Sikkerhetshåndbok for legekontor XXX

Størrelse: px
Begynne med side:

Download "Sikkerhetshåndbok for legekontor XXX"

Transkript

1 Sikkerhetshåndbok for legekontor XXX I samarbeid med Midt-norsk helsenett Versjon 0.3 Dato

2 Innhold Innhold... I Kapittel 1 Ansvar og organisering... II 1.1 Ansvarlig person II 1.2 Organisering II Sikkerhetsleder...III 1.3 Lover og forskrifter III 1.4 Meldeplikt og konsesjonsplikt III Kapittel 2 Mål og strategi...v 2.1 Målsetning V 2.2 Strategi V Sikkerhetsleverandør...V Risikovurderinger...V Retningslinjer og prosedyrer...v Teknologi...V Kapittel 3 Oversikt over legekontorets informasjonssystem..vi 3.1 Oversikt over registre og systemer VI 3.2 Oversikt over konfigurasjoner VI Legekontorets interne nettverk...vi Tilknytning til sikkerhetsleverandøren...vii 3.3 Tjenester VIII Dataoverføring (filoverføring og EDI)...VIII Web-tilgang...VIII E-post...VIII Kapittel 4 Retningslinjer og rutiner...ix 4.1 Fysisk sikkerhet IX Retningslinjer for tilgangskontroll og passord...ix 4.2 Virus X 4.3 Rutine for sikkerhetskopiering X 4.4 Sletting og avhending XI 4.5 Web-rutiner XII 4.6 E-post rutiner XII 4.7 Egenkontroll og ledelsesgjennomgang XIII 4.8 Risikovurdering XIII 4.9 Avviksbehandling XIII 4.10 Beredskapsplanlegging XIV 4.11 Dokumentasjon XIV Vedlegg A... XV A.1 Avtale med Midt-Norsk Helsenett XV A.2 Avtale med EDB Teamco XV A.3 Skjema for avviksrapport XV A.4 Skjema for risikovurdering XV

3 Kapittel 1 Ansvar og organisering Sikkerhetshåndboken er ment som et rammeverk for legekontor som skal knyttes til Midt-norsk helsenett. Den tar utgangspunkt i veiledninger for mindre virksomheter som er utarbeidet av Samarbeidsforum (på oppdrag fra Sosial- og helsedepartementet). Håndboken må tilpasses lokale forhold, og vi har spesielt prøvd å skrive informasjon som må oppdateres/tilpasses i kursiv, men dette betyr ikke at dette er den eneste informasjonen som må tilpasses. Se Administrativ veiledning for tips om hvordan arbeidet bør legges opp. 1.1 Ansvarlig person Den personen som har den daglige ledelse av virksomheten, har også ansvaret for at sikkerheten er på plass. Et legekontor kan delegere deler av den praktisk utøvende funksjonen til en sikkerhetsleverandør eller til en medarbeider ved kontoret. Selv om virksomheten benytter en leverandør til å utføre en del av de praktiske tiltakene, ligger det overordnede ansvaret for oppfølging fortsatt hos den som har det daglige ansvaret. Dersom legekontoret ikke har en daglig leder, bør det utnevnes en sikkerhetskoordinator som ansvarlig person. 1.2 Organisering Område Sikkerhetsleder/koordinator Praktisk utføring (driftsansvarlig) Navn på person Virksomhetens daglige leder Laboratorieansvarlig, sekretær Midt-norsk helsenett v/ ansvarlig person Leverandører EDB Teamco v/ ansvarlig person Ansvarlig person hos evt. leverandøren av driftstjenester Tabell Organisering og personer For mange legekontor/senter vil den daglige ledelsen være delt mellom flere leger som driver hver sin selvstendige legepraksis. I dette tilfelle anbefales det at legesenteret peker ut en person som er sikkerhetskoordinator. Men dette fratar ikke den enkelte lege ansvaret i forhold til egen praksis. Nedenfor har vi satt opp hvilket ansvar de ulike rollene har.

4 Sikkerhetsleder/koordinator Er ansvarlig for at virksomheten følger lover og forskrifter mht. informasjonssikkerhet Sørger for at rollene ovenfor er avklart Sørger for at sikkerhetshåndboken opprettes, revideres og etterleves Gjennomgår avviksrapporter Gjennomgår rapporter for årlig egenkontroll Den som står for den praktiske utføringen Utfører alle praktiske oppgaver i sikkerhetshåndboken Har kontakt med leverandører Rapporterer til sikkerhetslederen Sikkerhetsleverandør Kan ha ansvar for deler av sikkerhetshåndboken Har driftsansvar for deler av sikkerhetsløsningen 1.3 Lover og forskrifter Sensitive personopplysninger behandles og registreres i pasientens (elektroniske) journal på legekontoret med hjemmel i lov om helsepersonell m.v. (helsepersonelloven). Personopplysningsloven og tilhørende forskrift regulerer hvordan tilfredsstillende informasjonssikkerhet oppnås i forbindelse med behandlingen av personopplysninger. Disse bestemmelsene gjelder også for legekontoret som ikke er knyttet til eksterne nettverk, og kravene vil således også gjelde for legekontor som ikke er tilknyttet Midt-norsk helsenett. 1.4 Meldeplikt og konsesjonsplikt Legekontorets behandling av personopplysninger er meldingspliktig i henhold til personopplysningsloven, og melding om at slik behandling foregår er sendt Datatilsynet den (Det er unntak fra konsesjonsplikten for behandling av pasientopplysninger hos helsepersonell. (Se forskrift til personopplysningsloven 7-24.) Unntaket gjelder imidlertid bare i forbindelse med behandling og oppfølging av den enkelte pasient, for arbeid som oppnevnt sakkyndig eller for utarbeidelse av statistikk. Hva som vurderes å være "behandling og oppfølging av den enkelte pasient", er knyttet begrepet "helsehjelp" slik det er regulert i helsepersonelloven og plikten til

5 å føre journal. (Se helsepersonelloven 39.) Dersom virksomhetens behandling av personopplysninger er unntatt konsesjonsplikt, skal den likevel meldes i henhold til personopplysningsloven 31. Personopplysningslovens øvrige regelverk gjelder uavhengig av konsesjons- eller meldeplikt. )

6 Kapittel 2 Mål og strategi 2.1 Målsetning Legekontoret skal innen (xxx/dato) ha etablert en tilfredsstillende informasjonssikkerhet som ivaretar personopplysningenes konfidensialitet, integritet og tilgjengelighet (se definisjoner under) i henhold til personopplysningsloven og tilhørende forskrift. Integritet, det vil si å sikre at informasjon og tjenester/ressurser beholdes korrekte og ikke blir forandret av personell uten lovlig tilgang eller ved feil i utstyr og programvare Tilgjengelighet, det vil si å sikre at informasjon og tjenester/ressurser er tilgjengelige til rett tid for det personellet som har behov for tilgang Konfidensialitet, det vil si å sikre at informasjon beskyttes slik at uvedkommende ikke får innsyn 2.2 Strategi Sikkerhetsleverandør Legekontoret har gjennom en avtale med Midt-norsk helsenett valgt å knytte til seg en ekstern sikkerhetsleverandør EDB Teamco, som også utfører enkelte driftstjenester. Risikovurderinger Etableringen av informasjonssystemet samt vesentlige endringer i dette skal være basert på risikovurderinger. For de tekniske løsningene vil risikovurderingene hovedsakelig gjøres av sikkerhetsleverandøren, men dette suppleres med vår egen vurdering i forhold til lokale forhold. Retningslinjer og prosedyrer Denne sikkerhetshåndboken inneholder retningslinjer og prosedyrer som er vesentlige for å etablere tilfredsstillende informasjonssikkerhet for legekontoret. Teknologi Hele legekontoret betraktes som en sikker sone hvor det foregår behandling av sensitive personopplysninger, og det etableres en sikkerhetsbarrierer mot Midtnorsk helsenett. I Midt-norsk helsenett er det etablert sikkerhetsbarrierer mot eksterne nettverk.

7 Kapittel 3 Oversikt over legekontorets informasjonssystem 3.1 Oversikt over registre og systemer Tabellen under gir en oppdatert oversikt over hvilke systemer og registre som finnes på legekontoret. (Tilpass tabellen med de systemer dere bruker). System/register Formål Klassifisering Profdoc ver 5.1 Infodoc 4.2 WinMed 1.5 Timebok Journal LAB Timebok Journal LAB Timebok Journal LAB Sensitive personopplysninger Sensitive personopplysninger Sensitive personopplysninger RUSdata 2.0 Klient-administrasjon Sensitive personopplysninger Ca. antall pasienter/ klienter) 2) Hvor installert? Server på datarom 1300 Server i lab Dr. Normans maskin på kontoret 500 Server i låst arkivrom 1) Antall pasienter/klienter: Skriv inn ca. omfang som totalt er registrert i systemet. 3.2 Oversikt over konfigurasjoner Legekontorets interne nettverk Legekontoret må her ta med tegning(er) med beskrivelse av hvilke maskiner (tjenere og klienter) og komponenter (skrivere, UPS, periferiutstyr) som inngår i nettverket. Oversikten skal vise sammenhengen mellom maskiner, programvare og sikkerhetsløsninger. Tegningen med beskrivelse skal også vise eksterne forbindelser (f.eks tilknytning til MNH) og strukturen i sikkerhetsløsningen. I små virksomheter kan det være leverandøren som utarbeider slike oversikter, men det er virksomhetens ansvarlige som skal påse at det faktisk gjøres. I dette heftet er de tekniske forholdene ikke omtalt. Vi viser til heftet «Tekniske sikkerhetsløsninger for mindre virksomheter» som er utgitt av Sosial- og helsedepartementet.

8 3.2.2 Tilknytning til sikkerhetsleverandøren Den tekniske oppkoblingen til sikkerhetsleverandøren for legekontoret i MNH har en struktur som innrettes for å beskytte de sensitive opplysningene som legekontoret forvalter. Det er installert en ISDN-ruter på legekontoret. Denne kommuniserer med en ruter i MNH, som via en brannmur gir tilgang til tjenester i MNH, samt utgang til Internett via nok en brannmur. All kommunikasjon initieres fra legekontoret og inn mot MNH. Det er ikke mulig å initiere kommunikasjon den andre veien. Ruteren i MNH aksepterer kun anrop fra nummer som på forhånd er godkjente for tilgang til de aktuelle tjenestene i MNH. Legekontor Journal- / filserver Driftsleverandør / Teamco Brannmur Terminalserver for WWW DNS MNH tjeneste-nett Proxy Brannmur Internett / Ekstert nett

9 3.3 Tjenester Dataoverføring (filoverføring og EDI) Legekontoret kommuniserer følgende EDI-meldinger til eksterne parter: (tabellen fylles ut av legekontoret, evt i samarbeid med leverandør) Melding Kommunikasjonspart Omfang Beskyttelse Utfyllende informasjon Labmelding Sykehuslaboratorium på RiT Kryptert Epikrise RiT Ca 5/dag Kryptert + Signert Ca 10 overføringer/uke Røntgenmelding Røntgeninstitutt ca 10/uke kryptert 56-bit DES Kryptering For at mottak av epikriser, og senere mottak og sending av andre typer rapporter er det installert en EDI-tjener, Multikom. Denne programvaren kommuniserer med en e-post-tjener i Midt-Norsk Helsenett og henter og sender elektroniske dokumenter etter behov. Den er installert på én PC i lokalnettet på legesenteret. Data med personsensitivt innhold som overføres fra legekontoret krypteres før de sendes ut av virksomheten. Ved utsendelse av data fra et av virksomhetens kliniske systemer (journal eller klientsystem) skal det alltid skje i henhold til bestemmelser om teknologiske innretninger for slik utsending (jf. «Tekniske sikkerhetsløsninger for mindre virksomheter»). Det er satt opp et modem som gir kan gi journalleverandøren tilgang til å utføre vedlikehold eller feilretting i journalsystemet. Dette modemet skal normalt være avslåt el. frakoblet, og bare aktiveres på når man har avtalt med leverandøren at vedlikehold skal skje. Etter endt bruk skal modemet slåes av. Det er ikke tillatt å koble egne modem til maskinene for annet bruk. Alle forbindelser fra virksomheten skal skje gjennom virksomhetens godkjente og kontrollerte kommunikasjonsløsninger Web-tilgang Web-aksess til MNH og Internett etableres over en terminalserver i MNH. På legekontoret installeres det en tynn terminalklient, som kan kjøre fra samme arbeidsstasjoner som legene benytter for tilgang til journalsystemet. Det er ikke mulig å få direkte tilgang til Internett uten bruk av terminalløsningen E-post Ikke avklart enda hvordan dette teknisk skal realiseres.

10 Kapittel 4 Retningslinjer og rutiner 4.1 Fysisk sikkerhet På legekontoret er tjener(e) med sensitive opplysninger plassert på rom. Dette rommet skal være låst og er for øvrig sikret med normal bygningsmessig sikkerhet. Er det vinduer i rommet? Alternativet her er å anskaffe et mindre jernskap som skrus fast til en vegg. Døren til skapet må utstyres med en sylinderlås. Alle skrivere er plasseres slik at det ikke er noen fare for at uautoriserte personer enkelt kan få tilgang til utskrifter. Med tilgang menes at en person enten kan lese informasjonen ved innsyn eller fysisk kan berøre utskriften. Arbeidsstasjoner er plassert slik at det ikke er fare for innsyn fra publikumsområder, korridorer, vinduer og lignende. Det benyttes skjermsparere på alle datamaskiner som automatisk slår seg på etter x minutter inaktivitet. Alle utskrifter og all korrespondanse eller annen skriftlig informasjon som foreligger enten på papir eller film, skal alltid oppbevares slik at uautorisert personell ikke får tilgang til informasjonen. Arbeidsplasser skal ryddes for pasientinformasjon etter endt konsultasjon eller arbeidsøkt. Backup-taper er plassert i brannsikkert skap på.rom. Er det alarm på legekontoret? Tilknyttet vaktselskap? Videokamera? Retningslinjer for tilgangskontroll og passord Generelt gjelder det at alle brukere skal ha egen bruker-id med godkjent passord. Det er ikke tillatt med felleskontoer. Autorisasjon og tilgang ved ansettelse Det er den sikkerhetsansvarlige (el. koordinator) som autoriserer hvem som skal ha hvilken tilgang til virksomhetens systemer. Opprettelse av ID og passord skal foretas av operatøren (lege, sekretær, leverandør). Alle passord skal ha en lengde på minst 8 tegn, og de skal byttes minst hvert halvår. God forvaltning under arbeidsforholdet Det er ikke tillatt å notere ned passord eller ID på papir og oppbevare dem usikret (f.eks på lapper). Alle ID-er og passord er personlige og skal ikke lånes ut til en kollega eller en tredjepart. Om arbeidsforholdet endrer karakter, skal en eventuell tilgang nedgraderes eller fjernes. Om arbeidsforholdet gjør at medarbeideren skal ha flere tilganger til personsensitive systemer, skal dette vurderes av den daglige lederen før tilgangen opprettes. Fjerning av tilgang når autorisasjonen opphører, eller når vedkommende slutter i jobben Når en medarbeider slutter, skal all tilgang fjernes umiddelbart. Dersom brukeren har eventuelle filer på privatområder, skal det i hvert enkelt tilfelle vurderes om disse filene har betydning for virksomhetens arbeid. I slike tilfeller kan det tas kopier. Filer som er av åpenbar personlig eller privat karakter, er det ikke tillatt å

11 åpne. Eventuelle e-postkontoer skal ikke åpnes og verifiseres, men skal slettes i sin helhet. Dersom en medarbeider går ut i permisjon, skal vedkommendes kontoer settes i midlertidig låst status. 4.2 Virus Legekontoret benytter følgende antivirusprogramvare:. Antivirusprogramvaren er installert på alle datamaskiner (klienter og tjenere) som benyttes av legekontoret (også bærbare maskiner eller hjemmemaskiner). Antivirusprogrammet aktiveres automatisk og skal alltid være aktivt. Disketter og CD-er skal alltid kontrolleres før de benyttes. Virusprogramvaren oppdateres på følgende måte (slett det som ikke er riktig, og tilpass til egen virksomhet): Automatisk nedlasting fra leverandørens nettsider til den enkelte klient når nye virussignaturer foreligger. Driftsansvarlig (el. tilsvarende) for legekontoret er ansvarlig for å laste ned og installere nye virussignaturer på datamaskinene hver.dag (minimum ukentlig). Dersom ikke driftsansvarlig er tilstede skal. utføre denne oppgaven. Dersom virus oppdages skal dette rapporteres som avvik. 4.3 Rutine for sikkerhetskopiering Det skal jevnlig tas sikkerhetskopier av alle filer på serveren(ne) etter retningslinjene i dette avsnittet. Dersom arbeidet med sikkerhetskopiering blir utført av en leverandør, må prosedyren som er beskrevet nedenfor, inngå i kontrakten. Uansett må prosedyren tilpasses hvordan sikkerhetskopieringen faktisk utføres. Installasjon og konfigurasjon av sikkerhetskopieringen ble utført av følgende firma:. Prosedyre for sikkerhetskopiering Legekontor Hvor? Hvem? Når? Hvordan? Journalserveren <navn> i datarommet Det er nn s oppgave å kjøre sikkerhetskopiering. Det skal tas sikkerhetskopier daglig etter siste arbeidsøkt, med automatisk oppstart. Bruk instruksen som er oppslått bak maskinen.

12 Merking av backup-medier Merking av taper Bytting av taper Sirkulasjon av backup-medier Oppbevaring Destruksjon Logging Kontroll Alle backup-medier skal merkes med maskin, dato og klokkeslett. Alle taper skal merkes med maskin og dato. Alle taper skal byttes daglig i sirkulasjon. Alle taper som har vært i produksjon i ett år, skal tas ut av sirkulasjon og destrueres. Det skal brukes x taper i sirkulasjon. Den siste sikkerhetskopien annenhver måned skal tas ut og arkiveres i 2 år. Utstyret må renses med jevne mellomrom. Alle taper skal oppbevares atskilt og i tilstrekkelig avstand fra maskinen i tilfelle brann, inntrenging av vann eller tyveri. Hver fredag skal dagens tape oppbevares i bankboks i banken nn (eller på annet sikkert sted). Alle taper som tas ut av bruk, skal destrueres i tråd med slettekapitlet i sikkerhetshåndboken. Ved siden av maskinen er det en loggbok, som operatøren skal fylle ut: sikkerhetskopiering, dato, signatur og status (OK eller feil). Hver morgen skal den ansvarlige operatøren kontrollere om sikkerhetskopieringen ble korrekt utført. Problemer eller feil med sikkerhetskopieringen (f.eks glemt å bytte tape) rapporteres som avvik. 4.4 Sletting og avhending Både papir og datamedier med personsensitiv informasjon og annen konfidensiell informasjon må slettes eller destrueres før de kastes. Retningslinjene nedenfor gjelder for virksomheten på dette området. Det er ikke tillatt å avhende eller på noen annen måte sende datamedier med sensitive opplysninger ut av virksomhetens område. Disketter Disketter som inneholder sensitiv informasjon, og som ikke skal brukes mer, skal deles eller atskilles i minst fire deler. Disker Med disker menes faste eller flyttbare disker. For alle disker som tas ut av maskiner som inneholder personsensitive opplysninger, gjelder: 1. Disker skal ikke sendes ut av virksomhetens område for reparasjon.

13 2. Postens blå sikkerhetstape (eller annen type forselgingstape) skal omslutte mediet. 3. Det skal festes en merkelapp til mediet, med opplysninger om opprinnelse og dato. 4. Mediet skal oppbevares i samme rom og med samme krav som gjelder for servere 5. Mediet skal fysisk destrueres før de sendes ut av virksomhetens område. Taper Alle taper med sensitiv informasjon som ikke skal brukes mer, skal brennes. Inntil brenning kan foretas, skal punktene 2 4 under «Disker» ovenfor følges. Papirutgaver Alle papirutskrifter som inneholder personsensitiv informasjon og som skal kastes, skal alltid makuleres. 4.5 Web-rutiner Tilgangen til Internett skal kun benyttes i forbindelse med tjenstlige behov Det skal ikke lastes ned programvare til legekontorets interne nettverk (fyll ut med egne rutiner!) 4.6 E-post rutiner E-post skal kun benyttes for kommunikasjon av ikke-sensitiv informasjon. Dersom legekontoret mottar sensitiv informasjon fra/om pasienter skal denne lagres i journalsystemet, og slettes fra epost-systemet. Det samme gjelder dersom informasjon (ikke sensitiv) sendes til pasienten. Pasienten skal også varsles om at denne informasjonen er mottatt og arkivert, men pasienten skal opplyses om at dette ikke er en sikker måte å kommunisere på. Det er vårt ansvar å opplyse pasientene om at (ukryptert) e-post ikke er en sikker måte å kommunisere på. Vi skal ikke (direkte eller indirekte) oppfordre pasienter eller andre til å sende sensitiv informasjon per e-post. Vær spesielt varsom ved sending av e-post med vedlegg, slik at ikke feil vedlegg legges ved e-posten. Husk at du ikke kan være sikker på at avsender eller mottaker av en melding er den han virkelig utgir seg for å være. Husk at e-postmeldinger kan leses/endres av andre underveis.

14 4.7 Egenkontroll og ledelsesgjennomgang Arbeidet med sikkerhet en kontinuerlig prosess. Det er en del av denne prosessen å legge opp til en jevnlig kontroll og gjennomgang av den sikkerheten som er bygd opp. Det skal også løpende vurderes om det er behov for endringer. Virksomheten bør legge opp egenkontrollen slik at den blir utført løpende gjennom en periode. Når det har gått ett kalenderår, skal de samlede resultatene fra egenkontrollen, eventuelle risikomomenter og hvilke tiltak som skal gjennomføres, beskrives. Det skal også vurderes om det er behov for å gjøre endringer i denne sikkerhetshåndboken. Metoden i egenkontrollen er innebygd i to dokumenter i tilknytning til dette heftet I vedlegg x er det tatt med egenkontrollskjema og risikovurderingsskjema som benyttes i forbindelse med egenkontrollen. Skjemaene fylles ut og arkiveres sammen med denne sikkerhetshåndboken. I «Tilleggspakke praktiske verktøy» er det også tatt med et formular som kan benyttes som oppsummeringsrapport om egenkontrollen. 4.8 Risikovurdering Legekontoret har gjort risikovurderinger før tilknytningen til MNH. Disse er dokumentert i vedlegg X. Vi kom da fram til at tilknytningen til MNH gir en akseptabel risiko for legekontoret. Legekontoret skal gjøre risikovurderinger før nye tjenester tas i bruk eller ved endringer som har betydning for informasjonssikkerheten. MNH og sikkerhetsleverandøren EDB Teamco vil dessuten gjøre risikovurderinger ved endringer i tjenestetilbudet eller andre endringer med betydning for informasjonssikkerheten. 4.9 Avviksbehandling Som nevnt i forrige avsnitt, er arbeidet med informasjonssikkerhet en kontinuerlig prosess. Det er derfor viktig å fange opp alle avvik eller brudd av betydning for informasjonssikkerheten. Her er en liste med typiske avvik som det er naturlig å utarbeide en avviksrapport på: Det har vært innbrudd i virksomheten, og det er stjålet utstyr eller papirer. Uvedkommende har kommet seg inn i journalen fra en ubetjent arbeidsstasjon. Pasienter eller andre rapporterer om at personopplysninger er kommet på avveie. Utskrifter er kastet i søppelkurven og er kommet ut av virksomhetens område. Utskrifter med sensitive opplysninger er blitt liggende ved skriveren. Det avdekkes at passord skrives opp på gule lapper. Det avdekkes at sensitive personopplysninger er kommet på avveie. Dette skal rapporteres til Datatilsynet. Det skal alltid brukes avviksskjema i sikkerhetspermen.

15 4.10 Beredskapsplanlegging Vurder om det er behov for alternative rutiner ved avbrudd i normal drift av informasjonssystemet. I tilfellet bør slike rutiner dokumenteres her. Vurder om forsikringsdekning i forhold til tap av datautstyr og elektronisk innformasjon, samt tilhørende følgeskader er tilstrekkelig Dokumentasjon Ved oppdateringer eller revisjoner av denne sikkerhetshåndboken eller tilhørende dokumenter, skal det tildeles nye versjonsnummer og det gamle dokumentet må tas vare på for fremtidige referanser i minimum 5 år. Referanser: Informasjonssikkerhet Administrativ veiledning for mindre virksomheter, Sosial- og helsedepartementet, jan 2001 (www.kith.no/samarbeidsforum) Informasjonssikkerhet Tekniske sikkerhetsløsninger for mindre virksomheter, Sosial- og helsedepartementet, jan 2001 (www.kith.no/samarbeidsforum)

16 Vedlegg A A.1 Avtale med Midt-Norsk Helsenett A.2 Avtale med EDB Teamco A.3 Skjema for avviksrapport A.4 Skjema for risikovurdering A.5 Egenkontrollrapport

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

SIKKERHETSINSTRUKS - Informasjonssikkerhet

SIKKERHETSINSTRUKS - Informasjonssikkerhet SIKKERHETSINSTRUKS - Informasjonssikkerhet Sikkerhetsinstruksen er fastsatt av fylkesdirektøren 23.08.2017, og erstatter «Reglement for bruk av fylkeskommunens IT-løsninger» fra 2014. Instruksen er en

Detaljer

4.2 Sikkerhetsinstruks bruker

4.2 Sikkerhetsinstruks bruker 4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til

Detaljer

Sikkerhetsinstruks bruker

Sikkerhetsinstruks bruker Sikkerhetsinstruks bruker Side 1 av 5 Sikkerhetsinstruks bruker NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av ikke

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde 1.1 Dette reglementet regulerer en brukers rettigheter og plikter ved bruk av TFKs ITressurser. Med TFKs IT-ressurser menes alle

Detaljer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Felles datanett for kommunene Inderøy, Verran og Steinkjer IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

Nettvett i STFK. Retningslinjer og etiske regler. for bruk av datanett i STFK RETNINGSLINJE FOR INFORMASJONSSIKKERHET. Versjon 1.0.

Nettvett i STFK. Retningslinjer og etiske regler. for bruk av datanett i STFK RETNINGSLINJE FOR INFORMASJONSSIKKERHET. Versjon 1.0. SØR-TRØNDELAG FYLKESKOMMUNE RETNINGSLINJE FOR INFORMASJONSSIKKERHET Nettvett i STFK Retningslinjer og etiske regler for bruk av datanett i STFK Erstatter: - Utarbeidet ved: IKT-tjenesten Vedtatt/godkjent

Detaljer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INSTRUKS FOR BRUK AV INTERNETT OG E-POST Vedtatt av administrasjonsutvalget i Levanger XX.XX.XXXX Vedtatt av administrasjonsutvalget i Verdal XX.XX.XXXX

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

Fokus på sikkerhet pass på pasientdata

Fokus på sikkerhet pass på pasientdata Fokus på sikkerhet pass på pasientdata Sensitive personopplysninger: Må ikke forsvinne (tilgjengelighet) Må finnes lett og oversiktlig (tilgjengelighet) Må ikke endres av uvedkommende (integritet) Må ikke

Detaljer

2.4 Bruk av datautstyr, databehandling

2.4 Bruk av datautstyr, databehandling 2.4 Bruk av datautstyr, databehandling Formål Denne prosedyren skal beskrive generelle krav til informasjonssikkerhet ved bruk av datautstyr i Midt-Telemarkkommunene. Den skal leses av alle medarbeidere,

Detaljer

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Sikkerhetshåndbok for Utdanningsetaten. kortversjon Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.1 Dato: 17.08.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER) Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale Pilot Digitalt Bortsettingsarkiv Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt

Detaljer

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet) Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 4.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang

Detaljer

God IT-skikk. - Informasjonssikkerhet i Norsvin -

God IT-skikk. - Informasjonssikkerhet i Norsvin - God IT-skikk - Informasjonssikkerhet i Norsvin - 1 God IT-skikk i Norsvin Norsvin er en bedrift hvor Informasjonsteknologi (IT) benyttes i stor grad. Utstyr som behandler bedriftens informasjon skal være

Detaljer

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Nr Sjekkpunkt Faktaark /ikke ok Beskrivelse 7 Ikke ok Er gjennomført en rekke ROS-analyser vedr. FIKS. Det mangler i vesentlig

Detaljer

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

RETNINGSLINJER FOR BRUK AV SELSKAPETS DATAUTSTYR

RETNINGSLINJER FOR BRUK AV SELSKAPETS DATAUTSTYR RETNINGSLINJER FOR BRUK AV SELSKAPETS DATAUTSTYR Disse retningslinjer inneholder bl.a.: Regler for bruk av datautstyr tilhørende arbeidsgiver Sikkerhetspolicy Lagring og oppbevaring av dokumenter på kontorets

Detaljer

Databrukara vtale. for. Rauma kommune

Databrukara vtale. for. Rauma kommune Databrukara vtale for Rauma kommune IT- sikkerheitsreglar for Rauma kommune Mål IT skal brukast til å dokumentere, dele og utveksle informasjon for å fremje effektiv informasjonsbehandling og sikre god

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Behandlingsansvarlig skal sørge for at egne lokaler og utstyr er forsvarlig sikret.

Behandlingsansvarlig skal sørge for at egne lokaler og utstyr er forsvarlig sikret. 2.6 Fysisk sikring Formål Prosedyren skal sikre uautorisert adgang til objekter og utstyr benyttet til behandling av informasjon, særlig behandling av sensitive personopplysninger, eller at de ikke er

Detaljer

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1 Introduksjonskurs til Normen Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS 1 Innhold 1. Litt om personvern og informasjonssikkerhet 2. Norm for informasjonssikkerhet 3. Risikovurdering 4.

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Veileder for bruk av tynne klienter

Veileder for bruk av tynne klienter Veileder for bruk av tynne klienter Dette dokumentet er en veileder for bruk av terminaltjener/klient (tynne klienter) for å skille samtidige brukerrettigheter i åpne og sikre soner. April 2005 Postadresse:

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

Videokonsultasjon - sjekkliste

Videokonsultasjon - sjekkliste Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Videokonsultasjon - sjekkliste Støttedokument Faktaark nr. 54 Versjon: 1.0 Dato: 08.06.2017 Sjekkelisten inneholder krav som skal ivaretas

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Datasikkerhet internt på sykehuset

Datasikkerhet internt på sykehuset Datasikkerhet internt på sykehuset DRG Konferansen 11. mars 2009 Informasjonssikkerhetsleder Jan Gunnar Broch Sykehuset Innlandet HF Agenda Informasjonssikkerhet; Hva, hvorfor og hvordan Hvordan håndterer

Detaljer

IT-REGLEMENT FOR TILSATTE / ENGASJERTE VED KUNSTHØGSKOLEN

IT-REGLEMENT FOR TILSATTE / ENGASJERTE VED KUNSTHØGSKOLEN IT-REGLEMENT FOR TILSATTE / ENGASJERTE VED KUNSTHØGSKOLEN Instruks for bruk av IT-utstyr ved Kunsthøgskolen i Oslo er fastsatt av høgskoledirektøren 1.april 2006. 1 Omfang, forutsetninger 1.1 Dette reglementet

Detaljer

Ledelse og personvern. Forenklet sammendrag av de styrende dokumenter for personvern og informasjonssikkerhet ved Oslo universitetssykehus

Ledelse og personvern. Forenklet sammendrag av de styrende dokumenter for personvern og informasjonssikkerhet ved Oslo universitetssykehus Ledelse og personvern Forenklet sammendrag av de styrende dokumenter for personvern og informasjonssikkerhet ved Oslo universitetssykehus Stab fag og pasientsikkerhet Seksjon for personvern og informasjonssikkerhet

Detaljer

Autorisasjonsdokumenter ved Frischsenteret

Autorisasjonsdokumenter ved Frischsenteret Fastsatt 11.3.03 Autorisasjonsdokumenter ved Frischsenteret Taushetserklæringer og tilgangstillatelser for personer: 1. Tilgang til Intern sone. Underskrives av alle. Autoriseres av nettverksansvarlig.

Detaljer

heretter kalt Operatøren.

heretter kalt Operatøren. Bilag 1 til Oppdragsbeskrivelsen Databehandleravtale Mellom: Ruter As (Ruter) som Oppdragsgiver Og heretter kalt Operatøren. Innholdsfortegnelse: Bilag 1 til Oppdragsbeskrivelsen... 1 Databehandleravtale...

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

06.06.2012 Lindesnes ungdomsskole. IKT på LUS

06.06.2012 Lindesnes ungdomsskole. IKT på LUS 06.06.2012 Lindesnes ungdomsskole IKT på LUS Innhold Organisasjons- og aktivitetskart... 2 Elevreglement for bruk av IKT-utstyr på LUS... 3 Regelverk for bruk av bærbare elev-pc er på 10. trinn... 4 Regler

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016 Laget av Dato Orginal plassering fil. Johnny ndre Sunnarvik Nov 2015 http://innsiden.helse-vestikt.no/avdelinger/tjenesteproduksjon/anbudskrav/documents/sikkerhet.docx Dato Nov 2015 Des 2015 Nov 2016 Beskrivelse

Detaljer

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet) Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 3.0 Dato: 15.12.2010 Målgruppe Dette faktaarket er

Detaljer

2.12 Sikkerhetsinstruks bruker

2.12 Sikkerhetsinstruks bruker 2.12 Sikkerhetsinstruks bruker Side 1 av 7 2.12 Sikkerhetsinstruks bruker Denne instruksen erstatter tidligere Databrukeravtale ref http://www.svk.no/getfile.php/160353.652/databrukerkontrakt++svk+v+01.pdf

Detaljer

KONKURRANSEGRUNNLAG. Bilag 1 Kravspesifikasjon

KONKURRANSEGRUNNLAG. Bilag 1 Kravspesifikasjon KONKURRANSEGRUNNLAG Bilag 1 Kravspesifikasjon for kjøp av tjenester knyttet til drift av IT-løsninger som maskinvare, infrastruktur og programvare (herunder brukerstøtte) for levering til Statens jernbanetilsyn

Detaljer

www.lillehammer.kommune.no

www.lillehammer.kommune.no Byen langs Mesnaelva 26 000 innbyggere Hvordan forholder man seg til norm for informasjonssikkerhet? Erfaringer fra Lillehammer http://www.helsedirektoratet.no/vp/multimedia/archive/00011/norm_for_informasjon_11346a.pdf

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Sikkerhetsmål og -strategi

Sikkerhetsmål og -strategi Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av

Detaljer

Når EPJ implementeres og tas i bruk for alt helsepersonell ved et sykehus hvordan ivaretas informasjonssikkerheten?

Når EPJ implementeres og tas i bruk for alt helsepersonell ved et sykehus hvordan ivaretas informasjonssikkerheten? Når EPJ implementeres og tas i bruk for alt helsepersonell ved et sykehus hvordan ivaretas informasjonssikkerheten? Else Sandvand Agder University College, Kristiansand S, Norway Svein A. Berntsen Spesialsykehuset

Detaljer

ProMed. Brukermanual for installasjon av. Elektronisk meldingshåndtering / EDI inklusiv DIPS Communicator. for. for Windows

ProMed. Brukermanual for installasjon av. Elektronisk meldingshåndtering / EDI inklusiv DIPS Communicator. for. for Windows Side 1 av 21 Brukermanual for installasjon av Elektronisk meldingshåndtering / EDI inklusiv DIPS Communicator for ProMed for Windows Kundeoppfølging og Administrasjon Versjon 2.4 08.11.2014 Litt om Elektronisk

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

IKT-reglement for NMBU

IKT-reglement for NMBU IKT-reglement for NMBU Vedtatt av Fellesstyret for NVH og UMB 23.05.2013 IKT-reglement for NMBU 1 Innhold 1 Virkeområde for NMBUs IKT-reglement... 3 1.1 Virkeområde... 3 1.2 Informasjon og krav til kunnskap

Detaljer

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Handbok i informasjonstryggleik Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Kva med MR fylke? Ingen har noko å tjene på datainnbrot hos oss. Hærverk, sabotasje Vi har aldri hatt

Detaljer

Instruks for bruk av ITsystemer, Internett og e-post i Hedmark fylkeskommune (IT-instruks for HFK)

Instruks for bruk av ITsystemer, Internett og e-post i Hedmark fylkeskommune (IT-instruks for HFK) Instruks for bruk av ITsystemer, Internett og e-post i Hedmark fylkeskommune (IT-instruks for HFK) Side 1 av 7 Forord Hedmark fylkeskommune plikter etter personopplysningsloven 14 å ha et tilfredsstillende

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

MedAxess WinMed Brukermanual

MedAxess WinMed Brukermanual MedAxess WinMed Brukermanual Side 1 av 14 1 Innhold 1 INNHOLD... 2 2 VELKOMMEN... 3 2.1 KRAV... 3 2.1.1 Programvare... 3 2.1.2 Helsenett... 3 3 KOMME I GANG MED MEDAXESS... 3 3.1 HVA BESTÅR MEDAXESS AV?...

Detaljer

Huldt & Lillevik Lønn 5.0. Oppdatere til ny versjon

Huldt & Lillevik Lønn 5.0. Oppdatere til ny versjon Huldt & Lillevik Lønn 5.0 Oppdatere til ny versjon Oppdatere Lønn 5.0 Denne veiledningen omhandler oppdatering av Huldt & Lillevik Lønn 5.0 versjon 5.10.2 eller nyere. Forberede oppdateringen Forutsetninger

Detaljer

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR Vedtatt av styret for Høgskolen i Finnmark 25. april 2007 i sak S 19/07 1. ANVENDELSE Dette reglement gjelder for all bruk av Høgskolen i Finnmarks (HiF) IT-system.

Detaljer

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret INTERNKONTROLLINSTRUKS 1 Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret Gjeldende fra 1.1.2003 1 Innledning Datasikkerhet er svært viktig for et forskningsinstitutt, av to

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

IT-reglement Aurskog-Høland kommune for ansatte og politikere

IT-reglement Aurskog-Høland kommune for ansatte og politikere IT-reglement Aurskog-Høland kommune for ansatte og politikere Vedtatt i rådmannens ledermøte 03.12.14 0 For at kommunens IT-systemer skal fungere optimalt er det viktig at alle kommunens ITbrukere følger

Detaljer

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum. Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.no OH 1 Agenda Hva er personopplysninger Personvern vs informasjonssikkerhet

Detaljer

Avtale om webløsning Sparebanken Møre Aktiv Forvaltning

Avtale om webløsning Sparebanken Møre Aktiv Forvaltning Avtale om webløsning Sparebanken Møre Aktiv Forvaltning Aktiv Forvaltning skal periodisk sende oppdragsgiver oversikt over porteføljens beholdning, oversikt over de transaksjoner som er foretatt og en

Detaljer

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale tale Digitalt I henhold til personopplysningslovens depot 13, jf. 15 personopplysningsforskriftens kapittel 2. mellom Risa; ) cm1iwcwl 09 IKA Trøndelag IKS 1 Avtalens hensikt Avtalens hensikt er å regulere

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

IKT- reglement for elever ved Toppidrettsgymnaset i Telemark

IKT- reglement for elever ved Toppidrettsgymnaset i Telemark IKT- reglement for elever ved Toppidrettsgymnaset i Telemark IKT- reglementet skal fremme god samhandling, god orden, gode arbeidsvaner og bidra til et stabilt og sikkert driftsmiljø slik at det legges

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig

Detaljer

Teknisk tilrettelegging Digital dialog fastlege

Teknisk tilrettelegging Digital dialog fastlege Teknisk tilrettelegging Digital dialog fastlege Innhold Teknisk tilrettelegging for digital dialog fastlege... 3 1 EPJ versjon... 4 2 Krav til IT infrastruktur... 4 3 Åpne for nødvendig kommunikasjon (brannmur)...

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Legetimen.no Bruksanvisning Versjon 1.02 25. februar 2015

Legetimen.no Bruksanvisning Versjon 1.02 25. februar 2015 Legetimen.no Bruksanvisning Versjon 1.02 25. februar 2015 Forord Velkommen til SMSGurus tjeneste for SMS-timebestilling Legetimen.no! Vi har den glede å presentere et system som gir deg følgende: - enklere

Detaljer

Elektroniske dokumenter Til rett person og riktig sted!

Elektroniske dokumenter Til rett person og riktig sted! Elektroniske dokumenter Til rett person og riktig sted! Prosjekt elektronisk samhandling 1 Presentasjon Mål må man ha! Status januar 2007 Test legekontor Hva må til for å lykkes? Tiltak for å nå målet

Detaljer

KONKURRANSEGRUNNLAG. Bilag 4 Prosedyre A63-V01 Krav til ekstern driftsleverandør

KONKURRANSEGRUNNLAG. Bilag 4 Prosedyre A63-V01 Krav til ekstern driftsleverandør KONKURRANSEGRUNNLAG Bilag 4 Prosedyre A63-V01 Krav til ekstern driftsleverandør for kjøp av tjenester knyttet til drift av IT-løsninger som maskinvare, infrastruktur og programvare (herunder brukerstøtte)

Detaljer

Haraldsplass. Svar på varsel om vedtak - Uautorisert uthenting av helseopplysninger gjennom leverandørenes fjerntilgang.

Haraldsplass. Svar på varsel om vedtak - Uautorisert uthenting av helseopplysninger gjennom leverandørenes fjerntilgang. Haraldsplass DIAKONALE SYKEHUS Bergen Diakon isse k j em Datatilsynet Postboks 8177 Dep 0034 Oslo Deres ref: 12/00302-1 /HVE Vår ref: Bergen, 13.04.2012 Svar på varsel om vedtak - Uautorisert uthenting

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

Tekniske krav til portal med publiseringsløsning (fase 1)

Tekniske krav til portal med publiseringsløsning (fase 1) Avdeling for strategi og helsefag UTVIKLING AV IT-LØSNING: FJERNBASERT BEHANDLING FOR SPILLEAVHENGIGE SAK NR 200700210 VEDLEGG A2 TIL KONKURRANSEGRUNNLAG TEKNISKE OG SIKKERHETSMESSIGE KRAV Innledning og

Detaljer

Brukermanual for drift og installasjon av Pasienttransport, elektronisk rekvisisjon for. ProMed. for Windows. Kundeoppfølging og Administrasjon

Brukermanual for drift og installasjon av Pasienttransport, elektronisk rekvisisjon for. ProMed. for Windows. Kundeoppfølging og Administrasjon Side 1 av 9 Brukermanual for drift og installasjon av Pasienttransport, elektronisk rekvisisjon for ProMed for Windows Kundeoppfølging og Administrasjon Versjon 1.5 01.02.2013 Innhold A. Hvordan bruke

Detaljer

Eksempel på datadisiplininstruks

Eksempel på datadisiplininstruks Eksempel på datadisiplininstruks Denne datadisiplininstruksen gjelder bruk av [bedriftens navn]s datautstyr, nettverk og datasystemer, inkludert fjernpålogging og mobiltelefoner. 1. Hovedprinsipp Den ansatte

Detaljer

ekommune 2017 Prosessplan for god praksis om personvern

ekommune 2017 Prosessplan for god praksis om personvern ekommune 2017 Prosessplan for god praksis om personvern Utfordringen Ble tidligere i år klar over at ny EUforordning ville medføre nye krav fra mai 2018 => erkjennelse: Overhalla kommune har et grunnleggende

Detaljer

Hvordan få tilgang til journalopplysning fra andre virksomheter

Hvordan få tilgang til journalopplysning fra andre virksomheter Hvordan få tilgang til journalopplysning fra andre virksomheter Avdelingssjef, KITH Tema Løsninger for utlevering og tilgang til helseopplysninger Utlevering ved hjelp av web-publisering Samhandlingsarkitektur

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Saksbehandler: Rigmor J. Leknes Tlf: 75 10 10 12 Arkiv: 033 Arkivsaksnr.: 11/2292-25

Saksbehandler: Rigmor J. Leknes Tlf: 75 10 10 12 Arkiv: 033 Arkivsaksnr.: 11/2292-25 VEFSN KOMMUNE Saksbehandler: Rigmor J. Leknes Tlf: 75 10 10 12 Arkiv: 033 Arkivsaksnr.: 11/2292-25 NETTVETT Nettvettregler for e-post Slett mistenkelig e-post Ikke svar på eller følg oppfordringer i spam

Detaljer

Beskrivelse av informasjonssystemet

Beskrivelse av informasjonssystemet Beskrivelse av informasjonssystemet Side 1 av 5 Beskrivelse av informasjonssystemet NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

Installasjonsveiledning Visma Avendo, versjon 5.2

Installasjonsveiledning Visma Avendo, versjon 5.2 Installasjonsveiledning Visma Avendo, versjon 5.2 April 2011 Innhold Innledning... 1 Administrator... 1 Sikkerhetskopi... 1 Testfirmaet... 1 Før du starter installasjonen/oppgraderingen... 2 Nedlasting...

Detaljer

Installasjonsveiledning

Installasjonsveiledning Installasjonsveiledning Visma Avendo, versjon 5.2 April 2011 Innhold Innledning... 1 Administrator... 1 Sikkerhetskopi... 1 Testfirmaet... 1 Før du starter installasjonen/oppgraderingen... 2 Installasjon/oppgradering...

Detaljer