Diplomoppgave Noroff Den Digitale Pasient. Farene på ferden

Størrelse: px
Begynne med side:

Download "Diplomoppgave Noroff 2008. Den Digitale Pasient. Farene på ferden"

Transkript

1 Diplomoppgave Noroff 2008 Den Digitale Pasient Farene på ferden Christian Langstrand, /2008

2 Forord Denne rapport er skrevet som avsluttende oppgave for DSE Webstudent Tema valgt omhandler IKT-Helse Norge med vinkling mot menneskets rolle i sikkerheten. Målet med oppgaven er å opplyse og gjennomgå den elektroniske pasientkommunikasjonen i IKT-Helse Norge på et praktisk nivå, samt å gi innsikt i hvor viktig det menneskelige aspektet i dette er. Rapporten består av totalt tre deler, IT-Helse struktur som vil ta for seg linjeleveransen som leger bruker for utveksling av pasientinformasjon samt teknisk informasjon; Legekontor som vil forklare hvordan det kommuniseres utad samt forklare om lover som legepraksis må forholde seg til og aspekter rundt det menneskelige og til sist en konklusjon samt måter å minimere det menneskelige aspektet som kreves rundt bruk av elektroniske pasientmeldinger. Rapporten er skrevet av Christian Langstrand. Ved kontakt kan e-post sendes til Kildehenvisninger er merket med romertall til høyre for ordet i setningen. I noen tilfeller skrives kilde URL i parentes. Den Digitale Pasient Farene på ferden Christian Langstrand 2 av 43

3 Ord definisjoner Ord NHN VPN RSA Citrix EDI Legekontor Legepraksis Pasientmeldinger Institusjon 3DES Trygd-helse Henvisning III Epikrise IV PKI Risikoanalyse Forklaring Norsk Helsenett - linjeleverandør Virtual Private Networking, en teknisk løsning som gjør at man kan koble seg opp til et eksternt nettverk på samme måte Et kryptosystem oppkalt etter oppfinnerne: Ron Rivest, Adi Shamir og Leonard Adleman. Publisert i 1977 og det første offentlig kjente systemet som tifredsstiller kravet til kryptering med offentlig nøkkel. Utbredt oppkoblingsmetode hvor en maskin henter skjermbildet fra en sentral server. All informasjon er da lagret på serveren. Electronic Data Interchange, bruk av datamaskiner til å sende/motta dokumenter mellom firma. En offentlig registrert bedrift som utfører legetjenester I Se Legekontor EDI meldinger som omhandler pasienter. Se EDI Tjenesteleverandør til legekontor etc. f. eks et laboratorie eller et røntgeninstitutt Krypterings standard kalt Tripple Data Encryption Standard II Norges første statlig samordnet kommunikasjonslinje for elektroniske pasientmeldinger. En melding til tjenesteytende avdeling/institusjon. En henvisning kan inneholde mye irrelevant sensitiv informasjon som kan spres ved elektronisk utsending En skriftlig oppsummering av en sykdomsstatus, sykdommens årsak, utvikling, behandling og plan for videre behandling. Public Key Infrastructure. Brukes pr. i dag av legekontor til signering av sykemeldinger, legeerklæringer og oppgjørsmeldinger. En formalisert metodikk for å beregne konsekvensen av fremtidige hendelser. Databehandlingsansvarlig Personen som juridisk bestemmer formålet med behandlingen av personopplysninger/helseopplysninger og hvilke hjelpemidler som skal brukes. Databehandler Den som behandler personopplysninger/helseopplysninger på vegne av den databehandlingsansvarlige RDP Remote Desktop Protocol V, en innebygd fjernkontrolls funksjon i operativsystemet Microsoft Windows Den Digitale Pasient Farene på ferden Christian Langstrand 3 av 43

4 Innholdsfortegnelse Forord... 2 Ord definisjoner... 3 Sammendrag... 5 IT-helse Norge... 6 Historikk... 6 Norsk Helsenett (NHN)... 8 Dagens IT helse struktur... 9 Fordeler / Ulemper Oppetider / Nedetider Legekontor Lover og regler Norm for informasjonssikkerhet Personopplysningsloven Helseregisterloven Journalforskriften Helsepersonell loven Sikkerhet Norsk Helsenett og Internett Risikoanalyse Spørreundersøkelse for Legekontor Konklusjon Forslag til risikobegrensning Infrastruktur Datasikkerhet Elektroniske pasientmeldinger Vedlegg Vedlegg 1: Korrespondanse med Norsk Helsenett Del Vedlegg 2: Korrespondanse med Norsk Helsenett Del Vedlegg 3: Teknisk oppsett - Spørreundersøkelse Vedlegg 3.1 Skjermbilder Vedlegg 4: Korrespondanse med Norsk Helsenett Del Kilder Fotnoter Den Digitale Pasient Farene på ferden Christian Langstrand 4 av 43

5 Sammendrag Over 90 % av Norges allmennlege kontor er tilkoblet Norsk Helsenett (Kilde: NHN Des `07) Det vil si at en pasient til behandling godt kan oppleve å få informasjon sendt over internett før/under/etter behandling. Det kommuniseres pr. i dag med svar fra laboratorier, henvisninger, epikriser, sykemeldinger/ legeerklæringer. Alle disse kan inneholde sensitive person opplysninger. En fellesnevner med meldingene er at de må sendes og behandles av flere mennesker på ferden, og for hvert ledd i denne reisen er faktoren for menneskelig svikt også tilstedeværende. Fra legekontorets ståsted må man først vurdere om det er behov for elektronisk pasientmelding, deretter generere meldingen med behandler sin signatur, og påse at meldingen faktisk er blitt sendt. Fra sykehus/ institusjon sitt ståsted må man først motta meldingen for å kunne behandle den og eventuelt sende informasjon om at melding er mottatt tilbake til legekontoret før prosessering og svar sendelse. I mellom disse ligger linjeleverandøren. Den Digitale Pasient Farene på ferden Christian Langstrand 5 av 43

6 IT-helse Norge Historikk Elektroniske pasientmeldinger i den norske helsesektoren ble etablert i slutten av 80-tallet hvor ekstern kommunikasjon foregikk over telefonlinjene med modem. Kort tid etter startet enkelte sykehus og institusjoner utviklingen av sine egne kommunikasjonsløsninger, og ved starten av 90-tallet var det mange forskjellige kommunikasjons løsninger i bruk. I tillegg til kommunikasjonsløsningene ble det brukt flere forskjellige meldingsformat under overføringen. Som et forsøk på å standardisere meldingsformatet ble det etter hvert etablert et statlig eid firma kalt KITH VI. Resultatet ble å utforme alle elektroniske meldinger etter den FN utviklede internasjonale standarden kalt EDIFACT VII. Som følge av EDIFACT standarden ble Helse & Sosial Departementet og Rikstrygdeverket (nå kalt NAV) enige om etablering av en nasjonal infrastruktur for EDI i helsesektoren, denne ble kalt Trygd-helse. De første kontoene kom mars 96 og ble driftet av Telenor ved Helse & Sosial Departementet sin regning. Dette var starten på IT-helse Norge sitt første landsdekkende helsenett. Fordelen med Trygd-helse var at man kunne nå alle med en telefonlinje, legekontor overalt i Norge kunne kommunisere på samme nivå som sykehusene og institusjonene, men problemet var innledende ustabile modem, telefonlinjer og hastigheten man oppnådde var ikke den raskeste selv om man på den tiden ikke trengte noe særlig mer for tekstbaserte meldinger. Datasikkerheten var fraværende og lite gjennomtenkt på denne tiden, i noen tilfeller var meldinger sendt ukryptert gjennom telefonlinjene. Under modem tiden var det ingen kryptering på selve linjen, skulle noe sikkerhet oppnås ville meldingen måtte bli kryptert før sending, og deretter de-kryptert etter henting. Modem var ikke aktivt annet en når man hentet/sendte meldinger, og det er viktig å nevne at legekontor ikke sendte meldinger ut på denne tiden men kun hadde mulighet for å hente fra sykehusene/ institusjonene. Det største samordnende prosjektet hvor overnevnte teknologi var brukt het RegNett Vest og ble utført i perioden Alle sykehus i vest Norge samt nesten 200 legekontor brukte da EDIFACT standard til meldingsformat samt Trygd-helse som kommunikasjonsløsning. Den Digitale Pasient Farene på ferden Christian Langstrand 6 av 43

7 Prosjektet oppnådde gode resultater og det ble utviklet en håndbok VIII for hvordan andre regioner kunne gjøre det samme, det skulle vise seg at få gjorde det samme. På samme tid rundt 1997 begynte planleggingen av en ny metode for kommunikasjon og et nytt meldingsformat som ville overta for EDIFACT og resultere i XML standarden. KITH VI, som presenterte disse forslagene var dog litt for raskt ute og derfor ble det bestemt at EDIFACT standarden skulle brukes fortsatt, og at XML løsningen ville overta gradvis og bli tatt i bruk på nye meldingstyper som ble utviklet. Med denne planleggingen ble det opprettet et prøveprosjekt kalt Hele Midtnorge, prosjektet ble stoppet rundt årtusen skiftet. Det måtte ennå to prosjekter til før den nye strukturen som gjelder pr. dags dato ble tatt i bruk. Innledende prosjekt var denne gangen startet av Helse Nord Norge som i 2001 jobbet med et nytt helsenett under navnet Nordnorsk helsenett. Teknologien baserte seg rundt fast bredbåndstilknytning og EDI kommunikasjon ved bruk av XML over SMTP/POP3 protokoller. Etter hvert kom de resterende regionene også over på samme teknologi. Sikkerhet og meldingsformater var også nå de samme, men prosjektene var preget av dårlig kommunikasjon og samarbeid mellom hverandres regioner. Situasjonen slik den var nå kunne forbedres, og i 2004 ble Norsk Helsnett stiftet for å samle alle regionene til en og samme løsning. Den Digitale Pasient Farene på ferden Christian Langstrand 7 av 43

8 Norsk Helsenett (NHN) Norsk Helsenett er nå Norges eneste samhandlingsleverandør. NHN ble stiftet i 2004 og eies av våre fire regionale helseforetak (Helse Sør-Øst, Helse Vest, Helse Midt-Norge og Helse Nord) Årsaken til stiftelsen var behovet for en organisasjon som legger til rette for bruk av bredbånds IT tjenester for helse Norge. Det tilbys i dag tjenester som EDI-pasientmeldings kommunikasjon, sikret e-post og internett tilgang, sikkerhetsoppdateringer for kunder i det lukkede nettet, videokonferanser og hjemmekontorløsninger for legekontorene. Antall allmennlegekontor i bredbåndsnettet (Kilde: NHN.no) Den Digitale Pasient Farene på ferden Christian Langstrand 8 av 43

9 Dagens IT helse struktur Diagrammet viser hvordan legekontor og sykehus/institusjoner kommuniserer med hverandre gjennom tjenesteyteren Norsk Helsenett. Legekontor får plassert ut hardware når det inngås avtale med Norsk Helsenett, utstyret eies av NHN under hele avtalen. Teknologien som brukes pr. dags dato går ut på å opprette en kryptert VPN tilkobling mot Norsk Helsenett. Utstyret som brukes er Cisco DMVPN IX rutere som termineres mot DMVPN Hubber ved Norsk Helsenett (ref. vedlegg1) Sykehus/ Institusjoner kommuniserer med partnere ved bruk av sitt eget utstyr, og gjennom linjeleverandøren Telenor Nordic Connect X. Sykehus/ Institusjoner må selv stå for kryptering. Den Digitale Pasient Farene på ferden Christian Langstrand 9 av 43

10 Fordeler / Ulemper Norsk Helsenett er nå eneste linjeleverandør for elektronisk pasient kommunikasjon til legekontorer som vil samhandle elektronisk. Generelt kan det å være i monopol stilling være negativt for kundene, da det ikke vil være konkurranse ved verken pris eller kundebehandling. Norsk Helsenett er en statlig instans som er pålagt strengere rutiner enn private bedrifter og dette bidrar til at en må legge sin tillitt i systemet IT-helse Norge slik det fremstår. Med Norsk Helsenett er det nå blitt en sentral administrasjon av EDI kommunikasjonen og dette bidrar til en mer overvåket og strukturert løsning for alle parter, i motsetning til hvordan det var tidligere med mange aktører på markedet. Fordelen med kun en samhandlende instans er ett sentralt sted for support, opplæring, informasjon og drift mot kundene. Dette gjør at en slipper å forholde seg til forskjellige aktører, som kunne ført til lengre prosesseringstider ved driftsstans eller feil i tjenesten. Oppetider / Nedetider Det har vist seg vanskelig å fremdrive en offentlig tjeneste med drifts status og nedetid logg ved Norsk Helsenett (Vedlegg 4), men en EDI leverandør med navn MediLink har en egen uoffisiell side for rapporterte nedetider siden 2006 til i dag XI. Mot legekontor har Norsk helsenett kun support fra kl 0800 til 1600, med utvidet telefonsupport til kl 20:00 som følge av hjemmekontor implementering for kunder og under andre prosjekter. Videre er det ingen vakttelefon for vanlige legekontor utenom åpningstider ved Norsk Helsenetts kontor. Enkelte legekontor har en ekstern løsning hvor alle pasientjournaler etc. er lagret ved en sentral server hos journalleverandøren. For disse kundene kobles legekontoret opp via en citrix løsning, og deretter mot norsk helsenett. Her gjelder da journal leverandørens egne driftsløsninger på både support og garantier. Den Digitale Pasient Farene på ferden Christian Langstrand 10 av 43

11 Legekontor Å drive en praksis i en tid hvor databehandling blir mer utbredt en noen sinne før krever nye regelverk og lover, i tillegg til en oppegående og ansvarsfull databehandlingsansvarlig. Deretter kreves riktig opplæring av alle ansatte ved legekontoret for å unngå menneskelig svikt ved en rekke arbeidsoppgaver. Lover og regler Med databehandling på legekontoret effektiviseres arbeidet rundt pasienter. Teknologien har gjort at det blir alt lettere å utføre sitt arbeid på legekontoret, men dette forhøyner sjansen for menneskelig svikt på veien. For å sikre rett bruk og opprette ansvarsfordeling blant brukere er det en rekke lover som et legekontor må følge. Det er opprettet en veiledning til rett informasjons sikkerhet kalt Norm for informasjonssikkerhet i helsesektoren XII, denne ble utgitt av Sosial- og helsedirektoratet i I tillegg er det også en rekke krav stilt i helseregisterloven, personopplysningsloven, journalforskriften og helsepersonell loven. For å opprettholde sikkerheten rundt databehandling finnes tilsynsmyndigheter som Datatilsynet og Helsetilsynet, disse er til for å kunne kontrollere at legekontor til enhver til følger gjeldende regelverk og lover. I tillegg skal det ved hvert legekontor gis en person stillingen databehandlingsansvarlig, i mange tilfeller er dette den daglige lederen ved kontoret. Innmeldingsprosessen starter ved å sende en melding/konsesjonssøknad til Datatilsynet, og tittelen innebærer ansvar i form av opprettholdelse av informasjonssikkerheten ved legekontoret. Den Digitale Pasient Farene på ferden Christian Langstrand 11 av 43

12 Norm for informasjonssikkerhet Under følger et uttrekk av oppgavene til databehandlings ansvarlig ved legekontoret: Kilde: Norm for informasjonssikkerhet i helsesektoren, omhandlende Personopplysningsforskriften XII Personopplysningsforskriftens kapittel 2: Dokumentere hvilke helse- og personopplysninger som behandles. Etablere sikkerhetsmål for virksomhetens behandlinger av helse- og personopplysninger, dokumentere disse og gjøre disse kjent i virksomheten. Fastslå formål med behandling av helse- og personopplysninger og utarbeide sikkerhetsstrategi, dokumentere disse og gjøre disse kjent i virksomheten. Legge overordnede føringer for bruk av informasjonsteknologi, dokumentere disse og gjøre disse kjent i virksomheten. Konfigurere informasjonssystemene slik at tilfredsstillende informasjonssikkerhet oppnås og dokumentere konfigurasjonen. Etablere nivå for akseptabel risiko. Besørge risikovurderinger gjennomført. Definere ansvaret for informasjonssikkerhet ved minimum å: - Dokumentere ansvar og oppgaver i et organisasjonskart. - Beskrive ansvar og oppgaver på alle nivåer. - Gjøre ansvarsforholdene kjent i organisasjonen. forts. neste side Den Digitale Pasient Farene på ferden Christian Langstrand 12 av 43

13 Etablere styringssystem for informasjonssikkerhet som bl.a. skal omfatte: - Prosedyrer for behandlinger av helse- og personopplysninger. - Rutiner for bruk av informasjonssystemene. - Rutiner for bruk av papirutskrifter. - Dokumentasjon av sikkerhetstiltak organisatoriske, fysiske og tekniske. - Rutiner for avvikshåndtering. - Rutiner ved bruk av databehandlere, leverandører av kommunikasjonstjenester, utstyr eller programvare og andre leverandører. Følge opp at sikkerheten ivaretas i virksomheten ved jevnlige sikkerhetsrevisjoner og minimum årlig ledelsesgjennomgang av bl.a. avvikshendelser, samt vedta eventuelle korreksjoner i styringssystemet m.m. Etablere prosedyre for godkjenning av alle konfigurasjonsendringer i informasjonssystemene. Personopplysningsforskriftens kapittel 3: Ivareta reglene om pasientenes rett til informasjon om og innsyn i, samt reglene om retting og sletting av registrerte helse- og personopplysninger. Etablere prosedyrer for innhenting av samtykke og oppfyllelse av evt. reservasjon mot visse former for behandling av helse- og personopplysninger. Besørge melding eller konsesjonssøknad til Datatilsynet. I tillegg har virksomhetens leder ansvar for at de behandlinger virksomheten foretar er lovlige. Disse regler tar for daglig drift av legekontoret og skal sette en standard når det kommer til sikkerhet. Det burde blant annet opprettes et filområde med administrativ dokumentasjon for legekontoret og gjøre disse kjent for de ansatte, disse områdene burde inneholde rutinedokumenter for hvordan vi utfører databehandling på en sikker måte. I tillegg skal datasikkerheten være samordnet og dokumentert ved legekontoret, det skal også utføres en risikoanalyse for å kunne være bedre forberedt ved et avvik. I tillegg til å beskrive hvordan sikkerheten skal ivaretas ved de ansatte og databehandling, er det også viktig å trekke inn eksterne IT firma i denne delen. En ekstern IT konsulent må etter loven være godkjent av databehandlingsansvarlig og være underlagt taushetserklæring før noen skal få befatning med personopplysninger ved legekontoret. Dette kan i en vanlig forekomst f. eks være at en IT konsulent blir leid inn for å installere en programvare ved legekontoret. Den Digitale Pasient Farene på ferden Christian Langstrand 13 av 43

14 Når det gjelder dokumentering må denne være formalisert og grundig slik at alle som har behov for å revidere får gjort dette på en enkel måte. Rutiner/prosedyrer skal dokumenteres og arkiveres kontinuerlig ved legekontoret, her er et utdrag av reglene for dokumentering: Styringsdokumenter: Formålene med behandlingene av helse- og personopplysninger Oversikt over behandlinger av helse- og personopplysninger Overordnede føringer for bruk av informasjonsteknologi Sikkerhetsmål Nivå for akseptabel risiko Sikkerhetsstrategi Organisasjons-/ansvarskart Gjennomføringsdokumenter: Formålene med behandlingene av helse- og personopplysninger Oversikt over behandlinger av helse- og personopplysninger Oversikt over partnere, databehandlere og leverandører Avtaler med partnere, databehandlere og leverandører Konfigurasjonskart over informasjonssystemene og teknisk beskrivelse av konfigurasjonen Prosedyrer for behandlinger av helse- og personopplysninger Prosedyrer for bruk av informasjonssystemene Dokumentasjon av sikkerhetstiltak organisatoriske, fysiske og tekniske Kontrolldokumenter: Planer for gjennomføring av risikovurderinger og prosedyre for oppfølging av resultater fra disse vurderinger Planer for gjennomføring av sikkerhetsrevisjoner og prosedyre for oppfølging av resultater fra disse revisjoner Planer for ledelsens gjennomgang og prosedyre for oppfølging av handlingsplaner besluttet av ledelsen Prosedyrer for avvikshåndtering Den Digitale Pasient Farene på ferden Christian Langstrand 14 av 43

15 Personopplysningsloven Kilde: Lovdata - Personopplysningsloven XIII Ved et legekontor jobbes det med sensitive personopplysninger, og risiko for feiltagelser skal begrenses med denne loven. Alle ansatte ved legekontoret har et ansvar og forplikter seg til å følge personopplysningsloven. Innenfor tema Informasjonssikkerhet gir paragraf 13 et godt innblikk i del over som må følges ved et legekontor: 1. Lovens formål Formålet med denne loven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. 13. Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. En behandlingsansvarlig som lar andre få tilgang til personopplysninger, f.eks. en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd. Kongen kan gi forskrift om informasjonssikkerhet ved behandling av personopplysninger, herunder nærmere regler om organisatoriske og tekniske sikkerhetstiltak. Den Digitale Pasient Farene på ferden Christian Langstrand 15 av 43

16 Helseregisterloven Kilde: Lovdata Helseregisterloven XIV Ved et legekontor skal det utnevnes en databehandlingsansvarlig, personen er ansvarlig juridisk og strafferettslig for at personopplysninger/ helseopplysninger ved legekontoret behandles i tråd med det gitte legekontors arbeidsområde (som ligger i konsesjonen til å drive legekontoret) Videre er det databehandlere ved et legekontor, dette er leger/sykepleiere/ medhjelpere etc. som behandler personopplysninger/helseopplysninger på vegne av databehandlingsansvarlig. 1. Lovens formål Formålet med denne lov er å bidra til å gi helsetjenesten og helseforvaltningen informasjon og kunnskap uten å krenke personvernet, slik at helsehjelp kan gis på en forsvarlig og effektiv måte. Gjennom forskning og statistikk skal loven bidra til informasjon og kunnskap om befolkningens helseforhold, årsaker til nedsatt helse og utvikling av sykdom for administrasjon, kvalitetssikring, planlegging og styring. Loven skal sikre at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger. Utdrag: 15. Taushetsplikt Enhver som behandler helseopplysninger etter denne lov, har taushetsplikt etter forvaltningsloven 13 til 13e og helsepersonelloven. Taushetsplikten etter første ledd gjelder også pasientens fødested, fødselsdato, personnummer, pseudonym, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted. Opplysninger til andre forvaltningsorganer etter forvaltningsloven 13 b nr. 5 og 6 kan bare gis når det er nødvendig for å bidra til løsning av oppgaver etter loven her, eller for å forebygge vesentlig fare for liv eller alvorlig skade for noens helse. 16. Sikring av konfidensialitet, integritet, kvalitet og tilgjengelighet Den databehandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet og tilgjengelighet ved behandling av helseopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den databehandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den databehandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene. En databehandlingsansvarlig som lar andre få tilgang til helseopplysninger, for eksempel en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd. Kongen kan gi forskrift om sikkerhet ved behandling av helseopplysninger etter denne lov. Kongen kan herunder sette nærmere krav til elektronisk signatur, kommunikasjon og langtidslagring, om godkjenning (autorisasjon) av programvare og om bruk av standarder, klassifikasjonssystemer og kodeverk, samt hvilke nasjonale eller internasjonale standardsystemer som skal følges. Den Digitale Pasient Farene på ferden Christian Langstrand 16 av 43

17 Journalforskriften Kilde: Lovdata - Journalforskriften XV Loven spesifiserer i regelverket at alt helsepersonell må følge når det kommer til dokumentasjonsplikt. Dette kan være ved føring, retting, sletting, oppbevaring, overføring, tilgang og tilintetgjøring av pasientjournaler Under følger et utdrag fra loven ved paragraf 8, dette viser hvilke elementer en pasientjournal kan inneholde 1. Lovens formål Forskriften gir nærmere regler om: a) helsepersonells dokumentasjonsplikt, herunder om innhold i pasientjournaler, føring, retting, sletting, oppbevaring, overføring, tilgang til og tilintetgjøring av journal, jf. helsepersonelloven kapittel 8, b) virksomheters ansvar i forhold til opprettelse og organisering av journalsystem, jf. spesialisthelsetjenesteloven 3-2, tannhelsetjenesteloven 1-3a og kommunehelsetjenesteloven 1-3a og c) rett til innsyn i journal, jf. pasientrettighetsloven (Krav til journalens innhold) Pasientjournalen skal inneholde følgende opplysninger dersom de er relevante og nødvendige: a) Tilstrekkelige opplysninger til å kunne identifisere og kontakte pasienten, blant annet pasientens navn, adresse, bostedskommune, fødselsnummer, telefonnummer, sivilstand og yrke. b) Opplysninger om hvem som er pasientens nærmeste pårørende, jf. pasientrettighetsloven 1-3 bokstav b og lov om psykisk helsevern 1-3, og hvordan vedkommende om nødvendig kan kontaktes. c) Dersom pasienten ikke har samtykkekompetanse, skal det nedtegnes hvem som samtykker på vegne av pasienten, jf. pasientrettighetsloven kapittel 4. d) Når og hvordan helsehjelp er gitt, for eksempel i forbindelse med ordinær konsultasjon, telefonkontakt, sykebesøk eller opphold i helseinstitusjon. Dato for innleggelse og utskriving. e) Bakgrunnen for helsehjelpen, opplysninger om pasientens sykehistorie, og opplysninger om pågående behandling. Beskrivelse av pasientens tilstand, herunder status ved innleggelse og utskriving. f) Foreløpig diagnose, observasjoner, funn, undersøkelser, diagnose, behandling, pleie og annen oppfølgning som settes i verk og resultatet av dette. Plan eller avtale om videre oppfølgning. g) Opplysninger som nevnt i 6 fjerde ledd. h) Overveielser som har ledet til tiltak som fraviker fra gjeldende retningslinjer. i) Om det er gitt råd og informasjon til pasient og pårørende, og hovedinnholdet i dette, jf. pasientrettighetsloven 3-2. Pasientens eventuelle reservasjon mot å motta informasjon. forts. neste side Den Digitale Pasient Farene på ferden Christian Langstrand 17 av 43

18 j) Om pasienten har samtykket til eller motsatt seg nærmere angitt helsehjelp. Pasientens alvorlige overbevisning eller vegring mot helsehjelp, jf. pasientrettighetsloven 4-9. Pasientens samtykke eller reservasjon vedrørende informasjonsbehandling. Pasientens øvrige reservasjoner, krav eller forutsetninger. k) Om det er gjort gjeldende rettigheter som innsyn i journal og krav om retting og sletting, utfallet av dette, ved avslag at pasienten er gjort kjent med klageadgangen, og eventuell klage i slik sak. l) Utveksling av informasjon med annet helsepersonell, for eksempel henvisninger, epikriser, innleggelsesbegjæringer, resultater fra rekvirerte undersøkelser, attestkopier m.m. m) Pasientens faste lege. Det helsepersonell som har begjært innleggelse eller har henvist pasienten. n) Individuell plan etter spesialisthelsetjenesteloven 2-5, psykisk helsevernloven 4-1 eller kommunehelsetjenesteloven 6-2a. o) Sykmeldinger og attester. p) Uttalelser om pasienten, for eksempel sakkyndige uttalelser. q) Om det er gitt opplysninger til politi, barneverntjenesten, sosialtjenesten mv., og om samtykke er innhentet fra pasienten eller den som har kompetanse til å avgi samtykke i saken. Det skal angis hvilke opplysninger som er gitt. r) Tvangsinnleggelser, annen bruk av tvang, det faktiske og rettslige grunnlaget for slik tvang og eventuelle kontrollkommisjonsvedtak, jf. lov om psykisk helsevern. s) En faglig begrunnelse 1 i de tilfellene legen har reservert seg mot apotekets generiske bytterett. 2 Arbeidsdokumenter, pasientens egendokumentasjon, røntgenbilder, video- og lydopptak mv. er å anse som del av journalen inntil nødvendig informasjon er nedtegnet på forsvarlig måte. Andre opplysninger enn de som er nevnt i første og andre ledd skal tas inn i journalen i den utstrekning de er relevante og nødvendige Utrag slutt. Den Digitale Pasient Farene på ferden Christian Langstrand 18 av 43

19 Helsepersonell loven Kilde: Lovdata Lov om helsepersonell XVI Med helsepersonell menes alle ansatte ved legekontoret. Denne loven handler om å bidra til at helsepersonell utfører sine arbeidsoppgaver med en riktig etisk og sikkerhetsmessig metode. 1. Lovens formål Lovens formål er å bidra til sikkerhet for pasienter og kvalitet i helsetjenesten samt tillit til helsepersonell og helsetjeneste. 21. Hovedregel om taushetsplikt Helsepersonell skal hindre at andre får adgang eller kjennskap til opplysninger om folks legemseller sykdomsforhold eller andre personlige forhold som de får vite om i egenskap av å være helsepersonell. 21a. Forbud mot urettmessig tilegnelse av taushetsbelagte opplysninger Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte opplysninger som nevnt i 21 uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift. Tilføyd ved lov 9 mai 2008 nr. 34 (i kraft 9 mai 2008 iflg. res. 9 mai 2008 nr. 442). Den Digitale Pasient Farene på ferden Christian Langstrand 19 av 43

20 Sikkerhet Ved legekontoret er datasikkerheten viktig og med dagens infrastruktur over Norsk Helsenett (NHN)er det ikke mulig å kommunisere direkte til maskinene fra internett uten å gå igjennom NHN. Norsk Helsenett og Internett NHN tilbyr dog en løsning for kunder som fortsatt vil surfe på internett som heter NHN-Web / E-post Flex XVII. Her vil den enkelte maskin bli konfigurert til å bruke en proxy server for tilkobling og dette settes opp med enten Mozilla Firefox, Internet Explorer eller begge. Før var ikke denne funksjonen tilgjengelig på legekontorene, og mange bruker fortsatt den gamle løsningen som går ut på å tilkoble seg til Internett via en RDP sesjon til Norsk Helsenett. Andre brukere av RDP er også NHN sine hjemmekontor kunder, som i tillegg til oppsett av RDP må bruke et personlig PKI smartkort sammen med en PIN kode før det opprettes en sesjon inn til legekontoret. Disse tjenestene åpner for sikkerhetsbrudd og utilsiktede personer kan tilordne seg adgang, men når et legekontor/ en bruker undertegner en NHN-Web / E-post Flex løsning godtas det at brukeren selv har ansvar for lokalnettverket og handlingene som utføres. I tillegg til at man er mer utsatt for sikkerhetsbrudd med en slik løsning, vil det være ennå større risiko for at noe skjer ved en brukerfeil ved bruk av løsningene. Følgende sider beskriver mulige metoder for å tilegne seg adgang til en datamaskin med adgang til pasientjournaler. Den Digitale Pasient Farene på ferden Christian Langstrand 20 av 43

21 Metode 1: Trojan/Virus/Malware Et skadelig program designet for ikke å bli oppdaget av antivirus har lenge vært gulleroten for personer som utvikler skreddersydde trojanere til bruk i kun målrettede angrep. I senere tid er det blitt verdenskjent hva disse programmene kan utgjøre ved å kryptere handlingskode slik at det er vannskeligere å identifisere det enkelte virus (Kilde: Det er heller ikke å forakte at et bestillingsoppdrag kan sette et legekontor som mål i fare for angrep, i tillegg til risikoen assosiert med vanlig bruk av internett fra legekontoret og det private hjem. Et slikt program kan ha som mål å logge all data skrevet ved en klient, endre klientens HOSTS fil og sende informasjonen ved bruk av tilsynelatende sikkre nettsider. Etter eventuell injeksjon kan programmet i tillegg spre seg til server hvor eventuelt pasientjournaler ligger. Metode 2: Phishing/phreaking Flere og flere legekontor får egne nettsider, ved å bruke en offentlig tjeneste for å se hvilke legekontor som opererer på landsbasis kan man besøke mindoktor.no og derfra velge seg ut et mål. Videre søker man via søkemotorer på legekontoret for å tilordne seg informasjon som e-post, kontaktpersoner, bilder, telefonnummer og faxnummer etc. Datatilsynet har strenge krav om sending av e-post med pasientsensitive opplysninger XVIII, men et raskt søk på internett viser flere legekontor med e-post konto i tilslutning med kontorhjemmesider og personalet. (Kilde: Med denne informasjonen kan man nå sende en e-post med en falsk avsender som virker troverdig (Folkeregisteret, Norsk Helsenett, Felleskatalogen, Sosial- og helsedirektoratet etc.). Denne e-post kan inneholde en link til en hjemmeside satt opp for å tilegne seg ytterligere informasjon, videre kan man på forskjellige måter få besøkende til å laste ned en tilsynelatende troverdig applikasjon (Takstoppdatering, Felleskatalog, Sikkerhetsoppdatering, Antivirus etc.). Her brukes det gjerne litt tid på å utforme nettstedet til å virke troverdig og gjenkjennbart, inkludert domenenavn eventuelt en direkte IP adresse. Denne form for tilnærming kan i tillegg relateres til ID-Tyveri og uttrekk av bankinformasjon. Den Digitale Pasient Farene på ferden Christian Langstrand 21 av 43

22 Metode 3: Wardriving Å kombinere datasystemene ved et legekontor med trådløs teknologi kan gjøre kostnadene mindre ved nyetableringer og kan utnytte flere teknologier enn å måtte ha en kabel til hvert tilslutningspunkt. Men sikkerheten må være kartlagt og fungerende for at det ikke skal bli en meget stor risiko for lekkasje av pasientjournaler. Kunder av Norsk helsenett blir bedt om å holde høy sikkerhet på slikt utstyr, men hva hvis de medisinske apparatene som skal brukes ikke støtter dette? En hendelse hvor en person finner dette trådløse nettverket, og videre kommer inn på det samme nettverk som klienter ved legekontoret bruker kan utløse et sikkerhetsbrudd. Personen kan utføre et uttrekk eller videre legge inn en trojan som vil kunne kontrollere datamaskinene. Metode 4: Hjemmekontor Det tilbys en hjemmekontor for Norsk Helsenett kunder XIX hvor man i utgangspunktet kan jobbe med pasientjournaler fra alle verdens hjørner. Denne løsningen vil tillate oppkobling til legekontoret via en innebygget funksjon i Windows kalt RDP. Før denne løsningen kan tas i bruk må personen som vil bruke hjemmekontor inngå en avtale om bruk av PKI. Dette vil si at legen for et personlig smartkort og en PIN kode som skal brukes ved pålogging til løsningen. Hvis sikkerheten ikke er god, f. eks ved en dårlig sikret hjemmemaskin/ bærbar pc vil det være en simpel affære for en inntrenger å installere et loggeprogram for å lagre mulige PIN koder. Videre er det meget viktig at bruker av hjemmekontor fysisk fjerner smartkort fra maskin når hjemmekontor økten avsluttes. Står kortet koblet til, og man har PIN kode vil man effektivt kunne logge seg inn på legekontorets nettverk. Den Digitale Pasient Farene på ferden Christian Langstrand 22 av 43

23 Risikoanalyse En risikoanalyse utføres for å være forberedt på mulige hendelser, i tillegg er dette et viktig supplement til en kriseplan ved uforutsette trusler. Med en risikoanalyse kan man raskt vurdere mulige tiltak for å gjenopprette vanlig drift. Legekontor må utarbeide en egen risikoanalyse i henhold til 2-4 i Personopplysningsforskriften. Et godt redskap for dette er blitt utviklet og gis kostnadsfritt til legekontoret under navnet TrinnVis XX Risikoanalyse av et fiktivt legekontor (Kilde: NorSiS Mal XXI, revidert og endret til å passe et legekontor av Christian Langstrand) Ved et legekontor finnes flere trusler som er identifiserbare, dette kan være: - Uautorisert adgang til personopplysninger ved databehandling - Å ikke kunne motta et livs avhengig elektronisk svar fra sykehus/institusjon grunnet svikt ved datamaskiner - Innbrudd ved legekontoret hvor datamaskiner blir stjålet - Strømbrudd over lengre tid - Datamaskiner og/ eller server utsettes for virus og lignende trusler med uautorisert adgang Akseptabel risiko Med stor risiko menes hendelser som skjer mer en to ganger i uken eller som gir betydelig tap av renommé. Rød farge er brukt, og det vurderes som ikke akseptabelt. Med moderat risiko menes hendelser som skjer mer en to ganger i måneden eller tap av renommé. Oransje farge brukes, og legekontoret må være oppmerksomme. Med lav risiko menes hendelser som skjer mer en to ganger i halvåret eller ubetydelig tap av renommé. Grønn farge benyttes, og risikoen aksepteres. Sannsynlighet Sjelden Kan skje Svært vanlig Konsekvens Liten Lav Lav Moderat Middels Lav Moderat Stor Stor Moderat Stor Stor Den Digitale Pasient Farene på ferden Christian Langstrand 23 av 43

24 # Risiko Uautoriserte personer får tilgang til pasientjournalene, dette kan være ved et uanmeldt konsulentoppdrag i forbindelse med it konsulent, Norsk Helsnett, selger eller journalleverandør etc. Ansatte kan bli lurt dersom noen ringer og sier at de jobber i en annen enhet og trenger opplysninger om en person. En kan også bli lurt ved at noen utga seg for å være fra ITavdelingen, og ba om å brukernavn og passord. Egne ansatte kan ønske å spre sensitive personopplysninger for egen vinnings skyld, eller sørge for utilsiktet levering. Uvedkommende kan bryte seg inn i datasystemet utenfra, enten på grunn av manglende sikring av nettverket, eller på grunn av brudd på regelverket som alle brukere må forholde seg til når nettet brukes. Enten jobbrelatert eller privat. Masseangrep i form av e- post utsendelser med skadelig programvare eller trafikkhemmende datapakker (DDoS) mot legekontoret Risikovurdering Konsekvens Sannsynlighet Risikonivå Stor Kan inntreffe Stor Middels Sjeldent Moderat Stor Sjeldent Moderat Stor Kan skje Stor Middels Sjeldent Lav Mulige tiltak Ansatte skal be alle som utgir seg for å være samarbeidspartnere om å identifisere seg, det skal også være allmenn kjent når det er planlagt oppdrag ved legekontoret. Det er også lurt å etablere en innsjekkingsbok. Opplæring i sikker databehandling av brukere. Det skal aldri utgis informasjon om en pasient uten å først depersonalisere informasjonen. Selv med brukernavn og passord ville inntrengere måtte være koblet til Norsk Helsenett / nettverket. Riktig opplæring i bruk av databehandling og etikk kan forhindre dette. Lover & Regler kan nevnes i tillegg til yrkesetikk. Databehandlingsansvarlig er ansvarlig for å opprettholde lovpålagt sikkerhet ved datamaskiner på legekontoret. Men det menneskelige aspekt spiller en meget stor rolle når de ansatte bruker maskinene. F. eks surfing på usikre nettsteder. Opplæring og evt. begrensning i tjenester må til for å opprettholde sikkerheten. En slik hendelse er ikke mulig i dagens sammhandlingsnettverk. Lukkede nett samt sikkerhet rundt SMTP utsendinger hindrer slik aktivitet i å utløpe seg over hele nettet. Den Digitale Pasient Farene på ferden Christian Langstrand 24 av 43

25 Spørreundersøkelse for Legekontor (Kilde: Christian Langstrand) Det er utarbeidet en spørreundersøkelse for denne rapporten om legekontor sine kunnskaper når det kommer til datasikkerhet, avviksbehandling for elektroniske pasientmeldinger samt lover som må følges ved databehandling. Undersøkelsen ble postet på Eyr XXII som er en e- post liste for allmennpraktikere i Norge. Det var mulig å delta i 18 dager. Det tekniske oppsettet finnes under vedlegg 3 Totalt 49 fullstendige besvarelser ble innlevert. Spørsmål 1: Hvilken posisjon innehar du på legekontoret De største andelen av deltagere var Leger (82%), dernest IT Ansvarlige (12%), Spesialister (6%) og Sykepleiere/Medhjelpere (0%) Den Digitale Pasient Farene på ferden Christian Langstrand 25 av 43

26 Spørsmål 2: Hvem drifter dine IT-systemer pr. dags dato Spørsmålet ble stilt for å kartlegge om legekontoret selv tar hånd om sin IT (server, klienter). Resultatet viser at eksterne IT firma står for mesteparten av drift, men at det også er en stor andel legekontor som selv står for all drift. Observasjon: Når et legekontor bruker en ekstern IT partner for IT-drift og support av klienter, må partner være inneforstått med lover & regler som gjelder. I tillegg må det være en taushetserklæring da evt. IT konsulenter ville ha tilgang til pasientjournaler. Når legekontoret selv står for IT-drift er det meget viktig at en IT-ansvarlig utnevnes, og at denne personen har kunnskap om sikker drift av legekontoret. I tilfeller hvor IT-driften er med hjelp av en privat bekjent av legekontoret, burde ikke det hvert tilfelle. Det kan fort bli useriøst, og ingen dokumentasjon for dette. Selve jobben kan også utføres som en vennetjeneste, og det blir å blande kortene med tanke på sikkerheten. Den Digitale Pasient Farene på ferden Christian Langstrand 26 av 43

27 Spørsmål 3: Er du kjent med legekontorets backup (sikkerhetskopi) rutiner Observasjon: Selv om det i de fleste tilfeller var eksterne IT partnere som driftet nettverket og supportere dette, er det viktig at man selv har oversikt av sikkerhetskopier ved legekontoret. Mange ITleverandører gir kun oppsett av sikkerhetskopier, og krever at kunde selv har personer som fysisk har ansvar for å utføre selve kopien. Hvis man selv ikke påser at en sikkerhetskopi er kjørt uten problemer kan man risikere omfattende tap av f. eks pasientjournaler ved datakræsj. Den Digitale Pasient Farene på ferden Christian Langstrand 27 av 43

28 Spørsmål 4: Hvis ja, hvordan utføres denne backup rutinen (sikkerhetskopien) Observasjon: Sikkerhetskopien ble først og fremst lagret med tape-medier ved legekontorene, denne metoden krever fysisk oppfølging av rutinen om bytting av tape. Selv om dette blir gjort, burde det også være rutine for periodisk verifisering av data på tape og til og med en test hvor man fører tilbake data på til et område som ikke berører produksjons område. Det kan raskt oppstå missforståelser mellom legekontoret og IT-partner ved et databrudd om ikke dette aspektet er ivaretatt. Av legekontor som tok sikkerhetskopi til harddisk er det viktig at denne ikke er på samme område som harddisken der data blir kopiert fra. Det beste er å bruke to separate harddisker, og ikke nøye seg med partisjoner for inndeling av områder. Videre var det fire legekontor som svarte at data ikke blir lagret ved kontoret, dette er kunder som bruker sine journalsystem over terminal servere. I noen tilfeller er det kommunale legekontor, men også journalleverandør kan ha en terminal løsning over f. eks Citrix, hvor all data relatert til programmet blir lagret på eksterne servere, med tilhørende strenge backup rutiner. Dette er en god løsning for kunder med mindre IT-kompetanse / ressurser til bruk av sikkerhetskopier. Det var også et legekontor i undersøkelsen som brukte minnepinne(r) til sin sikkerhetskopi, denne løsningen kan være usikker i form av kvalitet på mediet og den generelle oppfattningen av minnepinner. Ingen legekontor i undersøkelsen oppgav at det ikke fantes sikkerhetskopiering av data. Den Digitale Pasient Farene på ferden Christian Langstrand 28 av 43

29 Spørsmål 5: Har dere opplevd en data kræsj Forklaring: Med data kræsj menes en tid overstigende 3 timer, hvor pasientjournaler ikke har hvert mulig å hente opp. Dette kan ha hvert ved lokale problemer med server hos legekontoret, men også feil/ linjebrudd hos ekstern journal leverandør. Videre blir det spurt om pasientjournaler har blitt mistet, hvor sikkerhetskopiene ikke har vært tilstede/ vært ødelagte Observasjon: Man kan konkludere med at de fleste i undersøkelsen (67%) ikke opplevd data kræsj på software/maskinware som har vart i unormalt lang tid. Tolv legekontor har hatt nedetid oppimot en arbeidsdag, og et av kontorene var nede i flere dager. Årsakene til nedetiden har antageligvis hvert mindre problemer ved kontorene, noen relatert til brukerfeil og programfeil og noen relatert til basis behov som f. eks strøm til legekontoret. Ved tre av kontorene har det hvert alvorlige data kræsj med påfølgende tap av pasientjournaler, årsaken har også vært manglende rutine ved sikkerhetskopiering. Det er nå mulig å trekke en konklusjon at selv med sikkerhetskopiering på legekontoret, kan det ved dårlig rutine fortsatt resultere i faktiske tap av pasientjournaler. Den Digitale Pasient Farene på ferden Christian Langstrand 29 av 43

30 Spørsmål 6: Brukes elektroniske pasientmeldinger ved legekontoret Forklaring: Følgende spørsmål dreier seg om den elektroniske kommunikasjonen legekontor har til og fra sykehus, andre legekontor og institusjoner (røntgen, laboratorie, henvisninger, epikriser etc.) Observasjon: De fleste av legekontorene bruker nå Norsk Helsenett, fem av legekontorene bruker fortsatt Trygd-Helse og fem av deltagende kontorer bruker ikke elektroniske pasientmeldinger. Det kan også nevnes at enkelte legekontor i dag bruker både NHN og Trygd Helse, disse er under omlegging til kun Norsk Helsenett. Det ble også spurt om det var kommunikasjon med pasientmeldinger igjennom andre løsninger, dette kunne vært ved at legekontoret bruker terminalservere mot en ekstern leverandør som også tilbyr NHN oppkobling. Den Digitale Pasient Farene på ferden Christian Langstrand 30 av 43

31 Spørsmål 7: Hvis ja, har legekontoret opplevd å ikke motta en elektronisk pasientmelding? Forklaring: Følgende spørsmål dreier seg om den elektroniske kommunikasjonen legekontor har til og fra sykehus, andre legekontor og institusjoner (røntgen, laboratorie, henvisninger, epikriser etc.) Observasjon: Den største andelen av besvarelser ved dette spørsmålet var om meldinger som har ankommet som vanlig via brevpost, men som ikke kom frem elektronisk. Selv om det i mediebildet XXIII av IKT-Helse Norge ønskes raskere overgang til elektroniske pasientmeldinger må det bli bedre menneskelig styrt overvåkning og avviksbehandling på legekontorene. Den Digitale Pasient Farene på ferden Christian Langstrand 31 av 43

32 Spørsmål 8: Har du blitt informert når det har vært problemer med elektroniske pasientmeldinger Forklaring: Dette kan ha vært når det har vært linjebrudd, stopp ved Norsk Helsenett eller f. eks problemer med utsending fra Sykehus/ Institusjon. Observasjon: Når man først inngår en avtale med NHN, sykehus/institusjoner og andre legekontor er det en vanlig missforståelse at alt fungerer fra første stund. Derimot er det menneskelige aspektet ved (ikke bare igangsetting) drift og vedlikehold av EDI meget viktig. Forskjellige leverandører bruker forskjellig programvare for feilsøking og retting av EDI meldinger som både mottas og sendes feil, og det må etableres rutiner for overvåking av de elektroniske meldingene. Den Digitale Pasient Farene på ferden Christian Langstrand 32 av 43

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Kapittel 1. Generelle bestemmelser 1.Lovens formål Formålet med loven er at behandling av helseopplysninger skal skje

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Strategi nr 1: Journalføring må. skje i henhold til lover og regler. Journalføring ved Institutt for Klinisk Odontologi.

Strategi nr 1: Journalføring må. skje i henhold til lover og regler. Journalføring ved Institutt for Klinisk Odontologi. Journalføring ved Institutt for Klinisk Odontologi 6 semester Asbjørn Jokstad Institutt for klinisk odontologi Universitetet i Oslo Strategi nr 1: Journalføring må skje i henhold til lover og regler Strategi

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Datasikkerhet internt på sykehuset

Datasikkerhet internt på sykehuset Datasikkerhet internt på sykehuset DRG Konferansen 11. mars 2009 Informasjonssikkerhetsleder Jan Gunnar Broch Sykehuset Innlandet HF Agenda Informasjonssikkerhet; Hva, hvorfor og hvordan Hvordan håndterer

Detaljer

13.03.2011. Kollegabasert veiledingsseminar for manuellterapeuter 10.mars 2011. Helseøkonomiforvaltningen (HELFO)

13.03.2011. Kollegabasert veiledingsseminar for manuellterapeuter 10.mars 2011. Helseøkonomiforvaltningen (HELFO) Kollegabasert veiledingsseminar for manuellterapeuter 10.mars 2011 Helseøkonomiforvaltningen (HELFO) Monica Røsandhaug Grov Åse Bækkevold Kloster 1 Innhenting og bruk av Åse Bækkevold Kloster Juridisk

Detaljer

Helse- og omsorgsdepartementet Kultur- og kirkedepartementet. Deres ref Vår ref Dato 200605006-/EMK 09.01.2007

Helse- og omsorgsdepartementet Kultur- og kirkedepartementet. Deres ref Vår ref Dato 200605006-/EMK 09.01.2007 Helse- og omsorgsdepartementet Kultur- og kirkedepartementet De regionale helseforetakene Alle kommunene Alle fylkeskommunene Deres ref Vår ref Dato 200605006-/EMK 09.01.2007 Forholdet mellom lovbestemt

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner Velkommen til Fagkurs i informasjonssikkerhet basert på Normen for kommuner 1 Mål for fagkurset (1) Deltakerne skal etter gjennomføring av kurset: Ha kunnskap om og kunne formidle hvorfor ivaretakelse

Detaljer

Vemma Europes personvernerklæring

Vemma Europes personvernerklæring Vemma Europes personvernerklæring Vemma Europe forstår at du er opptatt av hvordan informasjon om deg blir behandlet og fordelt, og vi setter pris på at du stoler på at vi gjør det forsiktig og fornuftig.

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet) Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 4.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud Helseopplysninger på tvers - rammer for deling og tilgang HelsIT 15. oktober 2014 Marius Engh Pellerud Hva er personvern? 18.06.2014 Side 2 Retten til privatliv Selvbestemmelse Rett til å vite og forstå

Detaljer

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1 Introduksjonskurs til Normen Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS 1 Innhold 1. Litt om personvern og informasjonssikkerhet 2. Norm for informasjonssikkerhet 3. Risikovurdering 4.

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

1.6 Sentrale lover og forskrifter

1.6 Sentrale lover og forskrifter 1.6 Sentrale lover og forskrifter Innledning For Midt-Telemarkkommunenes informasjonssikkerhet gjelder en rekke lover og bestemmelser som blant annet tar sikte på å hindre at noen uten lovlig hjemmel får

Detaljer

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning.

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning. Policydokument nr. 3/2011 Etablering og bruk av helseregistre Legeforeningen arbeider for å bedre kvaliteten i helsetjenesten og for en helsetjeneste som er mest mulig lik for alle. Bruk av valide og kvalitetssikrede

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Sikkerhet flere aspekter: Sikkerhets-problemer. Autentisering/autorisasjon. Kryptering

Sikkerhet flere aspekter: Sikkerhets-problemer. Autentisering/autorisasjon. Kryptering Sikkerhets-problemer Innbrudd/Uautorisert tilgang til informasjon Avsløre informasjon og offentliggjøre den Stjele informasjon uten å gi seg til kjenne Forfalske/endre informasjon Forfalska informasjon,

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INSTRUKS FOR BRUK AV INTERNETT OG E-POST Vedtatt av administrasjonsutvalget i Levanger XX.XX.XXXX Vedtatt av administrasjonsutvalget i Verdal XX.XX.XXXX

Detaljer

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet Velferdsteknologi og personvern Camilla Nervik, Datatilsynet Datatilsynet http://itpro.no/artikkel/20499/vipps-deler-din-kundeinformasjon-medfacebook/ http://e24.no/digital/undlien-vil-skape-medisiner-tilpasset-dine-gener-uioprofessor-vil-digitalisere-genene-dine/23608168

Detaljer

Samarbeid om IKT- løsninger og elektronisk samhandling

Samarbeid om IKT- løsninger og elektronisk samhandling Tjenesteavtale 9 Samarbeid om IKT- løsninger og elektronisk samhandling Samarbeid om IKT-løsninger og bruk av felles plattform lokalt er av stor betydning for å få til god samhandling. Enkel, rask og pålitelig

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Tjenesteavtale nr. 9. mellom. Berlevåg kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt

Tjenesteavtale nr. 9. mellom. Berlevåg kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt Tjenesteavtale nr. 9 mellom Berlevåg kommune og Helse Finnmark HF Om Samarbeid om IKT-løsninger lokalt Parter Denne avtalen er inngått mellom Berlevåg kommune og Helse Finnmark HF Bakgrunn Denne tjenesteavtalen

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01090 Dato for kontroll: 04.12.2013 Rapportdato: 22.05.2014 Endelig kontrollrapport Kontrollobjekt: Drammen Helsehus Sted: Drammen Utarbeidet av: Camilla Nervik Grete Alhaug Marius Engh

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Norm for informasjonssikkerhet Helse, omsorgs og sosialsektoren Utgitt med støtte av: Oslo, 2010 FORORD Stadig mer av arbeidet i helsesektoren er basert på elektronisk behandling av pasientenes opplysninger.

Detaljer

Høringsuttalelse - Forslag til ny kommunal helse- og omsorgslov

Høringsuttalelse - Forslag til ny kommunal helse- og omsorgslov Helse- og Omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Deres ref. Deres dato Vår ref. Vår dato 200903950-/ATG 18.10.2010 010/11ToNy 13.01.2011 Høringsuttalelse - Forslag til ny kommunal helse- og omsorgslov

Detaljer

Personvern i Dødsårsaksregisteret Lysebu, 7. november 2011

Personvern i Dødsårsaksregisteret Lysebu, 7. november 2011 Personvern i Dødsårsaksregisteret Lysebu, 7. november 2011 Hva betyr egentlig personvern? Enkeltindividets rett til å bestemme over seg selv og sin egen kropp og retten til kontrollere hvem som skal få

Detaljer

Lydopptak og personopplysningsloven

Lydopptak og personopplysningsloven Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...

Detaljer

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18. Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.september 2012 Om Datatilsynet Et forvaltningsorgan med stor grad av faglig uavhengighet

Detaljer

Veileder for sakkyndig uttalelse i tilsynssaker til Statens helsetilsyn og Fylkesmannen

Veileder for sakkyndig uttalelse i tilsynssaker til Statens helsetilsyn og Fylkesmannen Internserien 6/2010 Utgitt av Statens helsetilsyn Veileder for sakkyndig uttalelse i tilsynssaker til Statens helsetilsyn og Fylkesmannen Målgruppe: Helsepersonell som påtar seg oppdrag som sakkyndig i

Detaljer

Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak]

Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak] Databehandleravtale Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak] 1 Kontraktens parter Kontrakten inngås mellom databehandlingsansvarlig

Detaljer

BILAG 1 DATABEHANDLERAVTALE

BILAG 1 DATABEHANDLERAVTALE BILAG 1 DATABEHANDLERAVTALE Inngått iht.personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kap. 2 mellom UNINETT AS ("Databehandler") og Virksomheten ("den Behandlingsansvarlige") heretter

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

IKT-reglement for NMBU

IKT-reglement for NMBU IKT-reglement for NMBU Vedtatt av Fellesstyret for NVH og UMB 23.05.2013 IKT-reglement for NMBU 1 Innhold 1 Virkeområde for NMBUs IKT-reglement... 3 1.1 Virkeområde... 3 1.2 Informasjon og krav til kunnskap

Detaljer

Side 1 av 5. Storgata 38 0182 Oslo. Helse- og omsorgsdepartementet Postboks 8011 Dep. 0030 Oslo

Side 1 av 5. Storgata 38 0182 Oslo. Helse- og omsorgsdepartementet Postboks 8011 Dep. 0030 Oslo Side 1 av 5 Mental Helse Storgata 38 0182 Oslo 1. oktober 2013 Helse- og omsorgsdepartementet Postboks 8011 Dep. 0030 Oslo HØRINGSSVAR: FORSLAG TIL NY PASIENTJOURNALLOV OG NY HELSEREGISTERLOV Generelt:

Detaljer

Fokus på sikkerhet pass på pasientdata

Fokus på sikkerhet pass på pasientdata Fokus på sikkerhet pass på pasientdata Sensitive personopplysninger: Må ikke forsvinne (tilgjengelighet) Må finnes lett og oversiktlig (tilgjengelighet) Må ikke endres av uvedkommende (integritet) Må ikke

Detaljer

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Rapport informasjonssikkerhet Helgelandssykehuset 2015 Rapport informasjonssikkerhet Helgelandssykehuset 2015 1. Innledning I Oppdragsdokumentet 2015 punkt 4.4. Beredskap, er et av punktene: Området informasjonssikkerhet med tilhørende status på ROS [1] -analyser

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO.

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO. MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT HELSEDIREKTORATET Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO Deres ref Vår ref Dato 10/2494 200800923-/OS 10.10.2011 Uttalelse

Detaljer

NorskInternett Brukermanual. Sist oppdatert 09.08.15. Side 1/30

NorskInternett Brukermanual. Sist oppdatert 09.08.15. Side 1/30 NorskInternett Brukermanual Sist oppdatert 09.08.15. Side 1/30 Innholdsliste Hvordan kan vår tjeneste brukes...2 Hva vi leverer...2 Kontoinformasjon...3 Bruk av VPN tilkobling...3 Konfigurering av Android...4

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Sikkerhetshåndbok for Utdanningsetaten. kortversjon Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering

Detaljer

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde 1.1 Dette reglementet regulerer en brukers rettigheter og plikter ved bruk av TFKs ITressurser. Med TFKs IT-ressurser menes alle

Detaljer

Norsk Helsenett Tromsø

Norsk Helsenett Tromsø Norsk Helsenett Tromsø Etablert: t 2004 Eiere: De fire RHF-ene Hovedkontor: Avdelingskontor: Trondheim Tromsø og Oslo Trondheim Oslo Aksjeselskap med ikke-økonomisk formål Driften finansieres av medlemsavgifter

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Forespørsel om deltakelse i forskningsprosjektet Effekt av internettstøtte for kreftpasienter som en del av klinisk praksis (WebChoice 2.0).

Forespørsel om deltakelse i forskningsprosjektet Effekt av internettstøtte for kreftpasienter som en del av klinisk praksis (WebChoice 2.0). Forespørsel om deltakelse i forskningsprosjektet Effekt av internettstøtte for kreftpasienter som en del av klinisk praksis (WebChoice 2.0). Bakgrunn og hensikt Dette er en forespørsel til deg om å delta

Detaljer

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR Vedtatt av styret for Høgskolen i Finnmark 25. april 2007 i sak S 19/07 1. ANVENDELSE Dette reglement gjelder for all bruk av Høgskolen i Finnmarks (HiF) IT-system.

Detaljer

Delavtale mellom Sørlandets sykehus HF og Lund kommune

Delavtale mellom Sørlandets sykehus HF og Lund kommune Delavtale mellom Sørlandets sykehus HF og Lund kommune Delavtale nr. 9 Samarbeid om IKT-løsninger lokalt Enighet om hvilke plikter og ansvar som partene er ansvarlig for, knyttet til innføring og forvaltning

Detaljer

IS-7/2006. Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler

IS-7/2006. Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler IS-7/2006 Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler Heftets tittel: Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt».

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt». Personvern vilkår Om Velkommen til Hoopla, Hoopla AS ( Selskapet, Vi og/eller Vår ) gjør det mulig for mennesker å planlegge, promotere og selge billetter til et Arrangement. Vi gjør det enkelt for alle

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...

Detaljer

Innsynsbestemmelser og taushetsplikt

Innsynsbestemmelser og taushetsplikt Innsynsbestemmelser og taushetsplikt Arkivmedarbeiderkurs 26.-27. januar 2010 June Wahl, IKA Kongsberg Lovverk Offentleglova Forvaltningsloven Personopplysningsloven Helsepersonelloven og pasientrettighetsloven

Detaljer

Helse- og omsorgsdepartementet HØRINGSNOTAT

Helse- og omsorgsdepartementet HØRINGSNOTAT Helse- og omsorgsdepartementet HØRINGSNOTAT Forslag til endringer i forskrift om nasjonal kjernejournal og forskrift om nasjonal database for elektroniske resepter (reseptformidleren) Utsendt: 23. mai

Detaljer

Norsk Helsenett og kommunene Regionale seminarer høsten 2007

Norsk Helsenett og kommunene Regionale seminarer høsten 2007 Norsk Helsenett og kommunene Regionale seminarer høsten 2007 Norsk Helsenetts formålsparagraf Norsk Helsenett AS er opprettet for å ivareta behovet for et sikkert og enhetlig kommunikasjonsnettverk for

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Tjenesteavtale nr 9. mellom. Bardu kommune. Universitetssykehuset Nord-Norge HF. Samarbeid om IKT-Iøsninger lokalt

Tjenesteavtale nr 9. mellom. Bardu kommune. Universitetssykehuset Nord-Norge HF. Samarbeid om IKT-Iøsninger lokalt UNIVERSITETSSYKEHUSET NORD-NORGE DAVVI NORCCA UNNERS:TEHTABUOHCCEVIESSU BARDU KOMMUNE Tjenesteavtale nr 9 mellom Bardu kommune og Universitetssykehuset Nord-Norge HF om Samarbeid om IKT-Iøsninger lokalt

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

Anbefalt ehelsekompetanse

Anbefalt ehelsekompetanse Anbefalt ehelsekompetanse Anbefalt e- helsekompetanse er publisert men hva trenger helsepersonell av digital kompetanse? 26.oktober 2010 www.kith.no Disposisjon Forventninger og kompetanse I arbeidslivet

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Bilag 8 til Avtale om «Jobb og muligheter» med leveringssted i Sandvika. Databehandleravtale

Bilag 8 til Avtale om «Jobb og muligheter» med leveringssted i Sandvika. Databehandleravtale «Jobb og muligheter» For Akershus vest med leveringssted i Sandvika Side 1 av 5 Bilag 8 til Avtale om «Jobb og muligheter» med leveringssted i Sandvika Databehandleravtale I henhold til personopplysningslovens

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune

Detaljer

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS) AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN Felles Studentsystem (FS) 1. Avtalens parter 1.1 Parter Avtalen inngås mellom, Org.nr: (heretter kalt behandlingsansvarlig)

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

Aktuelle lover. Pasientrettigheter. 1-3.Oppgaver under helsetjenesten. 1-1.Kommunens ansvar for helsetjeneste

Aktuelle lover. Pasientrettigheter. 1-3.Oppgaver under helsetjenesten. 1-1.Kommunens ansvar for helsetjeneste Aktuelle lover Pasientrettigheter John Chr. Fløvig Overlege/ universitetslektor Lov om helsetjenesten i kommunene Lov om spesialisthelsetjenesten m.m. Pasientrettighetsloven Forvaltningsloven Psykisk helsevernloven

Detaljer

Veileder for bruk av tynne klienter

Veileder for bruk av tynne klienter Veileder for bruk av tynne klienter Dette dokumentet er en veileder for bruk av terminaltjener/klient (tynne klienter) for å skille samtidige brukerrettigheter i åpne og sikre soner. April 2005 Postadresse:

Detaljer

Rundskriv HELSETJENESTENS OG POLITIETS ANSVAR FOR PSYKISK SYKE -OPPGAVER OG SAMARBEID

Rundskriv HELSETJENESTENS OG POLITIETS ANSVAR FOR PSYKISK SYKE -OPPGAVER OG SAMARBEID Rundskriv HELSETJENESTENS OG POLITIETS ANSVAR FOR PSYKISK SYKE -OPPGAVER OG SAMARBEID Forord Helsetjenesten og politiet har ulike roller og oppgaver i samfunnet, men vil i noen tilfeller møte felles utfordringer

Detaljer

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet Direktøren Styresak 69- Orienteringssak - Informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 05.06. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Fremdriftsplan Bakgrunn I

Detaljer

FOR 2004-06-25 nr 988: Forskrift om elektronisk kommunikasjon med og i forvaltnin...

FOR 2004-06-25 nr 988: Forskrift om elektronisk kommunikasjon med og i forvaltnin... Page 1 of 7 HJEM RESSURSER TJENESTER HJELP LENKER OM LOVDATA KONTAKT OSS SØK FOR 2004-06-25 nr 988: Forskrift om elektronisk kommunikasjon med og i forvaltningen (eforvaltningsforskriften) Skriv ut DATO:

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

Personvernpolicy for forbrukerkunder

Personvernpolicy for forbrukerkunder Personvernpolicy for forbrukerkunder 1. Kontrollør av filer med personlige data Tikkurila Norge AS (heretter kalt Tikkurila) Stanseveien 25 0976 Oslo Tlf.: (+47) 22 80 32 90 Faks: (+47) 22 80 32 91 2.

Detaljer