Sikkerhetskrav for systemer



Like dokumenter
Sikkerhetskrav for systemer

Sikkerhetskrav for systemer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

HVEM ER JEG OG HVOR «BOR» JEG?

Krav til informasjonssikkerhet

Videokonsultasjon - sjekkliste

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Bruk av databehandler (ekstern driftsenhet)

Veileder for tilgangsstyring

MTU - Krav til informasjonssikkerhet

Introduksjonskurs til Normen Normens krav. Jan Henriksen Sekretariatet for Normen

Sikkerhetsrevisjon Sjekkliste for å ivareta kravene i Normen

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Bruk av databehandler (ekstern driftsenhet)

Ansvar og organisering

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Noen utvalgte faktaark og veiledere. Åpent kurs

Pasientjournalloven - endringer og muligheter

Plikt- og rettssubjekter. Den som har krav på noe, den som har rett på noe. Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort

Veileder i personvern og informasjonssikkerhet ved tilgang til helseopplysninger mellom virksomheter

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Innholdsfortegnelse. Veiledning i selvdeklarering av programvare

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Behandling av helse- og personopplysninger ved legekontoret

Pasientjournalloven og helseregisterloven

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

mellom leverandør og virksomhet

Norm for informasjonssikkerhet i helsesektoren

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Behov for oppdatering av EPJ standard som følge av regelverksendringer mv

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Norm for informasjonssikkerhet

Ny pasientjournallov endringer og muligheter

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner

Deres ref. Deres dato Vår ref. Vår dato /ASD /10ToNy

Veiledende merknader til helseregisterloven 13 og helseinformasjonssikkerhetsforskriften

Norm for informasjonssikkerhet Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Noen utvalgte faktaark og veiledere. Åpent kurs 15. mars 2018

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

IS-7/2006. Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler

Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN

Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Ny pasientjournallov - endringer og muligheter

innhente taushetsbelagte helseopplysninger. Setningen burde derfor omformuleres.

Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato:

Høringsuttalelse - Forslag til ny kommunal helse- og omsorgslov

Samarbeid mellom virksomheter om felles journal

Saksbehandler: Toril Løberg Arkiv: H01 &13 Arkivsaksnr.: 13/ Dato: HØRING - FORSLAG TIL FORSKRIFT OM NASJONAL KJERNEJOURNAL

Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten

LÆRINGS- og GJENNOMFØRINGSPLAN

Samarbeid mellom virksomheter om felles journal

Oversiktstabell for faktaark, veiledere og kurs til Normen

Høringsuttalelse - Forslag til forskrift om informasjonssikkerhet, tilgangsstyring og tilgang til helseopplysninger i behandlingsrettede helseregistre

Sertifisering av funksjonalitet i EPJ-system

Bransjenorm. for informasjonssikkerhet og personvern i helse- og omsorgstjenesten

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Endelig kontrollrapport

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Personvernerklæring Stendi

Ny lov nye muligheter for deling av pasientopplysninger

Ot.prp. nr. 51 ( )

Kunngjort 28. august 2017 kl PDF-versjon 30. august 2017

Rettslig regulering av helseregistre

Anbefalt ehelsekompetanse

Datasikkerhet internt på sykehuset

Databehandleravtaler

Lovvedtak 75. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( )

Norm for behandling av personopplysninger og informasjonssikkerhet i idretten

Kontroll av oppslag i elektronisk pasientjournal

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Høringsutkast til EPJ standard del 2: Tilgangsstyring, redigering, retting og sletting

Innsatsområder nasjonalt nivå i helsetjenesten Nasjonalt meldingsløft Kjernejournal Helsepolitiske mål E-resept Helseportal Helseregistre EPJ Velferds

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Veileder for behandling av personopplysninger og informasjonssikkerhet i idretten

Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger mellom virksomheter

Det skal ikke være lett! Elektronisk sårjournal: Liten brikke i stort spill

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten

HØRINGSUTTALELSE - FORSKRIFT OM INFORMASJONSSIKKERHET, TILGANGSSTYRING OG TILGANG TIL HELSEOPPLYSNINGER

Høring av forslag til forskrift om informasjonssikkerhet, tilgangsstyring og tilgang til helseopplysninger i behandlingsrettede helseregistre

Tilgangskontroll i fugleperspektiv Tilgangskontroll i IT-systemer de fire A-er Administrasjon Autentisering Autorisasjon Audit (etterhåndskontroll) Av

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

LÆRINGS- og GJENNOMFØRINGSPLAN

Personvern i Dødsårsaksregisteret Lysebu, 7. november 2011

DRAMMEN KOMMUNE. Postmottak HOD

Lovlig journalbruk Oppslag i og bruk av Pasientjournalen

Databehandleravtale etter personopplysningsloven

Formidling av pasientinformasjon ny lovgivning (i forbindelse med pasientbehandling) NSH

Transkript:

Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt for: Gi innkjøper av systemer i helse- og omsorgstjenesten et hjelpemiddel for å sikre at systemene inneholder løsninger iht kravene i. Faktaarket skal benyttes som grunnlag for selvdeklareringsordningen for programvare i helse- og omsorgstjenesten, hvor det er utarbeidet detaljerte beskrivelser av hvordan leverandøren kan oppfylle kravene. Virksomhetens leder er ansvarlig for at systemer som tas i bruk for behandling av helse- og personopplysninger inneholder nødvendige sikkerhetsløsninger. Ved anskaffelse av systemer i helse- og omsorgstjenesten skal leverandøren dokumentere at nødvendige sikkerhetsløsninger er etablert. Innkjøper kan benytte sjekklisten i faktaarket som grunnlag for dokumentasjonen. Gjelder alle fagsystemer som benyttes til behandling av helse- og personopplysninger i helse- og omsorgstjenesten. For eksempel elektronisk pasientjournal, pasientadministrasjon, laboratoriesystem, rekvisisjon og svar og elektromedisinsk utstyr som inneholder helse- og personopplysninger Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder Ansatt / medarbeider Forsker Personvernombud Hjemmel ene i faktaarket er hjemlet i lov og forskrift (jf. kapittel 1.2). Enkelte tilleggskrav er fastsatt i Referanser Faktaark 14 - Tilgangsstyring Faktaark 15 - Hendelsesregistrering og oppfølging Faktaark 31 - Passord og passordhåndtering Sikkerhetskrav som skal ivaretas i systemer som behandler helse- og personopplysninger. Faktaarket er à jour med 5. utgave av. IKT-ansvarlig Databehandler Leverandør ene nedenfor følger av. For enkelte krav er det angitt en utdypning av kravet som ikke direkte kan leses ut av. Disse er angitt som Utdypning av kravet:. Nr Autorisering 1. Tilgangsstyring skal etableres for alle behandlingsrettede 5.2 helseregistre (inkl elektronisk pasientjournal (EPJ)) og fagsystemer 2. Autorisering skal skje selvstendig for hver enkelt rolle 3. Ulike ansettelsesforhold skal identifiseres 4. All tildeling av autorisasjon skal registreres i et autorisasjonsregister Faktaark 38 - Sikkerhetskrav for systemer Side 1 av 5

5. Databehandlingsansvarlig skal sørge for at det opprettes et autorisasjonsregister. Registeret skal som minimum inneholde: informasjon om hvem som er tildelt autorisasjon til hvilken rolle autorisasjonen er tildelt formålet med autorisasjonen tidspunkt for når autorisasjonen ble gitt og eventuelt tilbakekalt informasjon om hvilken virksomhet den autoriserte er knyttet til helsepersonells autorisasjon for tilgang til helseopplysninger i annen virksomhet (kun om tilgang til helseopplysninger i annen virksomhet er tatt i bruk) Utdypning av kravet: Det skal også registreres hvem (fysisk identifiserbar person) som har opprettet (registrert) autorisasjonen 6. Ved tilgang til helseopplysninger mellom virksomheter skal autorisasjonen tidsbegrenses 7. 5 års lagring minimum fra det tidspunkt dokumentet ble tatt ut av bruk: Oversikt over tildelte autorisasjoner og tilganger til helse- og personopplysninger (autorisasjonsregister) 8. Tildelt autorisasjon skal sikre at den enkelte kan få tilgang til e og nødvendige helse- og personopplysninger i samsvar med personellets ansvar og oppgaver Utdypning av kravet: Tildelt autorisasjon skal kunne tidsavgrenses 9. For personer som har ulike roller i virksomheten, skal autorisering skje for hver rolle uavhengig av vedkommendes øvrige roller 10. Autorisasjon for å lese, registrere, redigere, rette, slette og/eller sperre helse- og personopplysninger skal gis til dem som har tjenstlig behov 11. Kun teknisk personell med særskilt behov for tilgang, kan autoriseres for større mengder helse- og personopplysninger 12. Tilgang til behandlingsrettede helseregistre skal gis etter en konkret beslutning basert på at det er iverksatt eller skal iverksettes tiltak for medisinsk behandling av pasienten 13. Systemet som administrerer autorisasjon skal skille mellom rettigheter til å lese, registrere, redigere, rette, slette og/eller sperre helse- og personopplysninger 14. Hendelsesregistrene, autorisasjonsregister og tilstedeværelsesregister skal sikres mot endring og sletting av uautorisert personell Hendelsesregistrene skal sikres mot endring og sletting av uautorisert personell 3.3.4 5.2.3 5.2.6 Faktaark 38 - Sikkerhetskrav for systemer Side 2 av 5

15. Dersom det er åpnet for nødrettstilgang, skal tekniske tiltak etableres på en slik måte at helsepersonell i nødrettssituasjoner, kan få tilgang til nødvendige helse- og personopplysninger. Slik tilgang skal grunngis og registreres i behandlingsrettede helseregistre (inkl elektronisk pasientjournal (EPJ)) 16. Nødrettstilgang kan etableres som en mulighet for autoriserte brukere til å gi seg selv tilgang uten å følge fastsatte prinsipper for å få tilgang til helse- og personopplysninger 17. Begrunnelsen for nødrettstilgang skal dokumenteres og hvert enkelt tilfelle skal følges opp som et avvik. 18. Virksomhetens ledelse skal påse at det jevnlig gjennomføres kontroll av hvem som har hatt elektronisk tilgang til helseopplysninger i et behandlingsrettet helseregister (inkl elektronisk pasientjournal (EPJ)) eller i et fagsystem. Ved tilgang til helseopplysninger mellom virksomheter skal det i tillegg kontrolleres hvorfor tilgangen er benyttet og tidsperioden helseopplysningene er hentet fram. Utdypning av kravet: Behandlingsrettet helseregister inkl elektronisk pasientjournal (EPJ) eller fagsystem må ha funksjonalitet slik at kontrollen kan gjennomføres effektivt. Autentisering 19. Autentisering må sikre identifisering i korrekt rolle i hvert enkelt tilfelle. 20. Ulike roller skal identifiseres og ved behov gis ulike 21. Ved tilgang til behandlingsrettede helseregistre (inkl elektronisk pasientjournal (EPJ)) og fagsystemer skal ulike ansettelsesforhold identifiseres og gis ulike 22. Flere personer skal ikke benytte samme Utdypning av kravet der det ikke benyttes PKI: Passordet skal kunne byttes enkelt av bruker Tvunget skifte av passord skal være teknisk mulig Passordets kvalitet og varighet skal kunne konfigureres 23. Tekniske tiltak skal iverksettes slik at personer i eller utenfor virksomheten uansett ressurser og kunnskap ikke skal kunne endre opplysninger uten at det registreres i behandlingsrettede helseregistre (inkl elektronisk pasientjournal (EPJ)) og fagsystem hvem som har endret og hva som er endret. Utdypning av kravet der det ikke benyttes PKI: Passordfil skal krypteres 4.4.3 4.4.3 6.5 Faktaark 38 - Sikkerhetskrav for systemer Side 3 av 5

24. Alle systemer skal ha mekanismer som hindrer uautoriserte endringer av helse- og personopplysninger Hendelsesregistrering 25. Hendelsesregistre med sikkerhetsmessig betydning, herunder registrering av autorisert bruk og forsøk på uautorisert bruk av informasjonssystemene, skal tas vare på til det av helsehjelpens karakter ikke lenger antas å bli bruk for. 26. Det skal registreres i hendelsesregistre i behandlingsrettede helseregistre (inkl elektronisk pasientjournal (EPJ)) og fagsystem hvem som har hatt tilgang. Det skal registreres i det behandlingsrettede helseregisteret (inkl elektronisk pasientjournal (EPJ)) eller fagsystemet når autorisasjonen benyttes. 27. Ved tilgang til helseopplysninger mellom virksomheter skal det være en funksjon for å sperre tilgang til helseopplysninger for helsepersonell fra andre virksomheter Med sperring menes en teknisk løsning der hele eller deler av journalen gjøres utilgjengelige for helsepersonell. Opplysningene skal kunne sperres overfor både enkeltpersoner, grupper av helsepersonell og virksomheter. 28. Det skal registreres i behandlingsrettede helseregistre (inkl elektronisk pasientjournal (EPJ)) og fagsystemer hvem som har foretatt registrering, endring, retting og sletting 29. For å oppdage brudd eller forsøk på å bryte regelverket skal det som minimum føres hendelsesregistre over følgende: - Autorisert bruk av informasjonssystemene skal registreres. - Alle informasjonssystemer skal registrere alle forsøk på uautorisert bruk. - Bruk av nødrettstilgang til behandlingsrettet helseregister skal registreres. 30. Følgende skal som minimum registreres i hendelsesregistre: - entydig identifikator for den autoriserte brukeren - rollen den autoriserte brukeren har ved tilgangen - virksomhetstilhørighet - organisatorisk tilhørighet til den som er autorisert - hvilke type opplysninger det er gitt tilgang til - hvem som har fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer - grunnlaget for tilgangen - tidspunkt og varighet for tilgangen 3.3.4 5.2.8 4.4.1 Faktaark 38 - Sikkerhetskrav for systemer Side 4 av 5

31. Ved tilgang til helseopplysninger mellom virksomheter skal i tillegg følgende hendelsesregistreres: - hvorfor helseopplysningene er hentet fram - hvilke tidsperioder vedkommende har hentet fram helseopplysningene 32. Alle hendelsesregistre skal kunne analyseres ved hjelp av egnet verktøy og ved behov sammenholdes med autorisasjonsregister og tilstedeværelsesregister. Pasientrettigheter 33. Det skal etableres prosedyrer for å sikre at den registrertes rettigheter for innsyn i hendelsesregistre blir ivaretatt. Prosedyrene skal som et minimum sikre at den registrerte får informasjon om: - Hvem som har hatt tilgang eller fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer eller på noen annen måte direkte eller indirekte kan knyttes til pasienten eller brukeren - Hvor ofte tilgangen er benyttet. 34. Ved tilgang til helseopplysninger mellom virksomheter skal i tillegg den registrerte få informasjon om: - Person og organisatorisk tilhørighet til den som har hentet fram opplysningene - Hvorfor helseopplysningene er hentet fram - Hvilke tidsperioder vedkommende har hentet fram helseopplysningene 35. Det skal etableres prosedyrer og gjennomføres tiltak for å sikre at: - Pasienten/brukeren får informasjon om virksomhetens behandling av helse- og personopplysninger, og sine rettigheter til innsyn i, retting, sletting og sperring av registrerte opplysninger om seg selv. Integritet 36. Helse- og personopplysninger skal henføres til rett identifisert person 37. Helse- og personopplysninger skal føres i henhold til kodeverket 5.3.4 5.3.4 5.3.3 Faktaark 38 - Sikkerhetskrav for systemer Side 5 av 5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding