IKT & LEDELSE - 8/

Transkript

1 . IKT & LEDELSE - 8/ Vilje, evne og lyst til digitalt lederskap Informasjonssikkerhet eksempler og lederutfordringer Susanne Helland Flatøy 1 Digital Helse as

2 2

3 Våre kunder: Fredrikstad kommune Øvre Eiker kommune Sørum kommune Lørenskog kommune Skedsmo kommune Gjerdrum kommune Åsnes kommune Våler kommune Giske kommune Ørskog kommune Ulstein kommune Stranda kommune Meløy kommune Fauske kommune Saltdal kommune Gran kommune Vaksdal kommune Tromsø kommune Osterøy kommune Sund kommune Ålesund kommune Sula kommune Ringerike kommune Beiarn kommune Elverum kommune Tonsåsen opptreningssenter 3

4 RiskManager er presentert for Datatilsynet og dekker tilsynets krav. 4

5 Kommunene har behov for å forenkle arbeidet med informasjonssikkerhet Komplekse organisasjoner Storforbrukere av personopplysninger Krav til døgnåpen forvaltning Utstrakt bruk av teknologi 5

6 6

7 Det førtste helseregisteret Da doktor Armauer Hansen borte på St.Jørgens hospital i Bergeren, på 1800-tallet fremgangsrikt arbeidet med spedalskhetens årsaker og utbredelse, identifiserte, registrerte og presenterte han i sine medisinske artikler både den syke og dennes familie, med navn og adresser. 7

8 Det er 120 år siden. Siden den gang har forestillingen om en privat sfære rundt borgeren hatt tilslutning både i Stortinget og i folkeskikken. Dette har igjen resultert i hemmelige valg, lovbestemt taushetsplikt for sjelesørgere, helsepersonale og saksbehandlere både i offentlig og privat sektor. Alle som behandler følsomme personopplysninger, er pålagt diskresjon under trusler om straff ved brudd. Det er i dag politisk enighet blant våre lovgivere at diskresjon, ja, hemmelighold, er nødvendig betingelse for å bevare tilliten mellom pasienter og klienter på den ene siden, og helsevesenets terapeuter, administratorer og institusjoner på den annen. 8

9 Rettighetslov 9

10 Hva er personvern? Alle har rett til personvern. Begrepet personvern er knyttet til kontroll av opplysninger som kan brukes i beslutninger og som kan gis videre til andre. Interessen i å kunne kontrollere spredningen av opplysninger om en selv. Interessen i at den som skal fatte beslutninger har alle typer relevante opplysninger om den beslutningen angår. Feilaktige, misvisende, eller foreldede opplysninger er irrelevante. 1 0 Interessen i å kjenne til hvordan opplysninger om en selv brukes.

11 Personvernlovgivningen gjelder for: behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, og annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister. manuelle sensitive personregister 1 1

12 Hva er lov? Generelt forbud mot å behandle personopplysninger...med mindre det foreligger et hjemmelsgrunnlag 1 2

13 Eks

14 Hva er din terskel for samtykke? 1 4

15 Hvordan sikre personvernet, og samtidig ivareta behovet for åpenhet og samarbeid? Informasjonssikkerhet er 20 % teknologi og 80 % holdninger: Undersøkelser viser at mellom 65 og 85 % alle sikkerhetsbrudd skjer av virksomhetens egne medarbeidere. 1 5

16 1 6

17 1 7

18 1 8

19 1 9

20 2 0

21 2 1

22 2 2

23 2 3

24 HVA ER EN VILLIG TIL Å AKSEPTERE AV RISIKO? 2 4

25 HVA ER RISIKO? 2 5

26 2 6

27 Oversikt over personopplysninger: Oversikten skal gi informasjon om: 2 7 hvilke opplysninger som lagres og formålet med behandlingen hjemmelsgrunnlag for å lagre informasjon med bruk av IT klassifikasjon av hvorvidt personopplysningene er sensitive eller ikke hvor opplysningene lagres og om de overføres via eksterne media registerets omfang kritisk med hensyn til tilgjengelighet, konfidensialitet og integritet/kvalitet.

28 2 8

29 De fleste av kommunens meldepliktige behandlinger: Pleie og omsorg Legetjenesten Sosialtjenesten Barnevern Helsestasjon- og jordmor Psykiatrisk sykepleie Fysioterapi, ergoterapi Kontantstøtteregisteret Saksbehandling, kontor Kommuneadvokat Finans, forsikring og revisjon Flyktning GAB Forliksråd Overformynderiet Kameraovervåkning og videofilming PPT 2 9

30 Meldeplikt: 3 0

31 Unntak fra meldeplikt Selv om noen behandlinger i kommunen er unntatt meldeplikt, er kravet til å sikre personopplysningene og dokumentere informasjonssikkerheten like stor! Skole, barnehage og personalregistreringer er unntatt! 3 1

32 Sikkerhetsledse Hvilken rolle? Hvilken myndighet? Hvilke oppgaver? 3 2

33 Roller og organisering av sikkerhetsarbeidet - alle har et ansvar i arbeidet med å sikre personopplysningene Sikkerhetsansvarlig Rådmann Driftsansvarlig Sikkerhetsutvalget Systemansvarlig Arkivleder Daglig ansvarlig Daglig ansvarlig Daglig ansvarlig Delegert daglig ansvarlig Delegert daglig ansvarlig Delegert daglig ansvarlig 3 3 Alle medarbeidere

34 Rådmann Rådmann er øverst ansvarlig for informasjonssikkerheten i en kommune, og har også ansvar for å godkjenne sikkerhetsmål og strategi, samt akseptkriterier (krav til sikkerhet) for de ulike behandlinger. 3 4

35 Sikkerhetsleder/ -ansvarlig Sikkerhetsansvarlig er ofte leder i sikkerhetsutvalget, og har ansvar for å koordinere sikkerhetsoppgavene i kommunen. Dvs. ha ansvar for kvalitetssikring av rutiner, ansvar for at avvikshåndtering iverksettes i de ulike enhetene, tilrettelegging av ledelsens gjennomgang, initiativtaker til egenkontroll og revisjon m.m. Ofte den som foretar meldinger til Datatilsynet 3 5

36 Daglig ansvarlig / enhetsledere Enhetslederne har det daglige ansvaret for den praktiske oppfølgingen av sikkerhetsarbeidet i egen enhet/etat: spre informasjon, sikre kunnskap og kompetanse internt, at sikkerhetstiltak blir fulgt i det daglige, behandle avvik fortløpende, ansvar for at egen sikkerhetsdokumentasjon vedlikeholdes (evt. i samarbeid med systemansvarlig), oversikt og beslutninger om autorisert bruk med mer. Enhetsleder er ansvarlig for å initiere og bistå i risikovurderinger, gjennomføre egenkontroller og vurdere et samlet resultat fra egen enhet, samt å delta i årlige sikkerhetsrevisjoner og ledelsesgjennomganger. 3 6

37 Driftsleder /-ansvarlig It- /driftsansvarlig i kommunen har blant annet ansvar for drift av de informasjonssystemer som er implementert og tekniske sikkerhetstjenester. Driftsansvarlig vurderer og fatter beslutninger om konfigurasjon og de fleste systemtekniske sikkerhetstiltakene. 3 7

38 Fysiske sikkerhetstiltak Rutiner for låsing og adgangskontroll Rutiner for adgang til utstyr og programmer 3 8

39 Personell sikkerhet Rutiner for dokumentsikring Rutiner ved ansettelse og fratredelse av stilling Ansattretningslinjer for informasjonssikkerhet og personvern Regler for taushetsplikt Rutiner for personellopplæring Publisering på Internett postlister 3 9

40 Teknisk sikkerhet Rutiner for bruk av passord Rutiner for BackUP Installert antivirusprogramvare Rutiner for bruk av e-post Rutiner for bruk av Internett Rutiner for oppgradering og vedlikehold av programvare Rutiner for oppgradering og vedlikehold av IT-utstyr Rutiner for kontroll med tilgang til sensitive personopplysninger 4 0 Rutiner for konfigurasjonskontroll

41 Rådmannen sin hodepine Pålegg kan ikke velges bort Kostbare og tidkrevende prosesser, mye som skal dokumenteres og iverksettes Belastning på organisasjonen Ikke en engangsoppgave - kontinuerlig prosess Frykter Datatilsynet og negative presseoppslag 4 1

42 Oppfølging og vedlikehold Den største utfordringen er ikke alltid å få dokumentert en tilfredsstillende informasjonssikkerhet, men derimot å sørge for å etablere, vedlikeholde og tilpasse nivået i takt med organisatoriske, tekniske og faglige endringer. 4 2

43 4 3

44 Planlegging Planlegging hva som skal gjøres hvem som skal gjøre det når det skal gjøres hvilke ressurser som kreves hva resultatet skal være RÅD: sett av tid til planlegging! 4 4

45 PLANLEGGING 4 5

46 4 6