Internkontroll ved behandling av helseopplysninger i Sykehusapotek Nord HF. Internrevisjonsrapport nr.: 02/2010

Størrelse: px
Begynne med side:

Download "Internkontroll ved behandling av helseopplysninger i Sykehusapotek Nord HF. Internrevisjonsrapport nr.: 02/2010"

Transkript

1 Internkontroll ved behandling av helseopplysninger i Sykehusapotek Nord HF Internrevisjonsrapport nr.: 02/2010 Dato:

2 INNHOLDSFORTEGNELSE 1 SAMMENDRAG INNLEDNING Definisjoner FORMÅL OG OMFANG Formål med revisjonen Regelverk Omfang og avgrensninger METODER OBSERVASJONER OG VURDERINGER Generelt om internkontroll ved behandling av helseopplysninger Risikovurderinger Tilgangsstyring for elektronisk behandling av helseopplysninger Ivaretakelse av informasjonssikkerhet hos databehandlere og leverandører KONKLUSJON OG ANBEFALINGER Konklusjon i forhold til revisjonens formål Anbefalinger VEDLEGG / 14

3 1 SAMMENDRAG Rapporten er utarbeidet etter internrevisjon ved Sykehusapotek Nord HF i perioden Formålet med revisjonen: Formålet med revisjonen var å kartlegge om Sykehusapotek Nord HF har etablert og vedlikeholdt et opplegg for internkontroll som sikrer at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger. Konklusjon: Basert på de undersøkelser som er foretatt ved Sykehusapotek Nord HF konkluderer Internrevisjonen med at behandlingen av helseopplysninger innenfor enkelte områder ikke er i samsvar med gjeldende regelverk. Sykehusapotek Nord HF sitt opplegg for internkontroll har klare mangler som bør rettes opp for å sikre at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger. Observerte forbedringsområder: De vesentligste svakhetene i Sykehusapotek Nords opplegg for internkontroll er etter Internrevisjonens observasjoner og vurderinger: Det er ikke fastsatt sikkerhetsmål i Sykehusapotek Nord HF, og heller ikke sikkerhetsstrategi. Sykehusapotek Nord HF har ikke en samlet oversikt over alle behandlinger av helseopplysninger i foretaket og formålet/hjemmelen for behandlingen. Meldeplikten til Datatilsynet er ikke ivaretatt for alle behandlingsrettede registre. Enkelte avdelinger melder sjelden avvik som kan benyttes i internt forbedringsarbeid. Sykehusapotek Nord HF har ikke gjennomført sikkerhetsrevisjoner, og heller ikke ledelsens gjennomgang knyttet til personvern/ informasjonssikkerhet. Nivå for akseptabel risiko forbundet med behandling av personopplysninger er ikke fastsatt. Autorisert bruk av FarmaPro logges ikke. Eventuell urettmessig tilegnelse av helseopplysninger kan vanskelig avdekkes. Det er en risiko for at ikke alle sikkerhetsutfordringer i forhold til regelverk og Helse Nords sikkerhetsstrategi blir løst i FarmaPro, versjon 5. Det er ikke gjennomført risikovurderinger knyttet til foretakets bruk av DIPS. Farmasøyters tilgang til og behandling av helseopplysninger i DIPS er ikke regulert via databehandleravtale med aktuelle helseforetak. Sykehusapotek Nord HF har ikke inngått databehandleravtaler med databehandlere og leverandører og iverksatt tiltak for å forsikre seg om at deres sikkerhetsstrategi gir tilfredsstillende informasjonssikkerhet. Anbefalinger: Internrevisjonen anbefaler Sykehusapotek Nord HF å iverksette fem forbedringstiltak knyttet til svakhetene som er nevnt ovenfor. 3 / 14

4 2 INNLEDNING Rapporten er utarbeidet etter internrevisjon ved Sykehusapotek Nord HF i perioden , gjennomført av Internrevisjonen i Helse Nord RHF. Revisjonsprosjektet inngår som en del av vedtatt revisjonsplan for 2009/2010. Tilsvarende revisjon gjennomføres ved alle HF-ene i Helse Nord, samt ved Helse Nord IKT (HNIKT) som databehandler for helseforetakene. HF-ene vil motta kopi av rapporten for HNIKT når denne foreligger. Internrevisjonen har omfattet følgende aktiviteter: Melding om internrevisjon ble sendt ut Oppstartsmøte ble avholdt Intervju av 7 personer ved Sykehusapotek Nord HF i løpet av dagene Se vedlegg 1, Deltakeroversikt. Dokumentgjennomgang. Oversikt over dokumenter som er innhentet i forbindelse med revisjonen er gitt i vedlegg 2, Dokumentoversikt. Verifikasjoner/tester. Se nærmere beskrivelse i kapittel 4, Metoder. Oppsummeringsmøte ble avholdt Definisjoner Følgende definisjoner fra regelverket (se pkt. 3.2) er sentrale i denne revisjonen: helseopplysninger: taushetsbelagte opplysninger i henhold til helsepersonelloven 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson, behandling av helseopplysninger: enhver formålsbestemt bruk av helseopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, behandlingsrettet helseregister: journal- og informasjonssystem eller annet helseregister som har til formål å gi grunnlag for handlinger som har forebyggende, diagnostisk, behandlende, helsebevarende eller rehabiliterende mål i forhold til den enkelte pasient og som utføres av helsepersonell, samt administrasjon av slike handlinger, pasientjournal/journal: samling eller sammenstilling av nedtegnede/registrerte opplysninger om en pasient i forbindelse med helsehjelp, jf. helsepersonelloven 40 første ledd, behandlingsansvarlig/databehandlingsansvarlig: den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes, hvis ikke (data)behandlingsansvaret er særskilt angitt i loven eller i forskrift i medhold av loven, databehandler: den som behandler helseopplysninger på vegne av den (data)behandlingsansvarlige. 4 / 14

5 3 FORMÅL OG OMFANG 3.1 Formål med revisjonen Formålet med revisjonen var å kartlegge om Sykehusapotek Nord HF har etablert og vedlikeholdt et opplegg for internkontroll som sikrer at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger. 3.2 Regelverk Virksomheten er vurdert opp mot følgende regelverk (revisjonskriterier): Lov om helseregistre og behandling av helseopplysninger (helseregisterloven) Lov om behandling av personopplysninger (personopplysningsloven) Forskrift om behandling av personopplysninger (personopplysningsforskriften) Lov om helsepersonell (helsepersonelloven) Lov om pasientrettigheter (pasientrettighetsloven) Forskrift om apotek Forskrift om Reseptregisteret for informasjonssikkerhet i helsesektoren (en) Interne bestemmelser Både helseregisterlovens 17 og personopplysningslovens 14 stiller krav om at den behandlingsansvarlige skal etablere og holde ved like planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av disse lovene. Personopplysningsforskriftens kapittel 2 (Informasjonssikkerhet) og kapittel 3 (Internkontroll) gir nærmere føringer for hvilke tiltak dette skal omfatte. for informasjonssikkerhet i helsesektoren (en) er et omforent sett av krav til informasjonssikkerhet, basert på lovverket. en omfatter alle krav som må tilfredstilles for å oppfylle lov- og forskriftskrav til informasjonssikkerhet i helsesektoren. en kan også stille strengere krav enn det som følger av lovverket. Alle aktører i helsesektoren som er tilknyttet Norsk Helsenett 1 er avtalerettslig forpliktet til å følge en. Kravene om internkontroll skal bidra til å sikre at lovverkets samlede krav blir oppfylt. Velfungerende internkontroll på dette området reduserer risikoen for negativ omtale/tap av anseelse, økonomisk tap, tap av helse og tap av liv. 1 Elektronisk samhandlingsarena (nettverk) for helse- og omsorgssektoren. 5 / 14

6 3.3 Omfang og avgrensninger Prosjektet har omfattet helse- og personopplysninger som behandles helt eller delvis med elektroniske hjelpemidler i forbindelse med pasientbehandling, herunder også pasientadministrasjon og utlevering av legemidler. Det ble gjort undersøkelser av både innhold/omfang og etterlevelse av internkontrollsystemet ved Sykehusapotek Nord, Avdeling Tromsø. Gjennom undersøkelsene har revisjonen først og fremst hatt fokus på: Risikovurderinger Tilgangsstyring Ivaretakelse av informasjonssikkerhet hos databehandlere og leverandører Utvalgte kliniske applikasjoner: FarmaPro og DIPS. Internrevisjonen har i dette prosjektet ikke sett på behandling av helse- og personopplysninger til andre formål enn pasientbehandling, for eksempel i forbindelse med personalregistre og i forskning. Internkontroll i forhold til ivaretakelse av helseopplysninger som behandles kun ved manuelle rutiner er heller ikke omfattet av denne revisjonen. 4 METODER Til sammen 7 ledere og ansatte ved Sykehusapotek Nord HF er intervjuet. Se vedlegg 1, Deltakeroversikt. Tilsendt/framlagt dokumentasjon er gjennomgått. Se vedlegg 2, Dokumentoversikt. Følgende verifikasjon/test er utført: Test 1: Registrerte meldinger i Datatilsynets meldingsdatabase. Det ble undersøkt hvilke meldinger om behandling av helse- og personopplysninger ved Sykehusapotek Nord HF som er registrert i meldingsdatabasen hos Datatilsynet. Test 2: Tilganger i FarmaPro. Registrerte tilganger i FarmaPro ble sammenlignet med oversikt over personer i aktivt ansettelsesforhold ved Sykehusapotek Nord, Avdeling Tromsø. 5 OBSERVASJONER OG VURDERINGER Myndighetene stiller en rekke konkrete krav til hvilke tiltak internkontrollsystemet for behandling av helse- og personopplysninger skal omfatte. Se pkt I dette kapittelet redegjøres det først for Internrevisjonens observasjoner og vurderinger knyttet til sentrale elementer i det generelle internkontrollsystemet ved behandling av helseopplysninger (pkt. 5.1). I de etterfølgende punktene omtales elementer av internkontrollen som Internrevisjonen har hatt særlig fokus på ved denne revisjonen. Vedlegg 3 inneholder en oversikt over de utvalgte krav og elementer, samt Internrevisjonens vurdering av om disse er oppfylt. 6 / 14

7 5.1 Generelt om internkontroll ved behandling av helseopplysninger Sikkerhetsmål, sikkerhetsstrategi og ansvarsfordeling Personopplysningsforskriftens kapittel 2 stiller krav om at det skal fastsettes sikkerhetsmål for virksomheten og en sikkerhetsstrategi for å nå disse målene. Videre kreves det at ansvaret for informasjonssikkerhet skal være definert på alle nivå, dokumentert og kjent i organisasjonen. Sykehusapotek Nord har per i dag ikke fastsatt egne sikkerhetsmål, og heller ikke sikkerhetsstrategi for å nå målene. Helse Nord har definerte sikkerhetsmål, men disse inngår ikke i oversikten over generelle instrukser og reglement som gjennomgås med nyansatte i Sykehusapotek Nord. Sykehusapotek Nord har utarbeidet stillingsbeskrivelser for de fleste stillingskategorier. Av disse framgår det at økonomisjef er tillagt et overordnet systemansvar for IKT i foretaket. Apotekeren har det overordnede ansvaret for avdelingens bruk av IT-systemet, herunder etterlevelse av aktuelle retningslinjer. Apotekeren skal videre bemyndige en person som tillegges det daglige ansvar for driften av apotekets IT-system (systemansvarlig). Økonomisjef ivaretar slikt systemansvar for Avdeling Tromsø. Internkontroll i forhold til personvern/informasjonssikkerhet innebærer imidlertid også plikter som ikke er direkte knyttet til IT-drift. Ansvar for slike plikter er i dag mangelfullt definert i Sykehusapotek Nord. Felles Styringssystem for Informasjonssikkerhet i Helse Nord, med blant annet sikkerhetspolicy, sikkerhetsmål og sikkerhetsstrategi, er under utarbeidelse. En generell beskrivelse av fordeling av ansvar og oppgaver inngår også her. Når styringssystemet er godkjent er dette ment å erstatte deler av de foretaksspesifikke styringssystemer som finnes i dag. Det enkelte helseforetak må likevel definere og dokumentere egen sikkerhetsledelse og eventuelle tilpasninger i ansvars- og oppgavefordeling i forhold til egen organisasjon Meldeplikt / oversikt over behandlinger av helseopplysninger I henhold til Personopplysningslovens kapittel VI, og Personopplysningsforskriftens 7-26 har Sykehusapotek Nord HF meldeplikt til Datatilsynet om behandling av helseopplysninger. En samlet og oppdatert oversikt over alle behandlinger av helseopplysninger i foretaket, og formålet/hjemmelen for behandlingen, er viktig som grunnlag for ivaretakelse av meldeplikten. En slik oversikt vil også gi bidrag til den generelle internkontrollen. Sykehusapotek Nord har ikke en samlet oversikt over behandlinger av helseopplysninger. Gjennom intervju framkom at det i tillegg til behandling av helseopplysninger i apotekets IT-systemer, er etablert flere manuelle, behandlingsrettede registre, blant annet for oppfølging av stomipasienter, pasienter med brystproteser og for pasienter ved UNN der kliniske farmasøyter deltar i oppfølgingen av medikamentell behandling. Test 1 viste at den eneste behandlingen som er meldt til Datatilsynet gjelder pasientjournal i forbindelse med farmasøytisk rekvirering av antiviralia Avviksbehandling Personopplysningsforskriftens 2-6 stiller krav om intern avviksbehandling, samt at avvik som har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal varsles til Datatilsynet. 7 / 14

8 I forkant av denne revisjonen har Internrevisjonen vært i kontakt med Datatilsynet for å undersøke hvordan helsevesenet generelt praktiserer denne rapporteringsplikten. Datatilsynet opplyste i e-post : Erfaringene fra dette er at vi får noen meldinger uoppfordret fra virksomheter og noen meldinger etter oppfordring fra oss eller helsetilsynet i saker som kommer frem i det offentlige lys. Antallet meldinger er ikke høyt, så enten er det underrapportering, lite kjennskap til 2-6 i virksomhetene eller ingen rutine i virksomhetene på dette området. Noen virksomheter er veldig flinke, men andre hører vi aldri noe fra. Det kan tenkes at de ikke har avvik, men vanligvis finnes ikke den virksomheten som ikke har avvik. I samråd med Stein Erik Vetland i Tilsyn- og sikkerhetsavdelingen hos Datatilsynet, nevnes følgende eksempler på kjente hendelser i helsetjenesten som ønskes rapportert til Datatilsynet: Publisering av sensitive personopplysninger på internett. Papirer med sensitive personopplysninger funnet i søppeldunk (også internt på sykehuset). Sensitive opplysninger funnet i tøy på vaskeriet. Mistet ark på kjøpesenter med sensitive personopplysninger. Sensitive personopplysninger levert til feil mottaker (elektronisk eller på papir). Helse Nord RHF har tidligere besluttet at Docmap skal benyttes som verktøy for registrering og behandling av avvik i Helse Nord. Sykehusapoteket har utarbeidet manuelle registreringsskjema som fylles ut av melder. Intensjonen her er videre at avdelingsleder skal registrere meldingene i Docmap. Foreløpig har kun en avdelingsleder kommet i gang med slik registrering. Gjennom intervju kom det fram at enkelte avdelinger sjelden registrerer avvik. Det er ikke meldt noen avvik knyttet til personvern/informasjonssikkerhet Sikkerhetsrevisjoner og ledelsens gjennomgang Personopplysningsforskriftens 2-5 pålegger den behandlingsansvarlige å utføre jevnlige sikkerhetsrevisjoner. I en slås det fast at slike revisjoner som minimum skal gjennomføres årlig, og det stilles en rekke krav til hvilke vurderinger revisjonene skal omfatte. en krever også at ledelsen minimum årlig gjennomgår status for å sikre at informasjonssikkerheten ivaretas i samsvar med mål og strategi. Sykehusapotek Nord HF har ikke gjennomført sikkerhetsrevisjoner eller ledelsens gjennomgang knyttet til personvern/ informasjonssikkerhet Apotekets plikt til å informere om innsending til Reseptregisteret Forskrift om innsamling og behandling av helseopplysninger i Reseptbasert legemiddelregister (Reseptregisteret), 2-1, sier: Apoteket skal informere den registrerte om innsending av opplysninger til Reseptregisteret. I merknadene til forskriften heter det videre: Den databehandlingsansvarlige for Reseptregisteret utarbeider egnet skriftlig informasjonsmateriell som apotekene kan disponere til dette formål. Nasjonalt Folkehelseinstitutt er databehandlingsansvarlig for dette registret. Ved Publikumsavdelingen i Tromsø blir det ikke gitt slik informasjon. De intervjuede kjente ikke til om det finnes tilgjengelig informasjonsmateriell. 8 / 14

9 Observerte forbedringsområder Generelt om internkontroll Det er ikke fastsatt sikkerhetsmål i Sykehusapotek Nord HF, og heller ikke sikkerhetsstrategi. Sykehusapotek Nord HF har ikke en samlet oversikt over alle behandlinger av helseopplysninger i foretaket og formålet/hjemmelen for behandlingen. Meldeplikten til Datatilsynet er ikke ivaretatt for alle behandlingsrettede registre. Enkelte avdelinger melder sjelden avvik som kan benyttes i internt forbedringsarbeid. Sykehusapotek Nord HF har ikke gjennomført sikkerhetsrevisjoner, og heller ikke ledelsens gjennomgang knyttet til personvern/ informasjonssikkerhet. 5.2 Risikovurderinger Personopplysningsforskriftens 2-4 pålegger virksomheten å fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Resultatet av risikovurderingen skal sammenlignes med fastlagte kriterier for akseptabel risiko og benyttes som del av grunnlaget for valg av konkrete sikkerhetstiltak. Ny risikovurdering skal gjennomføres ved endringer som kan påvirke informasjonsbehandlingen, som innføring av nye informasjonsbehandlingssystemer, organisatoriske endringer eller endringer i teknisk utstyr og/eller programvare. Sykehusapotek Nord HF har ikke fastlagt kriterier for akseptabel risiko. Imidlertid forventes dette å inngå i felles Styringssystem for Informasjonssikkerhet i Helse Nord. Foretaket har gjennomført én risikovurdering i forhold til behandling av personopplysninger. Dette var høsten 2008, og gjaldt FarmaPro i Tromsø, sykehusapotekets forretningssystem (se nærmere beskrivelse i pkt ). Vurderingen er fulgt opp med forbedringstiltak på enkelte områder. Det finnes separate installasjoner av FarmaPro også i Bodø og Harstad. Sykehusapoteket opplyser at FarmaPro-installasjonene i foretaket er temmelig like, og at vurderingene som ble gjort i Tromsø derfor er gyldige også for de andre installasjonene. Forbedringstiltakene som ble iverksatt som følge av risikovurderingen er gjennomført også i Bodø og Harstad. Det er ikke utført risikovurdering knyttet til foretakets bruk av DIPS, se pkt Sykehusapoteket er i denne anledning databehandler for Universitetssykehuset HF, men har et selvstendig ansvar for sikkerheten ved behandling av helseopplysninger, herunder gjennomføring av risikovurderinger. I forbindelse med utvikling av ny versjon av FarmaPro, versjon 5, utførte INFOSEC våren 2008 en sikkerhetsgjennomgang på oppdrag fra NAF-Data AS. Hensikten med gjennomgangen var å undersøke om den tekniske løsningen tilfredsstiller krav i lovverk og en. NAF-Data AS har laget en kortversjon av rapporten fra denne gjennomgangen, datert Her har også leverandøren presentert de tiltak som er utført eller planlagt som følge av påpekte svakheter. Rapporten viser at den versjonen som forventes implementert i Sykehusapotek Nord HF i løpet av 2010/2011 fortsatt kan ha uløste sikkerhetsutfordringer i forhold til regelverk og Helse Nords sikkerhetsstrategi. Sykehusapoteket opplyser at de har informert leverandøren om at de forventer at regelverkets krav innfris, samt at de har mottatt bekreftelser fra leverandøren på dette. De påpeker videre at FarmaPro er det eneste tilgjengelige forretningssystemet for apotek i Norge. 9 / 14

10 Informasjonssikkerhetsforum i Helse Nord har, ifølge de møteprotokoller Internrevisjonen har mottatt, ikke blitt orientert om, eller behandlet, spørsmål knyttet til sikkerhet i FarmaPro. Internrevisjonen mener en gjennomgang her, gjerne med deltakelse fra leverandør, vil være hensiktsmessig som del av oppfølging av at sikkerhetsutfordringer blir løst. Observerte forbedringsområder Risikovurderinger Nivå for akseptabel risiko forbundet med behandling av personopplysninger er ikke fastsatt. Det er en risiko for at ikke alle sikkerhetsutfordringer i forhold til regelverk og Helse Nords sikkerhetsstrategi blir løst i FarmaPro, versjon 5. Det er ikke gjennomført risikovurderinger knyttet til foretakets bruk av DIPS. 5.3 Tilgangsstyring for elektronisk behandling av helseopplysninger Hovedregelen når det gjelder helseopplysninger er taushetsplikt. Dette er nedfelt i blant annet helseregisterlovens 15 og helsepersonellovens 21. Videre framgår det av helseregisterlovens 13 a at Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger som behandles etter denne loven uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift. Helseforetakets styring av tilganger til helseopplysninger skal bidra til å sikre at: Tilgang bare gis i den grad det er nødvendig for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt. Jf. helseregisterloven 13. Helsepersonell som yter helsehjelp, med mindre pasienten motsetter seg det, gis tilgang til alle helseopplysninger som er nødvendig for å gi forsvarlig helsehjelp. Jf. lov om helsepersonell 45. Samarbeidende personell, med mindre pasienten motsetter seg det, gis tilgang til taushetsbelagte opplysninger når dette er nødvendig for å kunne gi nødvendig helsehjelp. Jf. lov om helsepers. 25. Bare den databehandlingsansvarlige, databehandlere og den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet, gis tilgang. Jf. helseregisterloven 13. Ved ansettelse i Sykehusapotek Nord HF signerer medarbeidere taushetserklæring. Den enkelte leder gir autorisasjon for behandling av helseopplysninger ved å bestille tilganger til informasjonssystemet og aktuelle applikasjoner. Internrevisjonen har i dette revisjonsprosjektet sett nærmere på tilgangsstyring for behandling av helseopplysninger ved hjelp av applikasjonene FarmaPro og DIPS. 10 / 14

11 5.3.1 FarmaPro FarmaPro, levert av NAF-Data AS, er sykehusapotekets forretningssystem og benyttes til alle deler av driften. Systemet inneholder modulene: Reseptur, Ordre/faktura, Kasse, Forsendelse, Lager og Reskontro. I FarmaPro lagres følgende informasjon om pasienter som får utlevert reseptpliktige medikamenter, eller som ønsker å betale med faktura: Navn og personnummer Utlevert medikament Refusjonskode (ICD-10 eller ICPC-2) Bestilling av tilganger til FarmaPro gjøres muntlig eller via e-post til systemansvarlig. Avdelingsledere og apotekere har også tilgang til brukeradministrasjon i FarmaPro og kan melde inn og ut brukere. Alle som bruker FarmaPro har eget brukernavn og passord. Ingen felles brukerkontoer er avdekket. Internrevisjonen har ikke vurdert passordsikkerhet i applikasjonen. Tilgangsstyringen i applikasjonen er basert på brukergrupper med gitte rettigheter og den ansattes stilling. Imidlertid har alle brukere av FarmaPro lik tilgang til alle registrerte helseopplysninger. Systemet inneholder ingen funksjonalitet for å begrense dette. Autorisert bruk av FarmaPro loggføres ikke. Det er altså ikke mulig å spore hvem som har registrert eller lest hvilke opplysninger. Eventuell urettmessig tilegnelse av helseopplysninger er derfor vanskelig å avdekke. Avdelingsleder er ansvarlig for å trekke tilbake autorisasjoner når medarbeidere slutter eller går ut i permisjon/sykemelding lengre enn fem uker. Gjennom intervju kom det fram at tilbaketrekking av tilganger ikke alltid skjer løpende. Ved Avdeling Tromsø har det blitt kontrollert minimum årlig at tilganger i FarmaPro samsvarer med aktive ansatte. Gjennomgangene er dokumentert. Internrevisjonen har testet tilbaketrekking av tilganger i FarmaPro, Avdeling Tromsø (test 2). Testen viste at alle (44) med tilgang til FarmaPro hadde et aktivt tilsettingsforhold/engasjement ved avdelingen DIPS DIPS er en klinisk applikasjon som benyttes som pasientadministrativt system (PAS) og elektronisk pasientjournal (EPJ) innenfor somatisk og voksenpsykiatrisk behandling i Helse Nord. Ved Sykehusapotek Nord, Avdeling Tromsø er enkelte ansatte autorisert for tilgang til Universitetssykehuset Nord-Norge (UNN) sin DIPS-applikasjon. Dette gjelder kliniske farmasøyter som deltar i vurdering av den enkelte pasients medikamentelle behandling ved spesifikke enheter i UNN. Farmasøytene er autorisert for slik tilgang via aktuell leder for enheten i UNN i henhold til UNNs autorisasjons- og tilgangsregime. Sykehusapotek Nord HF opptrer i denne sammenheng som databehandler for UNN HF. Helseregisterlovens 18 sier: En databehandler kan ikke behandle helseopplysninger på annen måte enn det som er skriftlig avtalt med den databehandlingsansvarlige. 11 / 14

12 Ledelsen ved sykehusapoteket har opplyst at det ikke er inngått skriftlig databehandleravtale som regulerer dette forholdet. Gjennom intervju kom det fram at farmasøytene har etablert flere manuelle, behandlingsrettede registre knyttet til oppfølgingen av medikamentell behandling av pasienter ved UNN. Disse registrene er ikke meldt til Datatilsynet, jf. pkt (eventuelt etter avtale med UNN, til personvernombudet hos dem). Det er UNNs ansvar som databehandlingsansvarlig å sørge for at det inngås skriftlig avtale som klart regulerer ansvars- og myndighetsforhold knyttet til sykehusapotekets tilgang til UNNs DIPS-applikasjon. Se også pkt Internrevisjonen vil følge dette opp ved tilsvarende revisjon ved UNN i løpet av høsten Sykehusapotek Nord HF oppfordres likevel til selv å ta opp dette forholdet med UNN med sikte på etablere skriftlig avtale i henhold til myndighetskravene. Dersom sykehusapoteket har tilsvarende tilganger til helseopplysninger i andre HF gjelder oppfordringen om å bidra til å bringe dette formelt i orden også her. Observerte forbedringsområder Tilgangsstyring Autorisert bruk av FarmaPro logges ikke. Eventuell urettmessig tilegnelse av helseopplysninger kan vanskelig avdekkes. Farmasøyters tilgang til og behandling av helseopplysninger i DIPS er ikke regulert via databehandleravtale med aktuelle helseforetak. 5.4 Ivaretakelse av informasjonssikkerhet hos databehandlere og leverandører Den behandlingsansvarlige er ansvarlig for at helseopplysninger blir behandlet i henhold til gjeldende krav. Dette gjelder selv om databehandlere og leverandører som behandler helseopplysninger eller benytter informasjonssystemet på vegne av den behandlingsansvarlige har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet. Den behandlingsansvarlige skal etablere klare ansvars- og myndighetsforhold overfor databehandlere og leverandører. Dette skal være beskrevet i en særskilt avtale. Den behandlingsansvarlige skal videre forsikre seg om at databehandlere og leverandører sørger for tilfredsstillende informasjonssikkerhet. Jf. helseregisterlovens 16 og 18, samt personopplysningsforskriftens for informasjonssikkerhet i helsesektoren krever eksplisitt at behandlingsansvarlig i forbindelse med sikkerhetsrevisjoner skal gjøre en vurdering av ivaretakelse av informasjonssikkerhet hos kommunikasjonspartnere, databehandlere og leverandører. Det er per i dag ikke inngått databehandleravtale med leverandør av FarmaPro, NAF-Data AS. Leverandøren har imidlertid laget et forslag til slik avtale som planlegges undertegnet i forbindelse med implementering av ny versjon av FarmaPro (2010/2011). I avtaleutkastet reguleres ansvars- og myndighetsforhold mellom partene. 12 / 14

13 NAF-Data AS har anledning til fjerntilgang til servere og maskiner i apoteknettet etter godkjenning fra sykehusapoteket i hvert enkelt tilfelle. Det er opplyst at leverandørens aktiviteter i slike tilfeller har blitt overvåket fra apoteket. Ut over dette har sykehusapoteket ikke vurdert sikkerheten i løsningen. 9. juni 2010 mottok imidlertid systemansvarlig en melding fra NAF-Data AS der de opplyste: Den eksisterende løsningen for fjernstøtte til apotekene tilfredsstiller ikke kravene i en.. Vi har derfor vært nødt til å finne en ny løsning for denne viktige tjenesten. Fra og med mandag 14. juni vil derfor den eksisterende fjernstøtteløsningen der man benytter Vis IP-ikonet gå ut og erstattes av Fjernaksess NAF-Data. HNIKT opptrer som databehandler for Sykehusapotek Nord HF blant annet ved at de gir teknisk brukerstøtte ved foretakets lokasjoner utenfor Bodø og Tromsø. Heller ikke her foreligger det undertegnet databehandleravtale mellom partene. Sykehusapotek Nord opplyser imidlertid at det er planer om å etablere slik avtale når foretaket får egen plattform som del av plattformprosjektet i Helse Nord. Sykehusapotek Nord HF har ikke iverksatt tiltak som gir grunnlag for å vurdere hvorvidt sikkerhetsstrategien hos databehandlere og leverandører gir tilstrekkelig sikkerhet for helseopplysninger som behandles. Se også pkt Observerte forbedringsområder Databehandlere og leverandører Sykehusapotek Nord HF har ikke inngått databehandleravtaler med databehandlere og leverandører og iverksatt tiltak for å forsikre seg om at deres sikkerhetsstrategi gir tilfredsstillende informasjonssikkerhet. 13 / 14

14 6 KONKLUSJON OG ANBEFALINGER 6.1 Konklusjon i forhold til revisjonens formål Basert på de undersøkelser som er foretatt ved Sykehusapotek Nord HF konkluderer Internrevisjonen med at behandlingen av helseopplysninger innenfor enkelte områder ikke er i samsvar med gjeldende regelverk. Sykehusapotek Nord HF sitt opplegg for internkontroll har klare mangler som bør rettes opp for å sikre at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger. 6.2 Anbefalinger Internrevisjonen anbefaler Sykehusapotek Nord HF å iverksette følgende tiltak: 1. Etablere og implementere en helhetlig internkontroll for personvern/informasjonssikkerhet i foretaket basert på sikkerhetsmål, sikkerhetsstrategi og klare ansvars- og myndighetsforhold. Kontrolltiltak som avviksregistrering, sikkerhetsrevisjoner og ledelsens gjennomgang må inngå her. Styrende dokumenter kan gjerne være felles for helseregionen dersom dette er hensiktsmessig. 2. Utarbeide en samlet oversikt over alle behandlinger av helse- og personopplysninger i foretaket og formålet/hjemmelen for behandlingen, samt etablere rutiner som sikrer at oversikten er oppdatert og fullstendig til enhver tid. 3. Sørge for at meldeplikten til Datatilsynet etterleves for alle meldepliktige behandlinger av helse- og personopplysninger. 4. Bidra til at farmasøyters tilgang til, og behandling av, helseopplysninger i DIPS blir regulert via databehandleravtale med aktuelle helseforetak. 5. Etablere skriftlige databehandleravtaler med aktuelle databehandlere og leverandører, og forsikre seg om at deres sikkerhetsstrategi gir tilfredsstillende informasjonssikkerhet. 14 / 14

15 7 VEDLEGG Vedlegg 1 Deltakeroversikt Fra Sykehusapotek Nord HF: Navn Funksjon Avd./enhet Oppstartsmøte Intervju Oppsummeringsmøte Espen Mælen Hauge Direktør Sykehusapotek Nord HF X X X Helge K. Pettersen Økonomisjef Sykehusapotek Nord HF X X Sidsel Kristiansen Apoteker Avdeling Tromsø X X X Lindis Josefsen Farmasøyt Avd. Tromsø, Publikumsavdeling X X X Rita Sørensen Sykepleier Avd. Tromsø, Publikumsavdeling X X X Anne Lise Reiersen Farmasøyt Avd. Tromsø, Farmasifaglig rådgivning X X X Trude Giverhaug Farmasøyt Avd. Tromsø, Farmasifaglig rådgivning X Fra Internrevisjonen i Helse Nord RHF: Navn Funksjon Avd./enhet Oppstartsmøte Intervju Oppsummeringsmøte Hege Knoph Antonsen Internrevisor Helse Nord RHF X X X

16 Vedlegg 2 - Dokumentoversikt Dokumenter innsendt/levert av Sykehusapotek Nord HF i forkant av, eller i forbindelse med, intervju. Styrende dokumenter (retningslinjer, prosedyrer etc.): RL0200 Informasjonssikkerhet - Sikkerhetsmål for Helse Nord RL0748 IT-reglement for Sykehusapotek Nord RL0259 Reglement for bruk av IKT-systemer UNN PR17115 Oppretting og vedlikehold av brukere i FarmaPro FB0577 Instruks for systemansvarlig for FarmaPro RL0872 Opplæring av nyansatte ved Sykehusapotek Nord PR20897 Varsling av kritikkverdige forhold Erklæring om taushets- og diskresjonsplikt FB0575 Stillingsinstruks direktør FB0134 Stillingsinstruks økonomisjef FB0114 Stillingsinstruks apoteker FB0117 Stillingsinstruks avdelingsleder FB0127 Stillingsinstruks spesialsykepleier publikum FB0124 Stillingsinstruks klinisk farmasøyt Tjenesteark Fjernaksess. NAF-Data AS. Utkast til nytt styringssystem for informasjonssikkerhet i Helse Nord, versjon 0.99 Oversikter/planer: Organisasjonskart Sykehusapotek Nord HF Oversikt over alle ansatte ved Sykehusapotek Nord HF, Avdeling Tromsø. Resultatdokumentasjon: ROS-analyse av FarmaPro versjon 4,Tromsø, datert Annet: Melding fra NAF-Data AS, datert : Ny løsning for fjernstøtte til apotek. Utkast til databehandleravtale mellom Sykehusapotek Nord HF og NAF-Data AS. Sikkerhetsgjennomgang av FarmaPro 5, datert , NAF-Data AS. (Kortversjon av rapport fra INFOSEC, april 2008.)

17 [Skriv inn tekst] Helse Nord IKT Vedlegg 3 Oversikt over krav ifm internrevisjonen: Internkontroll ved behandling av helseopplysninger Oversikten inneholder utvalgte krav sett i forhold til revisjonens formål og fokusområder utledet fra: Helseregisterloven (HR) Helsepersonelloven (HP) Personopplysningsforskriften (POL) Journalforskriften (JF) for informasjonssikkerhet i helsesektoren () Nr Krav Regelverk Hjemmel for/meldeplikt om behandlingsrettet helseregister 1. Er det sendt pålagte meldinger til Datatilsynet om behandlingsrettet helseregister? Evt. til Personvernombud dersom virksomheten har dette. 2. Er meldingen(e) til Datatilsynet fornyet siste 3 år? IR for virksomheter som har Personvernombud 3. Er det bare etablert behandlingsrettet helseregister med hjemmel i Helseregisterloven 6 (ikke 6a og 6b) Grunnlag for internkontroll ved behandling av helseopplysninger 4. Er ansvar og oppgaver for informasjonssikkerhet dokumentert i et organisasjonskart/beskrivelse? Ref. Er kravet ivaretatt Kravet er ivaretatt av: Ja Nei HF HNIKT Kommentar IR = ikke undersøkt eller ikke relevant HR 29 X Mangler for flere registre. POL 7-12 HR 29 IR HR 6 X X POL 2-7 X Stillingsbeskr. finnes, men inf.sikkerhet er mangelfullt definert (bare IKT-drift). POL 2-7 X X Det som er definert. 5. Oppfattes og praktiseres ansvars- og oppgavefordeling i samsvar med beskrivelse? 6. Er det fastsatt sikkerhetsmål for virksomheten? POL 2-3 X Bare for Helse Nord. 7. Er det utarbeidet sikkerhetsstrategi for å nå sikkerhetsmålene? POL 2-3 X 8. Er det dokumentert nivå for akseptabel risiko for konfidensialitet, POL 2-4 X tilgjengelighet, integritet og kvalitet? av 4

18 [Skriv inn tekst] Behandlingsansvarlig: Sykehusapotek Nord HF Nr Krav Regelverk Risiko- og sårbarhetsanalyser 9. Er det gjennomført og dokumentert risikovurderinger av alle informasjonsbehandlingssystemer eller registre som inneholder helse- og personopplysninger? 10. Blir det gjennomført og dokumentert risikovurderinger før det iverksettes organisatoriske endringer som kan påvirke informasjonsbehandlingen? 11. Blir det gjennomført og dokumentert risikovurderinger før det iverksettes tekniske endringer i utstyr og/eller programvare som kan påvirke informasjonsbehandlingen? 12. Er resultatet av risikovurderingene sammenlignet med fastlagt nivå for akseptabel risiko? POL POL POL Ref Er kravet ivaretatt Kravet ivaretas av: Ja Nei HF HNIKT X 4.6 IR 13. Følges resultater fra risikovurderingene opp? X X Journalansvar 14. Utpekes det alltid en person som har det overordnede ansvar for den enkelte journal? JF 6 IR 15. Framgår det av journalen hvem som er journalansvarlig? JF 6 IR Tilgangsstyring 16. Er det bare den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet som kan gis tilgang til helseopplysninger? HR 13 X X 17. Autoriseres bruker selvstendig for hver enkelt rolle? X X 18. Har alle personer unike autentiseringskriteria? X X 19. Autoriseres kun teknisk personell med særskilt behov for tilgang for større IR mengder helse- og personopplysninger? 20. Er det iverksatt tiltak slik at mulig misbruk kan avdekkes? X 21. Er det etablert prosedyre for nødrettstilgang? IR Kommentar Gjennomført for FarmaPro, Tromsø, i Mangler for bruk av DIPS. IR IR 2 av 4

19 [Skriv inn tekst] Behandlingsansvarlig: Sykehusapotek Nord HF Nr Krav Regelverk Ref. Er kravet Kravet Kommentar ivaretatt ivaretas av: Ja Nei HF HNIKT 22. Følges all bruk av nødrettstilgang opp som avvik? IR 23. Grunngis og registreres bruk av nødrettstilgang i EPJ-systemet? IR 24. Kontrolleres tilgangsstyring, herunder tildelte autorisasjoner, ved X X organisasjonsendringer, overflytting av personell til annen enhet/avdeling eller endring av arbeidsområde? 25. Kontrolleres tilgangsstyring minimum årlig (gjerne i forbindelse med X X sikkerhetsrevisjon)? Utlevering av helseopplysninger 26. Utleveres eller gis helseopplysninger til annet helsepersonell enn virksomhetens eget personell i samsvar med lovbestemte regler om taushetsplikt? 27. Behandles forespørsel om overføring, utlevering eller tilgang til helse- og personopplysninger i samsvar med betryggende rutiner? 28. Fremgår det av journalen når helseopplysninger er gitt til annet helsepersonell enn virksomhetens eget personell? Informasjonsplikt/pasientens rettigheter 29. Får pasienten informasjon om virksomhetens behandling av helse- og personopplysninger, og sine rettigheter til innsyn i, retting, sletting og sperring av hele/deler av egen journal? HP IR HP X I apotek er det informasjonsplikt om innsending til reseptregisteret 30. Er pasientens rett til sperring av hele eller deler av egen journal ivaretatt? IR Databehandlere og leverandører 31. Har den behandlingsansvarlige oversikt over hvilke databehandlere og leverandører som er involvert i behandling av helseopplysninger i det POL X X Få systemer. enkelte informasjonssystem? 32. Er det inngått avtale med databehandler(e) iht kravene i en? X IR IR 3 av 4

20 [Skriv inn tekst] Behandlingsansvarlig: Sykehusapotek Nord HF Nr Krav Regelverk 33. Har databehandler gjennomført risikovurdering, ved etablering av skille mellom flere virksomheter, når databehandler er databehandler for flere virksomheter? 34. Er det inngått avtale med alle leverandører som har tilgang til helseopplysninger iht kravene i en? 35. Forsikrer den behandlingsansvarlige seg jevnlig om at sikkerhetsstrategien hos databehandlere og leverandører gir tilfredsstillende informasjonssikkerhet? Avviksbehandling 36. Benyttes avvikssystemet iht intensjonen i forhold til behandling av helseopplysninger? 37. Er det etablert prosedyre der det framgår at Datatilsynet skal varsles ved uautorisert utlevering av helseopplysninger? 38. Varsles Datatilsynet ved uautorisert utlevering av helse- og personopplysninger? Ref. Er kravet Kravet Kommentar ivaretatt ivaretas av: Ja Nei HF HNIKT IR X POL 2-15 X POL POL POL Ledelsens kontroll og oppfølging 39. Gjennomføres det sikkerhetsrevisjon minimum årlig? POL X Foreligger det en plan for sikkerhetsrevisjoner? 6.1 X 41. Dokumenteres resultatet av sikkerhetsrevisjonene? POL Gjennomføres det ledelsens gjennomgang av internkontroll for behandling 6.4 X av helse- og personopplysninger minimum årlig? (omf. gj.gang av bl.a. risikovurd., sikkerhetsrev., avviksrapp., konfigurasjonskart, ansvar og organisering og sikkerhetsmål) X X X Ingen slike hendelser er avdekket. IR 4 av 4

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Internkontroll ved behandling av helseopplysninger i Nordlandssykehuset HF. Internrevisjonsrapport nr.: 01/2010

Internkontroll ved behandling av helseopplysninger i Nordlandssykehuset HF. Internrevisjonsrapport nr.: 01/2010 Internkontroll ved behandling av helseopplysninger i Nordlandssykehuset HF Internrevisjonsrapport nr.: 01/2010 Dato: 09.06.2010 INNHOLDSFORTEGNELSE 1 SAMMENDRAG... 3 2 INNLEDNING... 4 2.1 Definisjoner...

Detaljer

Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010

Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010 Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010 Møtedato: 14.-15.12.10 Møtested: Mo i Rana I oppdragsdokumentet 2010 heter det i pkt 8.1.2 Risikostyring og intern kontroll, at styret skal

Detaljer

Internkontroll ved behandling av helseopplysninger i Helse Finnmark HF. Internrevisjonsrapport nr.: 04/2010

Internkontroll ved behandling av helseopplysninger i Helse Finnmark HF. Internrevisjonsrapport nr.: 04/2010 Internkontroll ved behandling av helseopplysninger i Helse Finnmark HF Internrevisjonsrapport nr.: 04/2010 Dato: 21.10.2010 INNHOLDSFORTEGNELSE 1 SAMMENDRAG... 3 2 INNLEDNING... 4 2.1 Definisjoner... 4

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud Helseopplysninger på tvers - rammer for deling og tilgang HelsIT 15. oktober 2014 Marius Engh Pellerud Hva er personvern? 18.06.2014 Side 2 Retten til privatliv Selvbestemmelse Rett til å vite og forstå

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Kapittel 1. Generelle bestemmelser 1.Lovens formål Formålet med loven er at behandling av helseopplysninger skal skje

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet) Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 4.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Rapport informasjonssikkerhet Helgelandssykehuset 2015 Rapport informasjonssikkerhet Helgelandssykehuset 2015 1. Innledning I Oppdragsdokumentet 2015 punkt 4.4. Beredskap, er et av punktene: Området informasjonssikkerhet med tilhørende status på ROS [1] -analyser

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01090 Dato for kontroll: 04.12.2013 Rapportdato: 22.05.2014 Endelig kontrollrapport Kontrollobjekt: Drammen Helsehus Sted: Drammen Utarbeidet av: Camilla Nervik Grete Alhaug Marius Engh

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

IS-7/2006. Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler

IS-7/2006. Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler IS-7/2006 Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler Heftets tittel: Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler

Detaljer

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Styresak 46-2015/3 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2013. Dokument

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Møtedato: 28. november 2012 Arkivnr.: Saksbeh/tlf: Sted/Dato: Namik Resulbegovic, 75 51 29 00 Bodø, 16.11.2012

Møtedato: 28. november 2012 Arkivnr.: Saksbeh/tlf: Sted/Dato: Namik Resulbegovic, 75 51 29 00 Bodø, 16.11.2012 Møtedato: 28. november 2012 Arkivnr.: Saksbeh/tlf: Sted/Dato: Namik Resulbegovic, 75 51 29 00 Bodø, 16.11.2012 Styresak 138-2012 Internrevisjonsrapport 07/2010: Internkontroll ved behandling av helseopplysninger

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01088 Dato for kontroll: 07.11.2013 Rapportdato: 26.03.2014 Endelig kontrollrapport Kontrollobjekt: Alta sykestue Sted: Alta helsesenter Utarbeidet av: Camilla Nervik Grete Alhaug Marius

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang

Detaljer

Ledelse og personvern. Forenklet sammendrag av de styrende dokumenter for personvern og informasjonssikkerhet ved Oslo universitetssykehus

Ledelse og personvern. Forenklet sammendrag av de styrende dokumenter for personvern og informasjonssikkerhet ved Oslo universitetssykehus Ledelse og personvern Forenklet sammendrag av de styrende dokumenter for personvern og informasjonssikkerhet ved Oslo universitetssykehus Stab fag og pasientsikkerhet Seksjon for personvern og informasjonssikkerhet

Detaljer

Datasikkerhet internt på sykehuset

Datasikkerhet internt på sykehuset Datasikkerhet internt på sykehuset DRG Konferansen 11. mars 2009 Informasjonssikkerhetsleder Jan Gunnar Broch Sykehuset Innlandet HF Agenda Informasjonssikkerhet; Hva, hvorfor og hvordan Hvordan håndterer

Detaljer

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune Kongsvinger kommune Fjellg 2 2226 KONGSVINGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato ARI/14/4710/K2- G90, K3-&40/ 13/01091-8/MEP 26. mars 2014 Vedtak om pålegg og endelig kontrollrapport

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fellesforbundet avdeling.. Org.nr.:. Behandlingsansvarlig og Fellesforbundet Org.nr.:

Detaljer

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet Direktøren Styresak 69- Orienteringssak - Informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 05.06. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Fremdriftsplan Bakgrunn I

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Kontroll av helsepersonells kompetanse og autorisasjon i Sykehusapotek Nord HF

Kontroll av helsepersonells kompetanse og autorisasjon i Sykehusapotek Nord HF Kontroll av helsepersonells kompetanse og autorisasjon i Sykehusapotek Nord HF Internrevisjonsrapport 07/2012 Bodø, 21.12.2012 Internrevisjonen i Helse Nord RHF INNHOLDSFORTEGNELSE 1 SAMMENDRAG... 4 1.1

Detaljer

Kontroll av oppslagslogger i EPJ ved hjelp av mønstergjenkjenning

Kontroll av oppslagslogger i EPJ ved hjelp av mønstergjenkjenning Kontroll av oppslagslogger i EPJ ved hjelp av mønstergjenkjenning Helge Grimnes Seksjon for informasjonssikkerhet og personvern Stab pasientsikkerhet og kvalitet Oslo universitetssykehus HF Grunnlag for

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01089 Dato for kontroll: 08.11.2013 Rapportdato: 26.03.2014 Endelig kontrollrapport Kontrollobjekt: Byhagen legesenter Sted: Alta Utarbeidet av: Camilla G. Nervik Grete Alhaug Marius Engh

Detaljer

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Personvernombud Støttedokument Faktaark nr. 35 Versjon: 2.1 Dato: 15.12.2010 Målgruppe Dette faktaarket er spesielt relevant for: Ansvar

Detaljer

Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig kontrollrapport

Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig kontrollrapport Oppegård Kommune Postboks 510 1411 KOLBOTN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/137-11 13/01092-10/MEP 21. mai 2014 Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig

Detaljer

Ny lov nye muligheter for deling av pasientopplysninger

Ny lov nye muligheter for deling av pasientopplysninger Ny lov nye muligheter for deling av pasientopplysninger - regelverksendringene - felles journal i Helse Nord 17.09.15 - STYRK Årskonferanse 2015 Juridisk rådgiver Heidi Talsethagen, FIKS Fra én journal

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01426 Dato for kontroll: 27.01.2015 Rapportdato: 07.04.2015 Endelig kontrollrapport Kontrollobjekt: Troms fylkeskommune Sted: Tromsø Utarbeidet av: Knut-Brede Kaspersen og Martha Eike 1

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 23/01/2014 SAK NR 05-2014 Resultater av gjennomgang internkontroll 2. halvår 2013 og plan for gjennomgang

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1 Introduksjonskurs til Normen Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS 1 Innhold 1. Litt om personvern og informasjonssikkerhet 2. Norm for informasjonssikkerhet 3. Risikovurdering 4.

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...

Detaljer

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner Velkommen til Fagkurs i informasjonssikkerhet basert på Normen for kommuner 1 Mål for fagkurset (1) Deltakerne skal etter gjennomføring av kurset: Ha kunnskap om og kunne formidle hvorfor ivaretakelse

Detaljer

oppgaver og kompetanse

oppgaver og kompetanse Personvernombudet Personvernombudet oppgaver og kompetanse TEMA Personvernombudsordningen Råd og veiledning for ledelse og den enkelte, Grunnlag for oppslag i journal Utlevering Data til NPR Kreftregisteret

Detaljer

Lovlig journalbruk Oppslag i og bruk av pasientjournalen

Lovlig journalbruk Oppslag i og bruk av pasientjournalen Lovlig journalbruk Oppslag i og bruk av pasientjournalen Stab fag og pasientsikkerhet Seksjon for personvern og informasjonssikkerhet OPPSLAG I OG BRUK AV PASIENTJOURNALEN Journalen er et viktig verktøy

Detaljer

Rapport Revisjon forskning Revmatismesykehuset AS

Rapport Revisjon forskning Revmatismesykehuset AS Rapport Revisjon forskning Revmatismesykehuset AS Internrevisjonen Helse Øst 10.01.2007 Rapport nr. 21-2006 Revisjonsperiode August-oktober 2006 Virksomhet Rapportmottaker Kopi Rapportavsender Oppdragsgiver

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen Prosess for behandling av informasjonssikkerhetsmessige Side 1 av 6 Versjon 1.0 Prosess for behandling av informasjonssikkerhetsmessige Endringslogg: Versjon Dato Kapittel Beskrivelse av endring Utført

Detaljer

HELSE MIDT-NORGE RHF STYRET

HELSE MIDT-NORGE RHF STYRET HELSE MIDT-NORGE RHF STYRET Sak 75/13 Internrevisjonsrapporter - intern styring og kontroll med bruk og utnyttelse av elektronisk pasientjournal Saksbehandler Ellinor Wessel Pettersen Ansvarlig direktør

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune

Detaljer

Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Norm for informasjonssikkerhet Helse, omsorgs og sosialsektoren Utgitt med støtte av: Oslo, 2010 FORORD Stadig mer av arbeidet i helsesektoren er basert på elektronisk behandling av pasientenes opplysninger.

Detaljer

STYRESAK 24-2010 INTERNREVISJONSRAPPORT NR. 07/2009: KVALITETSSYSTEM DOKUMENTSTYRING OG AVVIKSBEHANDLING OPPSUMMERING

STYRESAK 24-2010 INTERNREVISJONSRAPPORT NR. 07/2009: KVALITETSSYSTEM DOKUMENTSTYRING OG AVVIKSBEHANDLING OPPSUMMERING Saksbehandler: Tor Solbjørg, tlf. 75 51 29 02 Vår dato: Vår referanse: Arkivnr: 12.2.2010 200900256-23 134 Vår referanse må oppgis ved alle henvendelser Deres dato: Deres referanse: STYRESAK 24-2010 INTERNREVISJONSRAPPORT

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 10/01153-3 Dato for kontroll: 05.10.2010 Rapportdato: 18.01.2012 Endelig kontrollrapport Kontrollobjekt: Stiftelsen SUSS-telefonen Sted: Gøteborggata 23, Oslo Utarbeidet av: Henok Tesfazghi

Detaljer

BILAG 1 DATABEHANDLERAVTALE

BILAG 1 DATABEHANDLERAVTALE BILAG 1 DATABEHANDLERAVTALE Inngått iht.personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kap. 2 mellom UNINETT AS ("Databehandler") og Virksomheten ("den Behandlingsansvarlige") heretter

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Hvis helseregisterloven 13 ikke fantes hva så?: Tilgang til journalopplysninger. trengs

Hvis helseregisterloven 13 ikke fantes hva så?: Tilgang til journalopplysninger. trengs Hvis helseregisterloven 13 ikke fantes hva så?: Tilgang til journalopplysninger der det trengs, når det trengs Ellen K.Christiansen Seniorrådgiver Nasjonalt senter for telemedisin Ellen.Christiansen@telemed.no

Detaljer

Studenters tilgang til elektronisk pasientjournal

Studenters tilgang til elektronisk pasientjournal Studenters tilgang til elektronisk pasientjournal Helge Grimnes Personvernrådgiver Kompetansesenter for personvern og sikkerhet Konsern IT Oslo universitetssykehus HF Helsepersonell, som ikke deltar i

Detaljer

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO.

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO. MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT HELSEDIREKTORATET Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO Deres ref Vår ref Dato 10/2494 200800923-/OS 10.10.2011 Uttalelse

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland

Detaljer

Høringsuttalelse - Forslag til ny kommunal helse- og omsorgslov

Høringsuttalelse - Forslag til ny kommunal helse- og omsorgslov Helse- og Omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Deres ref. Deres dato Vår ref. Vår dato 200903950-/ATG 18.10.2010 010/11ToNy 13.01.2011 Høringsuttalelse - Forslag til ny kommunal helse- og omsorgslov

Detaljer

1.6 Sentrale lover og forskrifter

1.6 Sentrale lover og forskrifter 1.6 Sentrale lover og forskrifter Innledning For Midt-Telemarkkommunenes informasjonssikkerhet gjelder en rekke lover og bestemmelser som blant annet tar sikte på å hindre at noen uten lovlig hjemmel får

Detaljer

Helse- og omsorgsdepartementet Kultur- og kirkedepartementet. Deres ref Vår ref Dato 200605006-/EMK 09.01.2007

Helse- og omsorgsdepartementet Kultur- og kirkedepartementet. Deres ref Vår ref Dato 200605006-/EMK 09.01.2007 Helse- og omsorgsdepartementet Kultur- og kirkedepartementet De regionale helseforetakene Alle kommunene Alle fylkeskommunene Deres ref Vår ref Dato 200605006-/EMK 09.01.2007 Forholdet mellom lovbestemt

Detaljer

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012 Stavanger Universitetssjukehus Helse Stavanger HF Fag- og foretaksutvikling Datatilsynet v/ Helge Veum Postboks 8177 Dep 0034 OSLO Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE

Detaljer

Ny pasientjournallov - endringer og muligheter

Ny pasientjournallov - endringer og muligheter Norsk mal: Startside Ny pasientjournallov - endringer og Sverre Engelschiøn fagdirektør Tips for engelsk mal utformingsfanen og velg DEPMAL engelsk Eller velg DEPMAL engelsk under oppsett. ehelse 2015

Detaljer

Tilgang på tversdrøm eller virkelighet? Ellen K. Christiansen, juridisk rådgiver, Nasjonalt senter for telemedisin Ellen.Christiansen@telemed.

Tilgang på tversdrøm eller virkelighet? Ellen K. Christiansen, juridisk rådgiver, Nasjonalt senter for telemedisin Ellen.Christiansen@telemed. Tilgang på tversdrøm eller virkelighet? Ellen K. Christiansen, juridisk rådgiver, Nasjonalt senter for telemedisin Ellen.Christiansen@telemed.no Et fargerikt felleskap rundt EPJ,- er det dette vi ønsker?

Detaljer

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26 Datatilsynet Postboks 8177 Dep 0034 OSLO Deres ref.: Vår ref.: 12/5062-3 Saksbehandler: Elisabeth Sagedal Dato: 18.12.2012 Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet Direktøren Styresak 127- Orienteringssak - informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 08.12. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Utdrag av systemoversikt

Detaljer

Internrevisjonsrapport 10/2012: Kontroll av helsepersonells kompetanse og autorisasjon i Helse Nord

Internrevisjonsrapport 10/2012: Kontroll av helsepersonells kompetanse og autorisasjon i Helse Nord Møtedato: 27. februar 2013 Arkivnr.: Saksbeh/tlf: Sted/Dato: 2012/4-134 Tor Solbjørg, 75 51 29 02 Bodø, 15.2.2013 Styresak 21-2013 Internrevisjonsrapport 10/2012: Kontroll av helsepersonells kompetanse

Detaljer

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Innhold 1. Internrevisjonens formål... 3 2. Organisering, ansvar og myndighet... 3 3. Oppgaver... 3

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00121 Dato for kontroll: 28.02.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Nesodden kommune Sted: Heia barnehage Utarbeidet av:

Detaljer

Studenters tilgang til elektronisk pasientjournal

Studenters tilgang til elektronisk pasientjournal Studenters tilgang til elektronisk pasientjournal Helge Grimnes Personvernrådgiver Stab pasientsikkerhet og kvalitet Oslo universitetssykehus HF Seksjon for informasjonssikkerhet og personvern Helsepersonell,

Detaljer

Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak]

Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak] Databehandleravtale Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak] 1 Kontraktens parter Kontrakten inngås mellom databehandlingsansvarlig

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Firma:. behandlingsansvarlig og

Detaljer

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Instruks (utkast) for Internrevisjonen Helse Sør-Øst Instruks (utkast) for Internrevisjonen Helse Sør-Øst Fastsatt av Kontrollkomiteen Helse Sør-Øst RHF xx.xx.2007 Innhold 1 Innledning... 3 2 Formål og omfang... 3 3 Organisering, ansvar og myndighet...3

Detaljer

Hvordan kan personvernet ivaretas i helsesektoren?

Hvordan kan personvernet ivaretas i helsesektoren? Hvordan kan personvernet ivaretas i helsesektoren? Bjørn Erik Thon direktør 06.10.2011 Side 1 Hva er personvern? - Noen viktige ord personverntanken. - Samtykke - Informasjon og innsyn - Selvbestemmelse/autonomi

Detaljer

Styresak 87-2010 Internrevisjonsrapport nr. 07/2009: Kvalitetssystem dokumentstyring og avviksbehandling oppsummering, oppfølging av styresak 24-2010

Styresak 87-2010 Internrevisjonsrapport nr. 07/2009: Kvalitetssystem dokumentstyring og avviksbehandling oppsummering, oppfølging av styresak 24-2010 Møtedato: 25. august 2010 Arkivnr.: Saksbeh/tlf: Merete Hermansen, 75 51 29 00 Dato: 13.8.2010 Styresak 87-2010 Internrevisjonsrapport nr. 07/2009: Kvalitetssystem dokumentstyring og avviksbehandling oppsummering,

Detaljer