Helseforetakenes senter for

Størrelse: px
Begynne med side:

Download "Helseforetakenes senter for"

Transkript

1 Helseforetakenes senter for pasientreiser ANS 1/2011 Rapport Revisjon av systemforvaltning Revisjonsrapport Internrevisjonen Side 1 av 25

2 Tidsrom for revisjonen Virksomhet Helseforetakenes senter for pasientreiser ANS Rapportmottaker Administrerende direktør Kopi (endelig rapport) Styret v/styreleder Rapportavsender Internrevisjonen Oppdragsgiver Styret Oppdragsleder Tove Kolbeinsen Revisjonsteam Nils Harald Børve, Vidar Drageide Kundeansvarlig Karl Helge Storhaug Innholdsfortegnelse 1. Sammendrag Kort om området som skal revideres Formål, problemstillinger og metode Revisjonskriterier Vurderingskriterier Oppsummeringer av funn Systemforvalting Informasjonssikkerhet Vedlegg Revisjonsrapport Internrevisjonen Side 2 av 25

3 1. Sammendrag Hovedfunn Helseforetakenes senter for pasientreiser ANS (heretter Pasientreiser) er en relativt ung organisasjon i sterk vekst og med et omfattende ansvar. For å sikre rask overtagelse av systemeierskapet for systemene NISSY og PRO har Pasientreiser i stor grad videreført mange av løsningene fra Helse Sør Øst som driftsavtaler og arbeidsprosesser. Det har også i stor grad vært brukt eksterne ressurser for å koordinere drift og utvikling av systemene. Frem til 2011 har Pasientreiser hatt stort fokus på å komme i drift, fremfor å etablere interne og eksterne arbeidsprosesser, oppdatere avtaler og sikre stabil drift. Utilstrekkelige avtaler med Norsk Helsenett kan etter internrevisjonens oppfatning ha medført uklart ansvar og forventingsnivå mellom partene. Videre har mangel på interne prosesser knyttet til bl.a. endringshåndtering og testing etter internrevisjonens vurdering medført utfordringer som har påvirket driftsstabiliteten. For å håndtere disse utfordringene har Pasientreiser den siste tiden satt i verk en rekke kortsiktige tiltak som etter internrevisjonens syn har bidratt til å minimere risiko og bedre situasjonen. Det er nå behov for å formalisere og dokumentere disse tiltakene. Videre er det behov for å gjennomføre det planlagte arbeidet, som fremgår av Pasientreiser overordnende handlingsplan med å utrede alternative langsiktige tiltak. Det bør så etableres konkrete handlingsplaner for disse. Gjennomgangen har vist at Pasientreiser har etablert et styringssystem for informasjonssikkerhet for å ivareta kravene i Norm for informasjonssikkerhet i helsesektoren, men det er funnet enkelte svakheter knyttet til gjennomføring av risikovurderinger, mindre tekniske sikringstiltak, databehandleravtaler og gjennomføring av sikkerhetsrevisjoner i egen organisasjon. Det er for øvrig internrevisjonens konklusjon at ledelsen er godt kjent med de risikoer og oppgaver som gjenstår. Det er iverksatt riktige kortsiktige tiltak og det foreligger en overordnet plan for å ta fatt på de mer langsiktige tiltakene for å bedre systemforvaltingen. Revisjonsrapport Internrevisjonen Side 3 av 25

4 Konklusjoner Det er observert svakheter i intern styring og kontroll i prosessen som er kartlagt. Det bør settes i verk tiltak. Anbefalinger Internrevisjonen anbefaler at Pasientreiser iverksetter følgende tiltak for å forbedre prosessene for systemforvalting og informasjonssikkerhet: Det bør sørges for at kortsiktige tiltak som er påbegynt fullføres, herunder sluttføring av rutinebeskrivelser og dokumentasjon Det bør sørges for gjennomføring av det planlagte arbeidet med å utrede alternativer for langsiktige tiltak og utarbeide konkrete handlingsplaner for disse Det bør sørges for at avtaler med aktuelle leverandører inneholder de forpliktelser, tjenester og oppgaver som partene skal gjennomføre til hvilke kvalitet med tilhørende rapportering Det bør utarbeides mal for businesscase samt sørges for at dette gjennomføres for alle større prosjekter med tilhørende planer for gevinstrealisering Det bør etableres databehandleravtaler med drift og programvareleverandører som har tilgang til systemene Det bør sørges for en oppdatering av risikovurderingene til også å omhandle vurderinger av risikoer knyttet til enkeltmenneskers personvern Det bør etableres mekanismer for oppfølging og sikkerhetsrevisjon i egen organisasjon, drifts og programvareleverandører Det bør sørges for å avklare ansvarsforhold for tekniske sikringstiltak i programvaren PRO og NISSY mellom Pasientreiser og deres drift og programvareleverandører Det bør utarbeides en beskrivelse av hvordan kravet om registrering av autorisert bruk og forsøk på uautorisert bruk gjøres og hvem som har ansvar for å gjennomgå og analysere logger. Revisjonsrapport Internrevisjonen Side 4 av 25

5 2. Kort om området som skal revideres Beskrivelse av område/prosess som skal revideres Målsettinger for området/prosessen som skal revideres Selskapets prosesser for systemforvaltning. Pasientreiser har systemeierskapet for direkteoppgjør (NISSY), telefontjenesten og reiser uten rekvisisjon i enkeltoppgjørsregisteret (PRO). Systemeierskapet krever god systemforvaltning for at systemene skal bidra til selskapets måloppnåelse. Videre er Pasientreiser databehandleransvarlig for opplysningene som behandles i systemene, og det må være etablert internkontroll i samsvar med Norm for informasjonssikkerhet i helsesektoren. 3. Formål, problemstillinger og metode Formål med revisjonen Problemstillinger som skal undersøkes Metode Formålet er å kartlegge og vurdere intern styring, kontroll og oppfølging av systemene Nissy, PRO og telefontjenesten til Pasientreiser. Dette omfatter utviklings og driftsprosesser i sammenheng med målene og beslutningsprosessene til selskapet. Revisjonen omfatter også vurdering av informasjonssikkerheten i selskapet. Om det er etablert tilfredsstillende avtaler med underleverandører, og at disse følges opp i samsvar med forretningsbehovet I hvilke grad det er innført gode rutiner, herunder roller og ansvar som sikrer god og effektiv drift som understøtter forretningsbehovet I hvilken grad virksomheten har innført Norm for informasjonssikkerhet I hvilke grad systemene har etablert sikringstiltak i samsvar med Norm for Planlegging av revisjon og oppstart Innledende risikoanalyse og foreta en prosessanalyse, herunder å kartlegge mål, identifisere risikoer/ kritiske suksessfaktorer, måleindikatorer, rutiner og kontrolltiltak Foreta en endelig risikovurdering Evaluere design, gjennomgå fremlagt dokumentasjon mot god praksis på området IT styring, informasjonssikkerhet og systemforvalting Revisjonsrapport Internrevisjonen Side 5 av 25

6 Formål med revisjonen Problemstillinger som skal undersøkes Metode 4. Revisjonskriterier Revisjonskriterier informasjonssikkerhet Vurdering av etterlevelse og effektivitet. Resultatene fra prosjektet bearbeides i rapports form For å vurdere Pasientreiser sin praksis for systemforvalting har Internrevisjonen tatt utgangspunkt i en egen sjekkliste for IT styring. Sjekklisten bygger på prinsippene fra anerkjente metoder som ITIL og LEAN. For å vurdere Pasientreisers arbeid med informasjonssikkerhet har Internrevisjonen vurdert Pasientreiser opp mot kravene i Personopplysningsloven med forskrift og Norm for informasjonssikkerhet i helsesektoren. 5. Vurderingskriterier Vurderingskriterier Det er ikke observert vesentlige feil og/eller svakheter i styring og kontroll i prosessen som er kartlagt. Det er ikke behov for tiltak. Det er observert feil og/eller svakheter i intern styring og kontroll i prosessen som er kartlagt. Det bør settes i verk tiltak. Det er observert vesentlige feil og/eller svakheter i intern styring og kontroll i prosessen som er kartlagt. Det må settes i verk tiltak. Revisjonsrapport Internrevisjonen Side 6 av 25

7 6. Oppsummeringer av funn 6.1 Systemforvalting Nr Kriterier Observasjon Vurdering Det skal være utarbeidet en IT strategi / IT handlingsplan som skal være førende for Pasientreisers arbeid med IT. IT systemene er for både Pasientreiser og deres kunder et svært viktig verktøy for å kunne utøve de oppgaver de er satt til. Internrevisjonen observerer at Pasientreiser har hatt utfordringer knyttet til driftsstabilitet i systemene. Pasientreiser har derfor gjennom sin strategiplan satt seg et overordnet mål om Stabile og velfungerende IKT systemer og det er videre vedtatt seks tiltak som skal bidra til denne måloppnåelsen. Gjennomføre tiltak i PRO og NISSY som sikrer en høyere opplevd oppetid for brukerne. (Implementering juni oktober) Igangsette systematisk og regelmessig utøvelse av vårt databehandleransvar. (Iverksettes mai) Grundig gjennomgang av systemene NISSY og PRO for å identifisere tiltak som sikrer ytterligere økt oppetid og stabilitet på lang sikt. (Innen oktober) Iverksette de forbedringstiltak som er mulig innenfor årets økonomiske rammer (Frist Det er internrevisjonens vurdering at Pasientreiser har satt seg riktige mål og valgt fornuftige tiltak i forhold til de utfordringer Pasientreiser har, og videre å understøtte sine målsetninger. Med den forutsetning at arbeidet med å utrede alternativer for langsiktige tiltak gjennomføres og det så utarbeides konkrete handlingsplaner for å oppnå målsetningene, anser internrevisjonen området som tilfredsstillende. Revisjonsrapport Internrevisjonen Side 7 av 25

8 Nr Kriterier Observasjon Vurdering desember) Støtte deltagerne i funksjonell arbeidsgruppe med å involvere lokale brukere og superbrukere både i forbindelse med endringsønsker og ved idriftsettelse av nye versjoner. (Innen juni) Gjennomføre pilot på OCR løsning hvor 35% av innkommende saker skal identifiseres automatisk. (Frist oktober) Pasientreiser skal ha etablert og dokumentert rolle og ansvarsbeskrivelser som sikrer resultateierskap til alle oppgaver som skal utføres. Målsetningene er nedfelt i en tre stegs modell, og de kortsiktige for å bedre oppetid og kvalitet i PRO og NISSY som er steg 1 er allerede iverksatt. Videre arbeides det med å utrede alternativer for langsiktige tiltak og utarbeide konkrete handlingsplaner for å oppnå målsetningene. Internrevisjonen har observert at det foreligger en beskrivelse av organiseringen av IKT funksjonen i selskapet og at rollene systemeier, arkitekt og områdeansvarlig er dokumentert. Videre er det observert at det er blitt gjort endringer i organiseringen av ansvar og roller den siste tiden som en del av de kortsiktige tiltakene for å øke stabiliteten. Internrevisjonen observerer at disse endringene ikke på revisjonstidspunktet var reflektert i Internrevisjonens intervjuer og gjennomganger viser at det i stor grad er samsvar med de roller og ansvarsbeskrivelser som er skissert. Internrevisjonen observerer at det har vært noen uklarheter knyttet til ansvar og oppgaver mellom Pasientreiser og leverandører, men at det her er iverksatt kortsiktige tiltak. De endringene som er gjort er ikke reflektert i oppdaterte rollebeskrivelser. Revisjonsrapport Internrevisjonen Side 8 av 25

9 Nr Kriterier Observasjon Vurdering Pasientreiser skal ha etablert prosesser for budsjettstyring og ressursplaner som stemmer med faktisk forbruk og er oversiktlig koblet til IT leveransene sin kvalitet, tilgjenglighet og kapasitet. rollebeskrivelsene. Internrevisjonen observerer at økonomisjef har overtatt ansvaret for IKT, samtid er det for å øke kapasiteten innenfor økonomiområdet tilsatt en assisterende økonomisjef. Internrevisjonen observerer videre at Pasientreiser gjennomfører mini konkurranse blant sine leverandører om bistand til å forbedre styring og organiseringen av Pasientreiser sin IKT funksjon i et langsiktig perspektiv. Etter hva internrevisjonen har forstått er det Norsk Helsenett som er den juridiske eier av programvaren NISSY, mens det for PRO ikke foreligger noen avtale. Budsjettet legges gjennom at Pasientreiser ved systemeier foreslår endringsbehov/prosjekter som bør løses innenfor neste års budsjett. Deretter blir det utarbeidet forslag til budsjett for drift og investeringer (videreutvikling av programvare). Budsjettet for videreutvikling fremlegges Norsk Helsenett som endelig godkjenner utviklingsbudsjett og tar kostnadene for videreutviklingen. Internrevisjonen observerer at alle endringsoppdrag som utføres Internrevisjonen er for øvrig positiv til at det gjennomføres et prosjekt for å vurdere forbedringer i IKT styring og organisering. Internrevisjonen anbefaler likevel Pasientreise å oppdatere relevante beskrivelser. Med utgangspunkt i Norsk Helsenett som eier av programvaren er det internrevisjonens vurdering at det er etablert en tilfredsstillende prosess for budsjettstyring knyttet til utviklingen av PRO og NISSY. På bakgrunn av at Pasientreiser opererer med fastpris i sine utviklingsoppdrag anser internrevisjonen den økonomiske risikoen knyttet til eksterne utviklingskostnader som lav. Men virksomheten har ikke oversikt over interne timer. Internrevisjonen er også enig i Revisjonsrapport Internrevisjonen Side 9 av 25

10 Nr Kriterier Observasjon Vurdering av leverandøren utføres til fastpris, og at det er leverandøren som bærer den økonomiske risikoen. eksternrevisors anbefaling om å finne varige løsninger knyttet til eierskapet for programvaren PRO og NISSY Pasientreiser skal ha etablert gode avtaler med sine leverandører som sikrer at leveransene er i samsvar med det driftsbehov som Pasientreiser og deres kunder har. Det skal være etablert mekanismer for oppfølging av avtalene. Pasientreiser tar ikke høyde for egeninnsats i prosjektgjennomføring og fører heller ikke timer knyttet til de ulike prosjektene. Internrevisjonen observerer også at eksternrevisor har kommentert regnskapsmessige utfordringer knyttet til eierskapet til programvaren PRO og NISSY, men internrevisjonen har ikke vurdert dette forholdet nærmere. Internrevisjonen observerer at det er etablert en driftsavtale med Norsk Helsenett for drift av IT infrastruktur for systemene PRO og NISSY. Videre er det inngått vedlikeholdsavtale for systemene med leverandørene Acando og Locus. Internrevisjonen har avdekket at driftsavtalen med Norsk Helsenett ikke inneholder regulering av: A. hvilke tjenester som skal ytes, til hvilke tjenestenivå. B. krav om rapportering C. regulering av databehandleransvaret, Det er internrevisjonens vurdering at det er etablert en praksis som sikrer oppfølging av leverandørene, men at det er ikke er etablert tilfredsstillende avtaler med Norsk Helsenett. Manglende avtaler mellom partene gjør det vanskelig for leverandøren å ta ansvar for hva som skal leveres, samtidig blir det vanskelig for Pasientreiser å følge opp avtalen da det blir uklart hva som skal leveres til hvilke kvalitet. Revisjonsrapport Internrevisjonen Side 10 av 25

11 Nr Kriterier Observasjon Vurdering Pasientreiser skal ha en god og oversiktlig prosess for å innhente, dokumenterte og prioritere bruker og driftsbehov. herunder krav om gjennomføring av sikkerhetsaktiviteter hos leverandøren iht. normen evt. Personopplysningsloven 13. (se andre funn for detaljer) D. krav om right to audit E. sanksjoner Videre observerer internrevisjonen at Pasientreiser har gjort enkelte endringer i måten leverandørene følges opp på. Blant annet har Pasientreiser etablert en praksis med å følge opp sine leverandører gjennom regelmessige driftsmøter. Oppfølgingen tar opp i seg avvik, aktuelle saker og oppgaver med ansvar, tidsfrist og status. Internrevisjonen observerer også at Norsk Helsenett rapporterer på grad av oppetid og uønskende hendelser som har oppstått. Internrevisjonen observerer at Pasientreiser har etablert en prosess for å innhente, dokumentere og prioritere brukerbehov i systemene PRO og NISSY, men at prosessen har vært lite dokumentert og lite formell. Dette har medført risiko for at ikke alle endringsønsker/behov har blitt like god vurdert og prioritert. Internrevisjonen observerer at det den siste tiden har blitt etablert og dokumentert en ny og mer formell prosess som skal sikre at alle ideer og Internrevisjonen anbefaler at avtale med Norsk Helsenett oppdateres med de nevnte områder og at det videre dokumenteres en formell prosess for oppfølging av leveransene i henhold til avtalen. Ettersom Norsk Helsenett nå ikke eies av helseforetakene, og helseforetakene ikke har noen direkte styringsrett overfor Norsk Helsenett, anbefaler internrevisjonen at Pasientreiser vurder mulighet og behov for å innføre sanksjoner. Det er internrevisjonens vurdering av at pasientreisers prosess for innhenting, prioritering og godkjenning av ny og endrede funksjonalitet i systemene ikke har vært tilfredsstillende, men at det er iverksatt tiltak. Med den forutsetning at tiltakene iversksettes slik de er forelagt internrevisjonen, vurderes de som Revisjonsrapport Internrevisjonen Side 11 av 25

12 Nr Kriterier Observasjon Vurdering Pasientreiser skal for større prosjekter ha en prosess for å gjennomføre businesscase, som beskriver utfordringen sammen med foreslått løsning og estimater for kostnader, tid, risiko og plan for gevinstrealisering Pasientreiser skal ha en IT infrastruktur og arkitektur som understøtter god prosess/ systemintegrasjon og er ikke til hinder for virksomhetssystemenes måloppnåelse behov blir samlet inn, vurdert, prioritert og videre spesifisert, estimert og godkjent før utvikling/endring. Internrevisjonen observerer at det kun foreligger businesscase for OCR prosjektet. Businesscase inneholder muligheter, gevinster og investeringsanalyse. Det har ikke vært innenfor internrevisjonens mandat å vurdere den tekniske arkitekturen i systemet, men internrevisjonen observerer at Pasientreiser har arvet systemeieransvaret fra Helse Sør Øst og har hatt begrensede muligheter til å påvirke systemenes arkitektur. Videre observeres det at det er etablert en egen arkitektrolle som skal sikre god arkitektur i og mellom systemene. Internrevisjonen observerer også at pasientreiser planlegger å gjennomføre en større vurdering av systemene for å ha grunnlag til å vurdere videre utvikling av PRO og NISSY. tilfredsstillende. Internrevisjonen anser det som positiv at det gjennomføres businesscase og mener dette bør gjennomføres for alle sentrale områder/prosjekter som vurderes i Pasientreiser. Videre bør businesscase inneholde vurdering av tidsforbruk/tidsplan, risikoer og plan for gevinstrealisering. Dette vil enda bedre sikre at Pasientreiser iverksetter riktige og gode prosjekter og redusere risiko for feil og manglende gevinstrealisering. Det er internrevisjonens vurdering at Pasientreiser har fokus på å ha en IT arkitektur som understøtter god prosess/ systemintegrasjon, internrevisjonen er positiv til at det gjennomføres en uavhengig vurdering av PRO og NISSYs arkitektur. Videre ser internrevisjonen det som en risiko at mellomvaren Sonic ikke er implementert som en tjeneste i driftsavtalen med Norsk Helsenett. Internrevisjonen anbefaler at Pasientreiser gjennomfører den planlagte vurderingen av Revisjonsrapport Internrevisjonen Side 12 av 25

13 Nr Kriterier Observasjon Vurdering Pasientreiser skal ha etablert en god prosess for implementering av nye versjoner og endringer i programvare som reduserer risiko for feil Pasientreiser skal ha etablert en prosess som sikrer at servere o.a. infrastruktur blir holdt ved like og løpende oppdatert (patch management). Internrevisjonen observerer videre at systemene benytter en mellomvaretjeneste Sonic levert fra Norsk Helsenett som er nødvendig for at NISSY og PRO skal fungere. Internrevisjonen kan ikke finne dokumentasjon på hvordan denne tjenesten er innlemmet i avtalen med Norsk Helsenett og hvordan den påvirker Pasientreiser sin tjenestekvalitet i programvaren PRO og NISSY. Internrevisjonen observerer at det tidligere ikke har vært noe formell prosess knyttet til endringshåndtering, men at det som en del av de kortsiktige tiltakene er iverksatt en praksis som ivaretar at implementering av nye versjoner og endringer blir bedre håndtert. Denne praksisen er dokumentert som et utkast, og internrevisjonen finner dokumentasjon på at det er gjennomført aktiviteter som testplaner og test. Det er Norsk Helsenett som har ansvar for drift og vedlikehold av infrastrukturen som NISSY og PRO benytter. Internrevisjonen observerer at det i avtalen med Norsk Helsenett er Norsk Helsenett som har ansvar for å gjennomføre oppgradering av Patcher for OS, sikkerhetspatcher, nye releaser, arkitekturen i PRO og NISSY. Det anbefales også at en etablerer at avtale med Norsk Helsenett der tjenesten Sonic defineres. Pasientreiser har etablert en praksis som sikrer at implementering av nye versjoner og endringer i programvare blir håndtert på en måte som reduserer risiko for feil, men denne er ikke ferdig dokumentert. Internrevisjonen anbefaler at prosessen dokumenteres. Aktiviteter og ansvar som evt. tillegges leverandører bør tas med i avtale. Det er internrevisjonens vurdering at det ikke er etablert en formell prosess som fordeler ansvar for håndtering av sikkerhetsoppdateringer og normale versjonsoppdateringer, men dette håndteres gjennom avtalte driftsmøter. Internrevisjonen anbefaler at det Revisjonsrapport Internrevisjonen Side 13 av 25

14 Nr Kriterier Observasjon Vurdering BIOS, firmware etc. mens det for oppgradering av programvare som ligger oppå OS og som er en del av PRO og NISSY gjennomføres oppgraderinger i samarbeid med Pasientreiser og leverandørene. dokumenteres en formell prosess for håndtering av sikkerhetsoppdateringer. Ansvar og gjennomføring bør gjenspeiles i oppdatert avtale. Fra Norsk Helsenett får internrevisjonen bekreftet at det ikke er etablert noen prosess for å gjennomføre arbeidet, men at dette skjer etter avtale med Pasientreiser og ved behov som koordineres gjennom driftsmøter. Dette er i samsvar med hva internrevisjonen har observert hos Pasientreiser. Årsaks og konsekvensvurderinger Pasientreiser er en relativt ung organisasjon i sterk vekst og med et omfattende ansvar. For å sikre rask overtagelse av systemeierskapet for systemene NISSY og PRO har Pasientreiser i stor grad videreført mange av løsningene fra Helse Sør Øst som driftsavtaler og arbeidsprosesser. Det har også i stor grad vært brukt eksterne ressurser for å koordinere drift og utvikling av systemene. Frem til 2011 har Pasientreiser hatt stort fokus på å komme i drift, fremfor å etablere interne og eksterne arbeidsprosesser, oppdatere avtaler og sikre stabil drift. Internrevisjonen mener utilstrekkelige avtaler med Norsk Helsenett kan ha medført uklart ansvar og forventingsnivå mellom partene, og mangel på interne prosesser knyttet til f.eks. endringshåndtering og testing har etter vår vurdering medført utfordringer som har påvirket driftsstabiliteten. For å håndtere disse utfordringene har Pasientreiser den siste tiden satt i verk en rekke kortsiktige tiltak som Internrevisjonen mener har bidratt til å minimere risiko og bedre situasjonen. Revisjonsrapport Internrevisjonen Side 14 av 25

15 Konklusjoner Det er observert svakheter i intern styring og kontroll i prosessen som er kartlagt. Det bør settes i verk tiltak. Anbefalinger Internrevisjonen anbefaler at Pasientreiser iverksetter følgende tiltak for å forbedre prosess for systemforvalting: Det bør sørges for at kortsiktige tiltak som er påbegynt fullføres, herunder sluttføring av rutinebeskrivelser og dokumentasjon Det bør sørges for gjennomføring av det planlagte arbeidet med å utrede alternativer for langsiktige tiltak og utarbeide konkrete handlingsplaner for disse Det bør sørges for at avtaler med aktuelle leverandører inneholder de forpliktelser, tjenester og oppgaver som partene skal gjennomføre til hvilken kvalitet med tilhørende rapportering Det bør utarbeides mal for businesscase samt sørges for at dette gjennomføres for alle større prosjekter med tilhørende planer for gevinstrealisering 6.2 Informasjonssikkerhet Nr. Kriterier Observasjon Vurdering Pasientreiser skal ha etablert klare ansvars og myndighetsforhold for bruk av informasjonssystemet, og dokumentere disse forholdene og gjøre dem kjent for virksomhetens ledelse. Internrevisjonen observerer at Pasientreiser i 2011 har gjort en endring i måten sikkerhetsansvaret er fordelt på. De har gått fra en sentral ansvarlig for informasjonssikkerhet til at ansvaret for informasjonssikkerhet nå er fordelt på de ulike avdelingslederne. Ansvaret fremgår av stillingsinstruks, gjennom konsolidering av risikovurdering og ledelsens gjennomgang. Internrevisjonen vurderer ansvar og myndighetsforhold til å være organisert på en tilfredsstillende måte. Internrevisjonen anbefaler likevel at en av de sikkerhetsansvarlige, kontroller eller andre tillegges et sørge for /følge opp ansvar for å sikre at informasjonssikkerhetsarbeidet blir koordinert. Revisjonsrapport Internrevisjonen Side 15 av 25

16 Nr. Kriterier Observasjon Vurdering Pasientreiser skal regelmessig gjennomføre risikovurdering for å for å avdekke risiko. For behandling av personopplysninger skal en også vurdere risiko knyttet til behandling av personopplysninger i forhold til enkeltmenneskers personvern. Risikovurderingen skal dekke alle behandlinger/hele behandlingen, og gjennomføres før behandlingen igangsettes. Resultat fra risikovurderinger skal sammenlignes med det akseptable risikonivå ledelsen har besluttet. Internrevisjonen observerer at Pasientreiser har innført en god prosess for å gjennomføre risikovurderinger som involverer alle avdelingene i selskapet. Risikovurderingen som Internrevisjonen har gjennomgått vurderer i liten grad risiko knyttet til behandling av personopplysninger i forhold til enkeltmenneskers personvern. Internrevisjonen kan ikke finne beskrivelse av akseptnivået for risiko og kriteriene som ligger til grunn for å kategorisere sannsynlighet og konsekvens 1 4. Internrevisjonen vurderer det som positivt at Pasientreiser har en innarbeidet prosess for gjennomføring av risikovurderinger som dekker alle avdelinger i selskapet. Internrevisjonen oppfatter videre at virksomheten ikke i tilstrekkelig grad har dokumentert at det er vurdert risiko i forhold til enkeltmenneskers personvern. Manglende vurdering av risiko knyttet til enkeltmenneskers personvern medfører brudd på Personopplysningsloven og Normen. Internrevisjonen anbefaler at det gjennomføres risikovurdering av alle behandlinger som gjennomføres i Pasientreiser sine IT systemer i forhold til enkeltmenneskers personvern Pasientreiser skal jevnlig, slik at hele informasjonssystemet/ organisasjonen er gjennomgått over en 12 mnd. periode, Pasientreiser har etablert en prosess for gjennomføring av sikkerhetsrevisjoner og egenkontroller for å etterprøve at Resultat fra risikovurdering må sammenlignes med akseptabelt risikonivå ledelsen har besluttet. Det er Internrevisjonens vurdering at Pasientreiser har etablert en tilfredsstillende prosess for oppfølging Revisjonsrapport Internrevisjonen Side 16 av 25

17 Nr. Kriterier Observasjon Vurdering etterprøve at informasjons systemet benyttes i samsvar med rutiner, og at sikkerhetstiltak fungerer som forutsatt Sikkerhetsbrudd, og all (annen) bruk av informasjonssystemet i strid med rutiner skal behandles som avvik. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand og hindre informasjonssystemet benyttes i samsvar med fastsatte rutiner og sikkerhetstiltak fungerer som forutsatt. Internrevisjonen finner dokumentasjon på at det er gjennomført en rekke sikkerhetsrevisjoner hos de ulike pasientreisekontorene i Helseforetakene. Pasientreiser har også definert en egenkontroll som skal utføres av de ulike avdelingene i Pasientreiser for å avdekke og fange opp eventuelle avvik i krav og rutiner. Internrevisjonen har ikke kunnet finne dokumentasjon knyttet til dette da rutinen ikke er iverksatt. Pasientreiser informerer også om at det har vært et bevisst valg å prioritere gjennomføring av sikkerhetsrevisjoner av pasientreisekontorene før kontroll av egen organisasjon. Egenkontroll i Pasientreiser er planlagt. Det er gjennomført gjennomgang av internkontrollen på en rekke områder internt i Pasientreiser ANS. Det er definert en egen prosess for å melde og følge opp informasjonssikkerhetsavvik i Pasientreiser, det er også utarbeidet meldeskjema for avvik relatert til informasjonssikkerhet. av Pasientreisekontorene, men at de også må gjennomføre sikkerhetsrevisjon av leverandørene av PRO, NISSY og Norsk Helsenett. Rutiner for egenkontroll bør iverksettes og være en del av oppfølgingen i egen organisasjon. Manglende gjennomføring av sikkerhetsrevisjoner medfører brudd på Personopplysningsloven og Normen. Videre kan det medføre at iverksatte tiltak ikke fungerer etter hensikten, uten at det blir oppdaget. Internrevisjonen finner området tilfredsstillende. Revisjonsrapport Internrevisjonen Side 17 av 25

18 Nr. Kriterier Observasjon Vurdering gjentagelse, og vil normalt omfatte retningslinjer for iverksetting av strakstiltak, rapprotering, iverksetting av korrigerende tiltak og for oppfølging av tiltakene over tid Bruk av informasjonssystemet som har betydning for informasjonssikkerheten skal utføres i henhold til fastlagte rutiner. Rutiner for bruk av informasjonssystemet, og annen informasjon med betydning for informasjonssikkerheten skal dokumenteres. Internrevisjonen observerer at det eksisterer logger og aksjonspunkter som viser at prosessen er fulgt gjennom det siste året. Avvik relatert til systemenes tilgjengelighet behandles ikke som ordinære sikkerhetsavvik, men rapporteres gjennom systemdriften. Pasientreiser har utarbeidet flere rutiner for hvordan systemene skal benyttes. Det er utarbeidet brukerdokumentasjon og det gjennomføres opplæring av saksbehandlere som skal benytte systemet. For PRO er det også utarbeidet e læringskurs som skal sikre kompetansen til de som gjennomfører behandlinger i systemet. Internrevisjonen finner området tilfredsstillende Medarbeidere skal entydig autoriseres for bruk av informasjonssystemet. Som hovedregel skal informasjonssystemet kun benyttes for å utføre pålagte oppgaver. Pasientreiser sine systemer NISSY og PRO er satt opp slik at personer som har tilgang til helse og personopplysninger i systemene autentiseres ved hjelp av brukernavn og passord. Det er også utformet en ny prosess for godkjenning og tildeling av brukerkontoer i PRO. Det er positivt at programmene er bygd opp rundt entydige brukerkontoer og autorisering basert på roller og tilhørighet. Den planlagte prosessen for tilgangsstyring til PRO fremstår også som dekkende. Revisjonsrapport Internrevisjonen Side 18 av 25

19 Nr. Kriterier Observasjon Vurdering Knyttet til PRO ble det observert: Det stilles krav til passordkompleksistet i samsvar med Normen for vanlige brukere. For administratorkontoer er lengdekravet 7 tegn. Det er implementert funksjonalitet for periodisk bytte av passord. Det ble observert flere kontoer hvor tidspunkt for sist bytte av passord ikke var satt. Dette ble tilskrevet en feil i en tidligere versjon av programmet. Når det gjelder passordfunksjonaliteten i PRO bør det undersøkes hvorfor det for flere brukere ikke har satt sist dato for bytte av passord og det bør sikres at funksjonaliteten gjelder alle brukere dersom den skal være til stede i systemet. For PRO bør det vurderes om lengdekravet for passord bør endres slik at dette er i samsvar med krav i Normen og tilhørende faktaark Pasientreiser skal ha etablert prosesser for å sikre at autorisert bruk, og forsøk på uautorisert bruk av informasjonssystemene registres i henhold til krav i Personopplysningsloven med forskrift og Norm for informasjonssikkerhet i For NISSY gjorde revisjonen følgende observasjoner: Det er etablert roller i systemet som begrenser hva brukeren autoriseres til Passord skal være mellom 5 og 10 tegn Det er ikke lagt opp funksjonalitet for å ta ut lister over hvem som har tilgang til systemet Internrevisjonen er ikke blitt forevist aktiviteter eller dokumentasjon som viser at slik kontroll blir utført. Av de personer internrevisjonen intervjuet var det også knyttet stor usikkerhet til ansvaret for å konfigurere, overvåke og analysere slike Dette vurderes som et brudd på kravene i Personopplysningsloven og Normen at Pasientreiser ikke har etablert prosess for å sikre at autoriserte bruk, og forsøk på uautorisert bruk Revisjonsrapport Internrevisjonen Side 19 av 25

20 Nr. Kriterier Observasjon Vurdering helsesektoren. hendelser. avinformasjonssystemene logges Pasientreiser skal ha en prosess som sikrer at det foretas sikkerhetskopiering av programvare og data. Sikkerhetskopi skal overvåkes og testes Pasientreiser har etablert en prosess som pålegger alle ansatte taushetsplikt. Norsk Helsenett har som driftsleverandør ansvar for å overvåke sikkerhetslogger i sentral infrastruktur, men gjennomfører ikke noen gjennomgang av applikasjonslogger for PRO og NISSY. Ansvaret for sikkerhetskopiering er tillagt Norsk Helsenett gjennom driftskontrakten. Denne spesifiserer at det skal tas sikkerhetskopi, men definerer ikke frekvens, hvor lenge den skal lagres eller prosedyrer for test. osv. Pasientreiser har ikke prosedyrer for å teste at sikkerhetskopi fungerer og henviser til Norsk Helsenett. Undersøkelser internrevisjonen har gjort viser at Norsk Helsenett ikke gjennomfører test av sikkerhetskopi. internrevisjonen observerer også at sikkerhetskopi har vært kopiert tilbake i forbindelse med en hendelse. Pasientreiser har internt hos pasientreiser innført en on boarding prosess som sikrer at den ansatte gjøres kjent med taushetsplikt og sikkerhetsinstrukser. Pasientreiser må utarbeide en beskrivelse av hvordan kravet om registrering av autorisert bruk og forsøk på uautorisert bruk gjøres og hvem som har ansvar for å gjennomgå og analysere logger. Pasientreiser har etablert nødvendige prosesser for at sikkerhetskopi blir utført, men en mangler prosesser for å teste at sikkerhetskopi faktisk fungerer. Manglende test av sikkerhetskopi medfører risiko for at sikkerhetskopi ikke fungerer ved behov. Internrevisjonen anbefaler at det etableres en prosess for å regelmessig teste sikkerhetskopi gjennom f.eks. å gjøre gjenoppretting tilbake til Pasientreiser sitt testmiljø. Arbeidet bør dokumenteres. Prosessen vurderes som dekkende i forhold til krav i Normen og personopplysningsforskriften. Revisjonsrapport Internrevisjonen Side 20 av 25

21 Nr. Kriterier Observasjon Vurdering Pasientreiser skal ha etablert tiltak som hindrer fysisk adgang til driftsmiljøet for NISSY og PRO Pasientreiser skal ha skriftlig avtale med evt. databehandlere. Avtalen skal omfatte ansvars og myndighetsforhold knyttet til informasjonssikkerhet Pasientreiser skal ha dokumentert rutiner og sikkerhetstiltak. Dokumentasjonen skal oppbevares i fem år etter at de oppdateres. Systemlogger skal lagres i minimum tre måneder. Norsk Helsenett har etablert tekniske og fysiske sikringstiltak for å sikre driftsmiljøene. Fysisk sikkerhet inngår som en del av Norsk Helsenett sitt styringssystem for informasjonssikkerhet. Internrevisjonen har ikke verifisert etterlevelse av dokumentasjon mottatt fra Norsk Helsenett. Pasientreiser har etablert dekkende databehandleravtaler med de ulike Helseforetakene. Det er imidlertid ikke etablert slike avtaler med Norsk Helsenett. Enkelte sikkerhetskrav er dekket gjennom Norm for informasjonssikkerhet i helsesektoren, men Normen regulerer ikke Norsk Helsenett bruk og hvilke tjenester som skal ytes. Pasientreiser har etablert en dokument mal og en intern rutine for hvordan dokumenter skal utformes, merkes og godkjennes. Når dokumenter er utdatert legges de over på en filstruktur hvor gamle versjoner av dokumentasjonen oppbevares. Malen inneholder: Angivelse av at dette er internkontrolldokumentasjon Designet av de tekniske og fysiske sikringstiltakene som beskrevet i korrespondanse med Norsk Helsenett vurderes av Internrevisjonen som dekkende i forhold til regelverkskrav. Manglende databehandleravtaler med driftsleverandørene er brudd på krav i Normen og i personopplysningsloven. Pasientreiser må derfor gjennomgå avtaleverket med sine leverandører og sikre at avtalene er dekkende. Oppbevaringen av dokumentasjon knyttet til systemlogger og internkontroll og informasjonssikkerhet vurderes som dekkende i forhold til lovkravet. Revisjonsrapport Internrevisjonen Side 21 av 25

22 Nr. Kriterier Observasjon Vurdering Årsaks og konsekvensvurderinger Dokumentnavn Datering og versjonsnummer Dokumentansvarlig Pasientreiser har ikke selv oversikt over hvor og hvordan systemlogger oppbevares, men Internrevisjonens undersøkelser viser at dette gjennomføres av Norsk Helsenett. Tekniske og avtalemessige forhold har Pasientreiser arvet fra tidligere systemeier og fokuset til Pasientreiser det siste året har vært å etablere kontroller og mekanismer for oppfølging av sitt databehandleransvar overfor pasientreisekontorene som er brukere av systemene. Ved gjennomføring av risikovurdering har Pasientreiser i hovedsak hatt fokus på interne forhold fremfor personvern. Manglende databehandleravtale og risikovurderinger medfører at Pasientreiser ikke utøver sitt databehandleransvar fult ut og bryter sentrale krav i Personopplysningsloven med forskrift. Konklusjoner Anbefalinger Det er observert feil i intern styring og kontroll i prosessen som er kartlagt. Det bør settes i verk tiltak. Internrevisjonen anbefaler at Pasientreiser iverksetter følgende tiltak for å forbedre prosess for informasjonssikkerhet: Det bør etablere databehandleravtaler med drift og programvareleverandører som har tilgang til systemene Det bør oppdatere risikovurdering til også å omhandle vurderinger av risikoer knyttet til enkeltmenneskers personvern Det bør etablere mekanismer for oppfølging og sikkerhetsrevisjon i egen organisasjon, drifts og programvareleverandører Det bør avklare ansvarsforhold for tekniske sikringstiltak mellom Pasientreiser og deres drift og programvareleverandører Revisjonsrapport Internrevisjonen Side 22 av 25

23 7. Vedlegg 7.1 Informasjonsgrunnlag I forkant av revisjonen mottok internrevisjonen et svært omfattende dokumentasjonsunderlag. Under er de viktigste dokumentene som er benyttet for å underbygge de konklusjoner som er trukket i rapporten gjengitt. Dok nr Beskrivelse Mottatt Gjennomgått Kommentar 1 Strategiplan pasientreiser X X 2 Investeringsanalyse optisk lesing OCR X X 3 Prosess for funksjonelle endringer NISSY PRO X X 4 Sak 1102a Risikovurdering oppdatert etter ledermøte X X 5 Sak Virksomhetsrapportering X X 6 Notat Nissy X X 7 Rapport Nissy v endelig X X 8 Systemdokumentasjon pasienttransport X X 9 Driftskontrakter med Norsk Helsenett X X 10 Vedlikeholdsavtaler med Acando og Locus X X 11 Brev fra revisor knyttet til eierskap PRO og NISSY X X 12 IKT handlingsplan overordnet presentasjon X X 13 IKT handlingsplan excel ark X X 14 Rollebeskrivelser Systemeier, løsningsarkitekt, områdeansvarlig X X 15 Akseptansetest NISSY X X 16 Acando test rapport X X 17 AD møte reorganisering X X 18 Endringsråd PRO X X 19 Gjennomføre funksjonell test Locus X X 20 Gjennomføre test Locus X X driftsforum.xls X X Revisjonsrapport Internrevisjonen Side 23 av 25

24 Dok nr Beskrivelse Mottatt Gjennomgått Kommentar 22 Prosessbeskrivelse release management (utkast) X X 23 Prosessbeksrivelse (dette med valg og prioritering av utvikling) X X 24 Styringssystem for sikkerhet Norsk Helsenett X X 25 Prosedyre for drift Beredskap Norsk Helsenett X X 26 Eksempler på logging Norsk Helsenett X X 7.2 Gjennomførte intervjuer Dato Navn/rolle Gjennomført Dokumentert Kommentar Eirik Andersen, Øystein Næss, Hilde Holt, Ole Magne Johnsen X X og Per Monstad Halvorsen Ole Magne Johnsen tidligere IT Leder; Introduksjonsmøte X X Ole Magne Johnsen, Kjersti Odden Christensen, Vetle Lunde Åltvedt, Stian Larsen, David Låås, Ove Angelshaug. X X Gruppemøte vedrørende informasjonssikkerhet Kjetil Dahl X X Kjersti Odden Christensen Systemeier PRO; organisering, X X forvaltning, leverandøroppfølging med mer Vetle Lunde Aaltvedt Systemeier NISSY; X X Øystein Næss Økonomisjef X X Alf Olav Uldal Controller X X På telefon Lars Jakobsen Norsk Helsenett X X Pr. e post og telefon Revisjonsrapport Internrevisjonen Side 24 av 25

25 7.3 Saksgang Dato Aktivitet Oppstartsmøte Uke Gjennomføring Behandling av rapportutkast Oversendelse av endelig rapport for besvarelse og rapportbehandling Styrebehandling 7.4 Informasjonsgrunnlag, saksgang og rapportering Uke Uke Uke 17 Uke Uke Uke Uke Uke 21 Aktivitet Planlegging av revisjon og oppstart Innledende risikoanalyse Vurdering av design Vurdering av etterlevelse og effektivitet Utarbeide og overlevere utkast til rapport Svar fra risikoeier Endelig rapport foreligger Revisjonsrapport Internrevisjonen Side 25 av 25

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

Helseforetakenes senter for pasientreiser ANS 1/2016

Helseforetakenes senter for pasientreiser ANS 1/2016 Helseforetakenes senter for pasientreiser ANS 1/2016 RAPPORT Oppfølging av revisjoner som ble gjennomført i 2013-14 Revisjonsrapport 1/2016 Internrevisjon Side 1 av 13 Tidsrom for revisjonen Mai-juni 2016

Detaljer

Helseforetakenes senter for Pasientreiser ANS 2/2014

Helseforetakenes senter for Pasientreiser ANS 2/2014 Helseforetakenes senter for Pasientreiser ANS 2/2014 Rapport - Revisjon av Intern styring og kontroll i tilgangsstyring og endringshåndtering i ITsystemet NISSY Endelig Revisjonsrapport 2/2014 Internrevisjonen

Detaljer

Årsrapport 2011 Internrevisjon Pasientreiser ANS

Årsrapport 2011 Internrevisjon Pasientreiser ANS Årsrapport 2011 Internrevisjon Innhold Internrevisjon... 1 1. Innledning... 3 2. Revisjon av systemforvaltning... 4 Formål og omfang... 4 Tidsrom for gjennomføring og ressursbruk... 4 Funn og anbefalinger...

Detaljer

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF MalemaL Liv: UTK Rapport 4/2015 Revisjon av Sykehusapotekene HF Konsernrevisjonen Helse Sør-Øst 27.03.2015 Rapport nr. 4/2015 Revisjonsperiode Desember 2014 til mars 2015 Virksomhet Sykehusapotekene HF

Detaljer

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Årsrapport 2014 Internrevisjon Pasientreiser ANS Årsrapport 2014 Internrevisjon Innhold Internrevisjon... 1 1. Innledning... 3 2. Revisjonsoppdrag... 4 2.1 Miljøsertifisering etter standarden ISO 14001 om nødvendige dokumenter og prosesser er implementert

Detaljer

Helseforetakenes senter for pasientreiser ANS

Helseforetakenes senter for pasientreiser ANS Helseforetakenes senter for pasientreiser ANS 2/2013 Rapport - Oppfølging av tidligere gjennomførte revisjoner Revisjonsrapport Internrevisjonen Side 1 av 44 Tidsrom for revisjonen 21.11.2013 18.01.2014

Detaljer

Oppfølgingsansvar iht internrevisjonen. Tiltak nr i rapport 1/2013. Internrevisjonens anbefaling

Oppfølgingsansvar iht internrevisjonen. Tiltak nr i rapport 1/2013. Internrevisjonens anbefaling Handlingsplan for oppfølging av internrevisjonens anbefalinger i rapport om Revisjon av tverrgående prosesser mellom helseforetak som har pasientreisekontor og. Tiltak nr i rapport 1/2013 Internrevisjonens

Detaljer

Styret Helseforetakenes senter for pasientreiser ANS 27/10/11

Styret Helseforetakenes senter for pasientreiser ANS 27/10/11 Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 27/10/11 SAK NR 053-2011 Erfaringer og endelig oppsummering av internkontroll ved pasientreisekontorene

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 23/01/2014 SAK NR 05-2014 Resultater av gjennomgang internkontroll 2. halvår 2013 og plan for gjennomgang

Detaljer

Helseforetakenes senter for pasientreiser ANS 2/2015

Helseforetakenes senter for pasientreiser ANS 2/2015 Helseforetakenes senter for pasientreiser ANS 2/2015 Revisjon av intern styring og kontroll knyttet til gjennomføring av prosjekt Samkjøring og alternativ bestillerløsning, samt utvalgte områder for prosjektet

Detaljer

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Forvaltningsrevisjon IKT sikkerhet og drift 2017 Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD

Detaljer

Rapport Revisjon forskning Revmatismesykehuset AS

Rapport Revisjon forskning Revmatismesykehuset AS Rapport Revisjon forskning Revmatismesykehuset AS Internrevisjonen Helse Øst 10.01.2007 Rapport nr. 21-2006 Revisjonsperiode August-oktober 2006 Virksomhet Rapportmottaker Kopi Rapportavsender Oppdragsgiver

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang

Detaljer

Gode og likeverdige tjenester til pasientene og kostnadseffektivisering for helseforetakene. Strategiplan Pasientreiser ANS

Gode og likeverdige tjenester til pasientene og kostnadseffektivisering for helseforetakene. Strategiplan Pasientreiser ANS Gode og likeverdige tjenester til pasientene og kostnadseffektivisering for helseforetakene Strategiplan Pasientreiser ANS 2011-2013 Pasientreiser ANS har i 2010 videreutviklet sin rolle som en nasjonal

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 10/03/14

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 10/03/14 Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/03/14 SAK NR 13-2014 Godkjenning av protokoll fra styremøtene 23.01.14 og 13.02.14 Forslag til vedtak:

Detaljer

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak Saksframlegg Referanse Saksgang: Styre Møtedato Styret Pasientreiser HF 13/09/2017 SAK NR 23-2017 Behandling av personopplysninger - oppfølging av styresak 05-2017 Forslag til vedtak: 1. Styret tar redegjørelsen

Detaljer

Gode og likeverdige tjenester til pasientene og kostnadseffektivisering for helseforetakene. Strategiplan Pasientreiser ANS

Gode og likeverdige tjenester til pasientene og kostnadseffektivisering for helseforetakene. Strategiplan Pasientreiser ANS Gode og likeverdige tjenester til pasientene og kostnadseffektivisering for helseforetakene Strategiplan Pasientreiser ANS 2011-2013 Pasientreiser ANS har i 2010 videreutviklet sin rolle som en nasjonal

Detaljer

Årsrapport 2016 Internrevisjon Helseforetakenes senter for pasientreiser ANS

Årsrapport 2016 Internrevisjon Helseforetakenes senter for pasientreiser ANS Årsrapport 2016 Internrevisjon Helseforetakenes senter for pasientreiser ANS Innhold 1. Innledning... 3 2. Revisjonsoppdrag... 4 2.1. Oppfølging av revisjoner som ble gjennomført i 2013-14... 4 Formål

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Forslag til oppfølgingsansvar

Forslag til oppfølgingsansvar Innspill til oppfølging av internrevisjonens anbefalinger i rapport om Revisjon av tverrgående prosesser mellom helseforetak som har pasientreisekontor og Tiltak nr Internrevisjonens anbefaling Oppfølgingsansvar

Detaljer

Utfordring, tiltak og status:

Utfordring, tiltak og status: Utfordring, tiltak og status: Organisasjon, bemanning og kompetanse Komplisert og tidkrevende for systemeierskap å få et helhetlig bilde av både utfordringer og ansvarsområde, spesielt i forhold til NISSY.

Detaljer

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016 Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016 SAK NR 53-2016 Halvårlig risikovurdering, Helseforetakenes senter for pasientreiser ANS per

Detaljer

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 31/10/16. SAK NR Godkjenning av protokoll fra styremøtet

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 31/10/16. SAK NR Godkjenning av protokoll fra styremøtet Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 31/10/16 SAK NR 51-2016 Godkjenning av protokoll fra styremøtet 15.09.16 Forslag til vedtak: Styret

Detaljer

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Innhold 1. Internrevisjonens formål... 3 2. Organisering, ansvar og myndighet... 3 3. Oppgaver... 3

Detaljer

Årsrapport 2012 Internrevisjon Pasientreiser ANS

Årsrapport 2012 Internrevisjon Pasientreiser ANS Årsrapport 2012 Internrevisjon Innhold Internrevisjon... 1 1. Innledning... 3 2. Revisjonsoppdrag... 4 2.1 Revisjon av virksomhetsstyring, intern styring og kontroll del 1... 4 2.2 Revisjon av virksomhetsstyring,

Detaljer

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen Prosess for behandling av informasjonssikkerhetsmessige Side 1 av 6 Versjon 1.0 Prosess for behandling av informasjonssikkerhetsmessige Endringslogg: Versjon Dato Kapittel Beskrivelse av endring Utført

Detaljer

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 21/09/2011. SAK NR 043-2011 Godkjenning av protokoll fra styremøtet 15.06.

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 21/09/2011. SAK NR 043-2011 Godkjenning av protokoll fra styremøtet 15.06. Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 21/09/2011 SAK NR 043-2011 Godkjenning av protokoll fra styremøtet 15.06.11 Forslag til vedtak: Styret

Detaljer

Pasientreiser 1/2014. Rapport Revisjon av miljøstyringssystemet. Revisjonsrapport Internrevisjonen Side 1 av 15

Pasientreiser 1/2014. Rapport Revisjon av miljøstyringssystemet. Revisjonsrapport Internrevisjonen Side 1 av 15 Pasientreiser 1/2014 Rapport Revisjon av miljøstyringssystemet Revisjonsrapport Internrevisjonen Side 1 av 15 Rapport nr 1/2014 Tidsrom for revisjonen 22.01.2014-25.02.2014 Virksomhet Helseforetakenes

Detaljer

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Avdelingsdirektør Ryno Andersen, mars 2016 Plan for innlegget Kort presentasjon Kort om Riksrevisjonen Erfaringer fra sikkerhetsrevisjoner 2 Om Riksrevisjonen

Detaljer

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Instruks (utkast) for Internrevisjonen Helse Sør-Øst Instruks (utkast) for Internrevisjonen Helse Sør-Øst Fastsatt av Kontrollkomiteen Helse Sør-Øst RHF xx.xx.2007 Innhold 1 Innledning... 3 2 Formål og omfang... 3 3 Organisering, ansvar og myndighet...3

Detaljer

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, Utkast instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 08.12.2010 Innhold 1 Internrevisjonens formål... 3 2 Organisering, ansvar og myndighet... 3 3 Oppgaver...

Detaljer

Akkumulert risikovurdering oktober 2015

Akkumulert risikovurdering oktober 2015 Akkumulert risikovurdering oktober 201 Sannsynlighet 1 Risiko for driftsstans i PRO og NISSY som følge av svakheter i løsning levert fra (6) Risiko for at Mine pasientreiser blir levert forsinket med redusert

Detaljer

Møteprotokoll for styret i Helseforetakenes senter for pasientreiser ANS

Møteprotokoll for styret i Helseforetakenes senter for pasientreiser ANS Møteprotokoll for styret i Helseforetakenes senter for pasientreiser ANS Styre Møtedato 11.04.11 Møtested Tid: Styreleder Referent Helseforetakenes senter for pasientreiser ANS Helse Vest, RHF, Stavanger

Detaljer

Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt.

Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt. Status og oppfølging av styrevedtak t.o.m. 22.01. Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt. Saksnr. Sakstittel Vedtak

Detaljer

Avvikshåndtering og egenkontroll

Avvikshåndtering og egenkontroll Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 16/01/13

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 16/01/13 Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 16/01/13 SAK NR 04-2013 Årlig melding 2012 Forslag til vedtak: 1. Årlig melding 2012 for Pasientreiser

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 23/01/2014 SAK NR 09-2014 Nærmere vurdering av utfordringer og tiltak i tilknytning til støttesystemer

Detaljer

Styresak 45-2015 Oppfølging av Internrevisjonsrapport 01/2013:

Styresak 45-2015 Oppfølging av Internrevisjonsrapport 01/2013: Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Nils B. Normann, 75 51 29 00 Bodø, 17.4.2015 Styresak 45-2015 Oppfølging av Internrevisjonsrapport 01/2013: Revisjon av tverrgående prosesser

Detaljer

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 17/06/13

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 17/06/13 Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 17/06/13 SAK NR 30-2013 Godkjenning av protokoll fra styremøtene 18.04.13 og 30.04.13 Forslag til vedtak:

Detaljer

Status og oppfølging av styrevedtak t.o.m

Status og oppfølging av styrevedtak t.o.m Status og oppfølging av styrevedtak t.o.m. 30.09.2011 Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt. Saksnr. Sakstittel Vedtak

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Rapport fra gjennomgang av internkontroll 2. halvår 2014 og plan for

Rapport fra gjennomgang av internkontroll 2. halvår 2014 og plan for Status og av styrevedtak t.o.m. 10.06. Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt. Saksnr. Sakstittel Vedtak Status// 25-

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Databehandleravtale mellom. (Oppdragsgiver) Behandlingsansvarlig Kommunesektorens organisasjon (KS) som Databehandler Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes

Detaljer

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 25/03/15

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 25/03/15 Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 25/03/15 SAK NR 12-2015 Godkjenning av protokoll fra styremøtene 22.01.15 og 04.02.15 Forslag til vedtak:

Detaljer

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 10/06/15. SAK NR 30-2015 Godkjenning av protokoll fra styremøtene 23.04.

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 10/06/15. SAK NR 30-2015 Godkjenning av protokoll fra styremøtene 23.04. Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/15 SAK NR 30-2015 Godkjenning av protokoll fra styremøtene 23.04.15 Forslag til vedtak: Styret

Detaljer

3.1 Prosedyremal. Omfang

3.1 Prosedyremal. Omfang 3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Pasientreiser HF. Revisjon av kontrollstrategi for reiser uten rekvisisjon RAPPORT 1/2017. Endelig Revisjonsrapport 1/2017 Internrevisjon Side 1 av 15

Pasientreiser HF. Revisjon av kontrollstrategi for reiser uten rekvisisjon RAPPORT 1/2017. Endelig Revisjonsrapport 1/2017 Internrevisjon Side 1 av 15 Pasientreiser HF RAPPORT 1/2017 Revisjon av kontrollstrategi for reiser uten rekvisisjon Endelig Revisjonsrapport 1/2017 Internrevisjon Side 1 av 15 Tidsrom for revisjonen Oktober-desember 2017 Virksomhet

Detaljer

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 23/10/2013. SAK NR 47-2013 Virksomhetsrapportering pr 31.

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 23/10/2013. SAK NR 47-2013 Virksomhetsrapportering pr 31. Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 23/10/2013 SAK NR 47-2013 Virksomhetsrapportering pr 31.august 2013 Forslag til vedtak: Styret tar virksomhetsrapporteringen

Detaljer

Instruks for Konsernrevisjonen Helse Sør-Øst. Erstatter instruks av

Instruks for Konsernrevisjonen Helse Sør-Øst. Erstatter instruks av Instruks for Konsernrevisjonen Helse Sør-Øst Erstatter instruks av 26.02.2009 Fastsatt av styret i Helse Sør-Øst RHF 07.02.2012 Innhold 1 Konsernrevisjonens formål... 3 2 Organisering, ansvar og myndighet...

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Vedtatte tiltak/handlingspunkter i Pasientreiser ANS (sak nr 08/2014, 23. januar)

Vedtatte tiltak/handlingspunkter i Pasientreiser ANS (sak nr 08/2014, 23. januar) Oppfølging av internrevisjonens anbefalinger i rapport om Revisjon av tverrgående prosesser mellom helseforetak som har pasientreisekontor og, der er ansvarlig. Tiltak nr i rapport 1/2013 3 Kontroll enkeltoppgjør

Detaljer

Status og oppfølging av styrevedtak t.o.m

Status og oppfølging av styrevedtak t.o.m Status og oppfølging av styrevedtak t.o.m. 30.04.2012 Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt. Saksnr. Sakstittel Vedtak

Detaljer

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet Direktøren Styresak 69- Orienteringssak - Informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 05.06. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Fremdriftsplan Bakgrunn I

Detaljer

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon Workshop Måling av informasjonssikkerhet 30.10.2017 Internkontroll i praksis - informasjonssikkerhet Instrukser og rutiner

Detaljer

Instruks for konsernrevisjonen Helse Sør-Øst

Instruks for konsernrevisjonen Helse Sør-Øst Instruks for konsernrevisjonen Helse Sør-Øst Godkjent av revisjonskomiteen Helse Sør-Øst RHF 26.02.2009 Innhold 1 Konsernrevisjonens formål... 3 2 Organisering, ansvar og myndighet... 3 3 Oppgaver... 3

Detaljer

Saksframlegg. Styret Pasientreiser HF 30/10/2017. SAK NR Halvårlig risikovurdering, Pasientreiser HF per oktober 2017

Saksframlegg. Styret Pasientreiser HF 30/10/2017. SAK NR Halvårlig risikovurdering, Pasientreiser HF per oktober 2017 Saksframlegg Referanse Saksgang: Styre Møtedato Styret Pasientreiser HF 30/10/2017 SAK NR 31-2017 Halvårlig risikovurdering, Pasientreiser HF per oktober 2017 Forslag til vedtak: 1. Styret tar fremlagte

Detaljer

Revisjonsplan 2012 Internrevisjon Pasientreiser ANS

Revisjonsplan 2012 Internrevisjon Pasientreiser ANS Revisjonsplan Internrevisjon Innhold 1 Innledning... 3 2 Rammer for internrevisjonens virksomhet... 3 2.1 Formål og oppgaver... 3 2.1.1 Bekreftelse av intern kontroll og risikostyring... 3 2.1.2 Rådgivningsoppgaver...

Detaljer

Hvilke risikoer er vurdert?

Hvilke risikoer er vurdert? Hvilke risikoer er vurdert? Sikkerhet : Risiko for uautorisert tilgang til personopplysninger som følge av mangelfull fysisk adgangskontroll : Risiko for uautorisert tilgang til personopplysninger som

Detaljer

Styret Helseforetakenes senter for pasientreiser ANS 15/06/11

Styret Helseforetakenes senter for pasientreiser ANS 15/06/11 Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 15/06/11 SAK NR 040-2011 Rapport fra gjennomgang av internkontrollen ved pasientreisekontorene 1. halvår

Detaljer

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 21/10/15

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 21/10/15 Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 21/10/15 SAK NR 51-2015 Godkjenning av protokoll fra styremøtene 28.08.15 og 25.09.15 Forslag til vedtak:

Detaljer

Det bør vurderes fastsatt et entydig mål for saksbehandlingstid i enkeltoppgjør og etableres tiltak for å

Det bør vurderes fastsatt et entydig mål for saksbehandlingstid i enkeltoppgjør og etableres tiltak for å Revisjon av tverrgående prosesser mellom helseforetak som har pasientreisekontor og Pasientreiser ANS Rapport 3/2013 - Oversikt over revisjonsfunn (oppsummert nasjonalt) og anbefalinger Nr Revisjonsfunn

Detaljer

Helseforetakenes senter for Pasientreiser ANS 1/2015

Helseforetakenes senter for Pasientreiser ANS 1/2015 Helseforetakenes senter for Pasientreiser ANS 1/2015 Rapport - Revisjon av intern styring og kontroll som integrert del av virksomhetsstyringen Revisjonsrapport 1/2015 Internrevisjon Side 1 av 20 Tidsrom

Detaljer

Personvern - sjekkliste for databehandleravtale

Personvern - sjekkliste for databehandleravtale ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Databehandleravtale. Kommunenes Sentralforbund - Databehandler U % 4)) Databehandleravtale mellom Kvinnherad kommune -Behandlingsansvarleg og Kommunenes Sentralforbund - Databehandler 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes rettigheter

Detaljer

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 26/01/17

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 26/01/17 Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 26/01/17 SAK NR 03-2017 Årlig melding 2016 Forslag til vedtak: 1. På grunnlag av den samlede rapportering

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 mellom Utdanningsdirektoratet direktoratet for barnehage, grunnopplæring og IKT Organisasjonsnummer:

Detaljer

Styret Helseforetakenes senter for pasientreiser ANS 18/01/12

Styret Helseforetakenes senter for pasientreiser ANS 18/01/12 Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 18/01/12 SAK NR 06-2012 Årlig melding 2011 Forslag til vedtak: 1. Årlig melding 2011 for Pasientreiser

Detaljer

Styret Helseforetakenes senter for pasientreiser ANS 08/12/10. SAK NR 072-2010 Gjennomgang av internkontrollen ved pasientreisekontorer 2.

Styret Helseforetakenes senter for pasientreiser ANS 08/12/10. SAK NR 072-2010 Gjennomgang av internkontrollen ved pasientreisekontorer 2. Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 08/12/10 SAK NR 072-2010 Gjennomgang av internkontrollen ved pasientreisekontorer 2. halvår 2010 Forslag

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 11/12/13. SAK NR 55-2013 Godkjenning av protokoll fra styremøtet 23.10.

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 11/12/13. SAK NR 55-2013 Godkjenning av protokoll fra styremøtet 23.10. Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 11/12/13 SAK NR 55-2013 Godkjenning av protokoll fra styremøtet 23.10.13 Forslag til vedtak: Styret

Detaljer

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer Mottaker: Kunnskapsdepartementet Revisjonen er en del av Riksrevisjonens kontroll av disposisjoner i henhold til lov om Riksrevisjonen

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Rapport Revisjon ledelsens gjennomgåelse risikovurdering Ullevål universitetssykehus HF

Rapport Revisjon ledelsens gjennomgåelse risikovurdering Ullevål universitetssykehus HF Rapport Revisjon ledelsens gjennomgåelse risikovurdering Ullevål universitetssykehus HF Internrevisjonen Helse Øst 2.3.2007 Rapport nr. 28-2006 Revisjonsperiode November desember 2006 (utsatt til 25.1.2007)

Detaljer

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 18/04/13. SAK NR 21-2013 Godkjenning av protokoll fra styremøtet 04.03.

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 18/04/13. SAK NR 21-2013 Godkjenning av protokoll fra styremøtet 04.03. Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 18/04/13 SAK NR 21-2013 Godkjenning av protokoll fra styremøtet 04.03.13 Forslag til vedtak: Styret

Detaljer

Noen aktuelle tema for personvernombud i finans

Noen aktuelle tema for personvernombud i finans Noen aktuelle tema for personvernombud i finans 31.01.2019 HVEM I ALLE DAGER SKAL (VIL?) VÆRE PERSONVERNOMBUD? Uavhengig rolle Kompetent på juss it - sektor Ikke den som bestemmer eller gir råd om prioriteringer

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 12/12/12 SAK NR 52-2012 Godkjenning av protokoll fra styremøtet 24.10.12 Forslag til vedtak: Styret

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Revisjon av informasjonssikkerhet

Revisjon av informasjonssikkerhet Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Styret Helseforetakenes senter for pasientreiser ANS 28/02/2011

Styret Helseforetakenes senter for pasientreiser ANS 28/02/2011 Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 28/02/2011 SAK NR 009-2011 Virksomhetsrapportering pr 31.01.2011 Forslag til vedtak: 1. Styret tar virksomhetsrapporteringen

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 23/01/14 SAK NR 01-201 Godkjenning av protokoll fra styremøtet 11.12.13 Forslag til vedtak: Styret godkjenner

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale. Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom.. (barnehagen) og MyKid AS. (databehandler) 1. Avtalens hensikt

Detaljer

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 15/09/16

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 15/09/16 Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 15/09/16 SAK NR 43-2016 Godkjenning av protokoll fra styremøtene 09.06.16 og 11.07.16 Forslag til vedtak:

Detaljer

Saksframlegg SAK NR Virksomhetsrapportering pr Forslag til vedtak:

Saksframlegg SAK NR Virksomhetsrapportering pr Forslag til vedtak: Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 11/04/2011 SAK NR 021-2011 Virksomhetsrapportering pr 28.02.2011 Forslag til vedtak: 1. Styret tar virksomhetsrapporteringen

Detaljer

Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette.

Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette. 1. Oppbevaring av regnskapsmateriell og oppdragsdokumentasjon 2. Bransjekompetanse Driftsleverandør bekrefter at regnskapsopplysninger knyttet til regnskapsførervirksomhetens kunder, og som oppbevares

Detaljer

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter

Detaljer

Saksframlegg. Styret Pasientreiser HF 30/10/2017. SAK NR Godkjenning av protokoll fra styremøte i Pasientreiser HF

Saksframlegg. Styret Pasientreiser HF 30/10/2017. SAK NR Godkjenning av protokoll fra styremøte i Pasientreiser HF Saksframlegg Referanse Saksgang: Styre Møtedato Styret Pasientreiser HF 30/10/2017 SAK NR 29-2017 Godkjenning av protokoll fra styremøte i Pasientreiser HF 13.09.17 Forslag til vedtak: Protokollen fra

Detaljer

Styret Helseforetakenes senter for pasientreiser ANS 15/06/11. Styret godkjenner protokollene fra styremøtet og telefonstyremøtet

Styret Helseforetakenes senter for pasientreiser ANS 15/06/11. Styret godkjenner protokollene fra styremøtet og telefonstyremøtet Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 15/06/11 SAK NR 033-2011 Godkjenning av protokoller fra styremøter 11.04.11 og 06.05.11 Forslag til

Detaljer

Akkumulert risikovurdering oktober 2017

Akkumulert risikovurdering oktober 2017 Akkumulert risikovurdering oktober 2017 1 2 3 4 4 3 driftsstans i fagsystemene som følge av svakheter i løsning levert fra NHN (9) manglende gevinstrealisering av prosjekter (3) manglende etterlevelse

Detaljer

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER (HERETTER OMTALT SOM «AVTALEN») Databehandleravtale for drift

Detaljer

Styret Helseforetakenes senter for pasientreiser ANS 23/10/13

Styret Helseforetakenes senter for pasientreiser ANS 23/10/13 Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 23/10/13 SAK NR 50-2013 Anskaffelse av portalløsning for styringsinformasjon Forslag til vedtak: 1.

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 8 Versjon: 5.0 Dato: 21.11.2018 Formål Ansvar Gjennomføring Omfang Målgruppe Dette

Detaljer