Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Transkript

1 Norm for informasjonssikkerhet Helse- og omsorgstjenesten Tor Ottersen HVA - HVORFOR - HVORDAN

2 Hva er Normen Et omforent sett av adferdsregler og tiltak Besluttet og forvaltet av sektoren, forankret i EU-direktiv 46/95 artikkel 27 POL 42, 6 NOU 1997:19 Basert på lover og forskrifter kontrollert og godkjent av lovtolkende myndigheter (Normkrav har blitt innlemmet i lovverket f. eks Hpl 21a) Juridisk bindende ved avtale

3 Personvern Kontroll over egne personopplysninger Samtykke er grunnlaget for all behandling Hva skal de brukes til - Formålet Hvem som har tilgang Innsynsrett Tilbaketrekning av samtykket Kun vitale nasjonale interesser skal kunne overstyre samtykket

4

5 Informasjonssikkerhet Sikring av innsamlede data Kun formålsbestemt bruk Kun de med tjenstlig behov får tilgang Ikke tukles med Tilgjengelighet

6 BAKGRUNN Helse- og omsorgstjenesten er: Enorm både i antall årsverk og omsetning Organisatorisk fragmentert (17k-25k) Har sensitive personopplysninger som grunnlag for all virksomhet Og krever stadig mer samhandling på tvers Stort og komplekst lovverk Leverandører Kjenner de kravene?

7 LØSNINGEN Norm for informasjonssikkerhet Helse- og omsorgstjenesten

8 STYRINGSGRUPPEN Helsedirektoratet Den norske Legeforening Sykepleierforbundet Norges Apotekforening KS Den norske Tannlegeforening Den offentlige tannhelsetjeneste Psykologene De regionale Helseforetak NAV Norsk Helsenett Private laboratorier Farmasøytene Fysioterapeutene DIFI (observatør) Datatilsynet (observatør) HOD (observatør) Observatører har tale- og forslagsrett Sekretariat i Helsedirektoratet

9 ARBEIDSFORM Det foreligger en vedtatt prosedyre for utarbeidelse av dokumenter/materiell (P0) Alle kan sende inn forslag til nytt materiell 1. SG vedtar utarbeidelse og prioriterer 2. Sekretariatet leder arbeidet (delvis ved bruk av eksterne konsulenter) 3. Sektoren stiller med personell i arbeids- /referansegrupper (gjerne med deltagelse fra DT) 4. Helsedirektoratet kvalitetssikrer mhp jus 5. SG godkjenner

10 MULIGHETER Praktiske løsninger innenfor lovverkets rammer Bistå til en felles forståelse Påvirke lovtolkningen (hvordan skal alt dette forstås)

11 NORMEN Tilleggene Veiledere (Normen angir bare kravene ingen løsninger) Svartjeneste Kurs og utdanning Rådgivning

12 2. Normen med støttedokumenter Juridisk bindende ved avtale: Normen: Normen ( Code of conduct ) og en del faktaark / veiledere er oversatt til engelsk Veiledende: Støttedokumenter: Kursmateriell: Veiledere / malverk Faktaark

13 Evaluering HOVEDKONKLUSJON «I sektoren tegnes det et entydig bilde av at en ikke ville hatt samme kvalitative informasjonssikkerhet uten Normen»

14 Datatilsynets oppfatning Fra foredrag Normkonferansen 2012 Helge Veum, avd. dir, Datatilsynet

15 NORMEN Lovverkets krav - ferdig tolket og tygd Ingen begrensninger (nå) utover lovverkets krav, dvs det er lovverket som setter begrensningene I tillegg: Forslag til praktiske løsninger og bistand

16 Systemkrav Faktaark 38 Skal JEG oppfylle lovens krav MÅ systemene oppfylle visse krav Beskrevet i F38: Autorisering Autentisering Hendelsesregistrering Pasientrettigheter Integritet Totalt 38 krav

17 Om medisinsk teknisk utstyr i Normen: Kap Medisinsk teknisk utstyr Medisinsk teknisk utstyr som behandler helseog personopplysninger skal inkluderes i virksomhetens arbeid med informasjonssikkerhet, herunder risikovurderinger, tilgangsstyring og prosedyrer for bruk, på linje med andre informasjonssystemer

18 Veileder medisinsk-teknisk utstyr og informasjonssikkerhet Bredt sammensatt referansegruppe Ferdigstilles i desember Vektlegger en risikobasert tilnærming, der tiltak prioriteres etter risiko Bruksscenarier -> Risikobilde -> Tiltak Worklist / data Nettverk

19 Veileder sosiale medier Praktisk verktøy når virksomheten skal utforme retningslinjer for bruk av sosiale medier Tre deler: Overordnede problemstillinger ledelsen må ta stilling til Tekstforslag Råd for bruk av sosiale medier for deg som jobber i <virksomheten> Tekstforslag Gode råd for bruk av sosiale medier for pasienter / brukere og deres pårørende Tilpasses den enkelte virksomhet!

20 Veileder video-, lyd- og bildeopptak av pasient / bruker Ulike formål, f.eks Dokumentasjon av helsehjelp Veiledning, undervisning Internkontroll og Informasjonssikkerhet Mal informasjons- og samtykkeskjema Mal risikovurdering - med eksempelscenarier

21 Tilgang til helseopplysninger mellom virksomheter ( 19) Pasientjournalloven åpner for «tilgang-påtvers» Ny veileder som beskriver forutsetninger og løsninger publisert primo november (ny versjon basert på erfaringer planlagt høsten 2016)

22 Felles journal Pasientjournalen 9 åpner for virksomhetsovergripende behandlingsrettede helseregistre «Ingen» særskilte krav for at to eller flere virksomheter kan samarbeide om felles journal Veileder publisert våren