks (utkast) for Internrevisjonen Helse Sør-Øst Instruks (utkast) for Internrevisjonen Helse Sør-Øst Fastsatt av Kontrollkomiteen Helse Sør-Øst RHF xx.xx.2007 Innhold 1 Innledning... 3 2 Formål og omfang... 3 3 Organisering, ansvar og myndighet...3

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Hvordan komme i gang med å etablere et styringssystem etter ISO 14001?

Hvordan komme i gang med å etablere et styringssystem etter ISO 14001? Hvordan komme i gang med å etablere et styringssystem etter ISO 14001? Skal du etablere et styringssystem for ytre miljø, men ikke vet hvor du skal starte? Forslaget nedenfor er forslag til hvordan du

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014)

NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014) NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014) Veritech as Magnus Robbestad Kurs ISO 9001 :2015 1 Historien til ISO 9001 1988 1994 2000 2008 2015 1988 Dokumenterte prosedyrer 1994 2000 Risikobasert

Detaljer

HR-strategi 2015 2017

HR-strategi 2015 2017 Planer og meldinger 2015/1 Statistisk sentralbyrå HR-strategi 2015 2017 1 Statistisk sentralbyrå (SSB) har hovedansvaret for å utarbeide og spre offisiell statistikk om det norske samfunnet, og kjerneoppgavene

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Saksframlegg. BRUKERRELATERTE AVVIK/UHELDIGE HENDELSER I HELSE OG VELFERDSTJENESTEN Arkivsaksnr.: 10/9568

Saksframlegg. BRUKERRELATERTE AVVIK/UHELDIGE HENDELSER I HELSE OG VELFERDSTJENESTEN Arkivsaksnr.: 10/9568 Saksframlegg BRUKERRELATERTE AVVIK/UHELDIGE HENDELSER I HELSE OG VELFERDSTJENESTEN Arkivsaksnr.: 10/9568 ::: Sett inn innstillingen under denne linja Formannskapet tar sak om brukerrelaterte avvik/uheldige

Detaljer

INNLEDNING Velkommen til vår bedriftshåndbok!

INNLEDNING Velkommen til vår bedriftshåndbok! INNLEDNING Velkommen til vår bedriftshåndbok! Vår intensjon med denne er å gi våre kunder, eiere, leverandører og øvrige forbindelser et innblikk i hvordan vi kontinuerlig tenker og arbeider med kvalitetsstyring

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Risikostyring Intern veiledning

Risikostyring Intern veiledning Risikostyring Intern veiledning Versjon 1.0 Dette dokumentet er basert på «Risikostyring i staten, håndtering av risiko i mål og resultatstyringen», desember 2008 og «Risikostyring og intern kontroll i

Detaljer

Kjennetegn på god læringsledelse i lierskolen. - et verktøy for refleksjon og utvikling

Kjennetegn på god læringsledelse i lierskolen. - et verktøy for refleksjon og utvikling Kjennetegn på god læringsledelse i lierskolen - et verktøy for refleksjon og utvikling INNLEDNING Dette heftet inneholder kjennetegn ved god læringsledelse. Det tar utgangspunkt i Utdanningsdirektoratets

Detaljer

Kvalitetssystem og kvalitetsplaner for funksjonskontrakter. Vegdrift 2007. Rica Hell Hotell, Værnes 13. november 2007 Sjefingeniør Torgeir Leland

Kvalitetssystem og kvalitetsplaner for funksjonskontrakter. Vegdrift 2007. Rica Hell Hotell, Værnes 13. november 2007 Sjefingeniør Torgeir Leland Kvalitetssystem og kvalitetsplaner for funksjonskontrakter Vegdrift 2007 Rica Hell Hotell, Værnes 13. november 2007 Sjefingeniør Torgeir Leland Mer fokus på kvalitet Riksrevisjonen: Tidligere krav i våre

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema Service Level Management - ITIL Dato: 12.02.2009 Versjon 1.1 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no Evalueringsskjema for foretakets Service

Detaljer

Endringsledelse i Drammen Taxi BA 2011. Glenn A. Hole

Endringsledelse i Drammen Taxi BA 2011. Glenn A. Hole Endringsledelse i Drammen Taxi BA 2011 Glenn A. Hole Trender i arbeidslivet Organisasjonsutvikling Organisasjonsutvikling er: basert på en planlagt innsats, styrt fra toppen av organisasjonen, som omfatter

Detaljer

LEDER- OG PERSONALUTVIKLING

LEDER- OG PERSONALUTVIKLING LEDER- OG PERSONALUTVIKLING TEAMUTVIKLING, LEDELSE OG KOMMUNIKASJON BAKGRUNN, OPPLEGG OG GJENNOMFØRING INNLEDNING Lederrollen er en av de mest krevende og komplekse oppgaver i bedriften. Etter hvert som

Detaljer

«Samhandling gir økt kvalitet» - Etiske perspektiver på samhandling

«Samhandling gir økt kvalitet» - Etiske perspektiver på samhandling «Samhandling gir økt kvalitet» - Etiske perspektiver på samhandling Pernille Næss, prosjektmedarbeider /rådgiver www.ks.no/etikk-kommune Etikk er kvalitetsarbeid og en naturlig del av fagutviklingen! Prosjekt

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

FORSKRIFT OM STYRING I PETROLEUMSVIRKSOMHETEN (STYRINGSFORSKRIFTEN)

FORSKRIFT OM STYRING I PETROLEUMSVIRKSOMHETEN (STYRINGSFORSKRIFTEN) FORSKRIFT OM STYRING I PETROLEUMSVIRKSOMHETEN (STYRINGSFORSKRIFTEN) Petroleumstilsynet (Ptil) Statens forurensingstilsyn (SFT) Sosial- og helsedirektoratet (SHDIR) INNHOLD KAP I STYRING AV RISIKO...3 1

Detaljer

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen Fylkesmannen i Buskerud 22. august 2011 Risikostyring i statlige virksomheter Direktør Marianne Andreassen 11.10.2011 Senter for statlig økonomistyring Side 1 Senter for statlig økonomistyring (SSØ) -

Detaljer

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Personvernombud Støttedokument Faktaark nr. 35 Versjon: 2.1 Dato: 15.12.2010 Målgruppe Dette faktaarket er spesielt relevant for: Ansvar

Detaljer

Sak: Kvalitetssikringssystem ved Universitetet i Nordland

Sak: Kvalitetssikringssystem ved Universitetet i Nordland Høgskolen i Bodø Saksnummer: Møtedato: Styret 103/10 16.12.2010 Arkivreferanse: 2010/2058/ Sak: Kvalitetssikringssystem ved Universitetet i Nordland Behandling: Vedtak: 1. Styret for Høgskolen i Bodø vedtar

Detaljer

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Handbok i informasjonstryggleik Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Kva med MR fylke? Ingen har noko å tjene på datainnbrot hos oss. Hærverk, sabotasje Vi har aldri hatt

Detaljer

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Styresak 46-2015/3 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2013. Dokument

Detaljer

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015 Informasjonssikkerhet Øyvind Rekdal, 17. mars 2015 Om meg Øyvind Rekdal Utdannet sivilingeniør Jobber som seniorrådgiver i seksjon for virksomhetsutvikling i Miljødirektoratet Prosjektleder for å implementere

Detaljer

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring UTK Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring Konsernrevisjonen Helse Sør-Øst 05.02.2015 INNHOLDSFORTEGNELSE SAMMENDRAG... 3 1. INNLEDNING... 4 1.1 FORMÅL MED REVISJONEN...

Detaljer

VEILEDER OM KRAVET TIL SKOLEEIERS "FORSVARLIGE SYSTEM"

VEILEDER OM KRAVET TIL SKOLEEIERS FORSVARLIGE SYSTEM VEILEDER OM KRAVET TIL SKOLEEIERS "FORSVARLIGE SYSTEM" I HENHOLD TIL OPPLÆRINGSLOVEN 13-10 ANDRE LEDD OG PRIVATSKOLELOVEN 5-2 TREDJE LEDD Innhold 1. Forord...2 2. Innledning...3 3. Elementer i et forsvarlig

Detaljer

PROSJEKTPLAN. Prosjektfase 3:

PROSJEKTPLAN. Prosjektfase 3: PROSJEKTPLAN Prosjektfase 3: Implementering av utviklet kvalitetssystem i avd. for tjenester til funksjons/utviklingshemmede i Fyllingsdalen og Årstad bydel. Et samarbeidsprosjekt mellom Årstad bydel,

Detaljer

Samordningsrådet Kran, Truck og Masseforflytningsmaskiner

Samordningsrådet Kran, Truck og Masseforflytningsmaskiner Samordningsrådet Kran, Truck og Masseforflytningsmaskiner Essendropsgt.3 Postboks 5485 Majorstua 0305 OSLO Telefon: 23 08 75 31 / 23 08 75 33 Telefaks: 23 08 75 30 E-post: samordningsradet@ebanett.no UTDYPENDE

Detaljer

Felles overordnet strategi 2004-2007. Dato: April 2004. Versjon 1.0

Felles overordnet strategi 2004-2007. Dato: April 2004. Versjon 1.0 Felles overordnet strategi Dato: April 2004 Versjon 1.0 Bakgrunn Styret i Helse Midt-Norge RHF ba i oktober 2002 administrasjonen om å utarbeide en felles overordnet strategi for perioden for foretaksgruppen

Detaljer

Sikkerhetsstyring for mindre virksomheter. Morgenmøte 24. november 2011

Sikkerhetsstyring for mindre virksomheter. Morgenmøte 24. november 2011 Sikkerhetsstyring for mindre virksomheter Sikkerhet, samtrafikkevne, passasjerrettigheter og markedsovervåking Morgenmøte 24. november 2011 Charlotte Grøntved - Sikkerhetsstyring og tilsyn Elisabeth Nilsen

Detaljer

IK system for Fredikstad Seafood

IK system for Fredikstad Seafood IK system for Fredikstad Seafood Versjon: 15. april, 2015 Om etableringsforskrift 6.0 Krav om IKT kontroll er hjemlet i 6.0.Her stilles det også krav om et internkontrollsystem som sannsynliggjør at krav

Detaljer

Strategi 2015-2018 Strategisk retning for Helsetjenestens driftsorganisasjon for nødnett HF for perioden 2015-2018

Strategi 2015-2018 Strategisk retning for Helsetjenestens driftsorganisasjon for nødnett HF for perioden 2015-2018 Strategi 2015-2018 Strategisk retning for Helsetjenestens driftsorganisasjon for nødnett HF for perioden 2015-2018 Innhold Hovedmål 1 Vellykket teknisk innføring av nødnett-brukerutstyr... 6 Hovedmål 2:

Detaljer

Innhold 1. IT-SIKKERHETSLEDELSE OG -KRAV... 2 2. KVALITETSSYSTEM... 6

Innhold 1. IT-SIKKERHETSLEDELSE OG -KRAV... 2 2. KVALITETSSYSTEM... 6 Avdeling for informatikk og elæring, Høgskolen i Sør-Trøndelag Greta Hjertø Redigert og tilrettelagt for faget Datasikkerhet av Geir Ove Rosvold 20. november 2006 Opphavsrett: Forfatter og Stiftelsen TISIP

Detaljer

BEDRIFTENS SYSTEM FOR PRODUKSJONSKONTROLL (PKS)

BEDRIFTENS SYSTEM FOR PRODUKSJONSKONTROLL (PKS) Side 1 av 6 BEDRIFTENS SYSTEM FOR PRODUKSJONSKONTROLL (PKS) PKS 0: Orientering Kontrollrådet tilbyr i dag sertifisering av produksjonskontrollsystem (PK-system) innen områder hvor sertifiseringen er frivillig.

Detaljer

Avtale om samhandling mellom Dønna kommune og Helgelandssykehuset HF. Tjenesteavtale 9. Samarbeid om IKT-løsninger lokalt

Avtale om samhandling mellom Dønna kommune og Helgelandssykehuset HF. Tjenesteavtale 9. Samarbeid om IKT-løsninger lokalt Avtale om samhandling mellom Dønna kommune og Helgelandssykehuset HF Tjenesteavtale 9 Samarbeid om IKT-løsninger lokalt Innholdsfortegnelse Innholdsfortegnelse... 1 15.Vedlegg...6 1 1. Parter 1.1. Tjenesteavtale

Detaljer

Internkontroll i borettslag og sameier

Internkontroll i borettslag og sameier Oslo kommune Brann- og redningsetaten Brannforebyggende avdeling Internkontroll i borettslag og sameier - Enkelt og lønnsomt Å INNFØRE OG UTØVE INTERNKONTROLL ER MYE ENKLERE ENN DU TROR! TRYGGHET OG SIKKERHET

Detaljer

Kravet til skoleeiers «forsvarlige system»

Kravet til skoleeiers «forsvarlige system» Veileder om Kravet til skoleeiers «forsvarlige system» i henhold til opplæringsloven 13-10 Innhold Forord 4 Innledning 5 Elementer i et forsvarlig system 6 Systemkrav som virkemiddel for kvalitetsutvikling

Detaljer

Fra ord til handling Når resultatene teller!

Fra ord til handling Når resultatene teller! Fra ord til handling Når resultatene teller! Av Sigurd Lae, Considium Consulting Group AS Utvikling av gode ledelsesprosesser i et foretak har alltid til hensikt å sikre en resultatoppnåelse som er i samsvar

Detaljer

Tjenesteavtale 9 Samarbeid om IKT-løsninger lokalt

Tjenesteavtale 9 Samarbeid om IKT-løsninger lokalt Tjenesteavtale 9 Samarbeid om IKT-løsninger lokalt Vedtatt av styret for Helgelandssykehuset HF 19. juni 2012. Vedtatt av kommunestyret i Rana 18. juni 2012. Innholdsfortegnelse 1. Parter...3 2. Bakgrunn...3

Detaljer