Krav til informasjonssikkerhet

Like dokumenter
Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

MTU - Krav til informasjonssikkerhet

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

Introduksjonskurs til Normen Normens krav. Jan Henriksen Sekretariatet for Normen

Behandling av helse- og personopplysninger ved legekontoret

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer

Videokonsultasjon - sjekkliste

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag. Tor Ottersen

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

HVEM ER JEG OG HVOR «BOR» JEG?

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Bruk av databehandler (ekstern driftsenhet)

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Databehandleravtale etter personopplysningsloven

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Veileder for tilgangsstyring

Noen utvalgte faktaark og veiledere. Åpent kurs

LÆRINGS- og GJENNOMFØRINGSPLAN

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Sikkerhetsrevisjon Sjekkliste for å ivareta kravene i Normen

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

SIKKERHETSINSTRUKS - Informasjonssikkerhet

OM PERSONVERN TRONDHEIM. Mai 2018

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Plikt- og rettssubjekter. Den som har krav på noe, den som har rett på noe. Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Bruk av databehandler (ekstern driftsenhet)

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Databehandleravtale mellom Oslo universitetssykehus HF (org nr ) ved MBT-Kvalitetslaboratorium og [Sett inn foretak]

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Databehandleravtale for NLF-medlemmer

102 Definisjoner og forklaringer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Arkivsystemer med skyløsninger

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Ny lov nye muligheter for deling av pasientopplysninger

Bilag 14 Databehandleravtale

Databehandleravtaler

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Databehandleravtale digitale arkiv og uttrekk for deponering

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Norm for informasjonssikkerhet i helsesektoren

Databehandleravtale etter personopplysningsloven

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Veiledende merknader til helseregisterloven 13 og helseinformasjonssikkerhetsforskriften

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Behov for oppdatering av EPJ standard som følge av regelverksendringer mv

POWEL DATABEHANDLERAVTALE

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

Datasikkerhet internt på sykehuset

Veileder for behandling av personopplysninger og informasjonssikkerhet i idretten

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

LÆRINGS- og GJENNOMFØRINGSPLAN

PERSONVERN I C-ITS

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

EPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE. Informasjonssikkerhet Jan Gunnar Broch PMU 2018

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Noen utvalgte faktaark og veiledere. Åpent kurs 15. mars 2018

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

Veileder i personvern og informasjonssikkerhet ved tilgang til helseopplysninger mellom virksomheter

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Transkript:

Krav til informasjonssikkerhet

Innhold Informasjonssikkerhet vs personvern Eksempler på sårbarheter MTU og Normen Krav til informasjonssikkerhet i Normen 17.03.2018 2

Informasjonssikkerhet - begrep Behandler helse- og personopplysninger om pasient og bruker Plikt til å føre journal Forpliktelse ift pasienten kontinuitet i ytelse av helsehjelp Konfidensialitet Integritet Tilgjengelighet 17.03.2018 3

Personvern vs informasjonssikkerhet Personvern Privatlivets fred Regulere bruk av personopplysninger Informasjonssikkerhet Virkemidler for å sikre personvernet Konfidensialitet Integritet Tilgjengelighet Rett Plikt 17.03.2018 4

Eksempler på sårbarheter Helseopplysninger er ufullstendige Uautorisert tilgang og innsyn i helseopplysninger Tyveri av utstyr med helseopplysninger Tap av lagringsmedia eller bærbar PC med helseopplysninger Ødeleggelse av lagringsmedia eller datautstyr 17.03.2018 5

Eksempler på sårbarheter forts. Ny versjon av programvare installeres, men virker ikke helt eller delvis Trådløst nettverk er ikke sikret Avtale med leverandør dekker ikke personvern og informasjonssikkerhet 17.03.2018 6

MTU og Normen Lagringsenhet for elektromedisinsk utstyr som behandler helse- og personopplysninger skal plasseres i avlåst rom eller i bemannet område Elektromedisinsk utstyr som behandler helse- og personopplysninger skal inkluderes i virksomhetens arbeid med informasjonssikkerhet, herunder i risikovurderinger, tilgangsstyring og prosedyrer for bruk, på linje med andre informasjonssystemer 17.03.2018 7

Behandling i PVF «behandling» enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring 17.03.2018 8

MTU og Normen Oversikten kan f.eks. utarbeides som en database med oversikt over de systemer og registre for behandling av helse- og personopplysninger som til enhver tid er i bruk i virksomheten. Dette kan omfatte IT-systemer, databaser, prosjekter (forskningsprosjekter etc.), elektromedisinsk utstyr og manuelle registre mv. 17.03.2018 9

Autorisasjon til helse- og personopplysninger Tilgang kun ift. tjenstlig behov Skille mellom lese, registrere, redigere, rette, slette, sperre (K) Tilgangsstyring (K) Unik autentisering av den enkelte bruker (rolle + brukernavn og passord) (K, I) Fellesbruker for nettverkspålogging er OK 17.03.2018 10

Tilgang til helse- og personopplysninger Logging av (K, I) Autorisert bruk Forsøk på uautorisert bruk Autorisasjon av teknisk personell (K,I,T) Årlig kontroll av tildelte autorisasjoner (K, I) 17.03.2018 11

Tilgang mellom virksomheter autorisasjon for tilgang til helseopplysninger i annen virksomhet skal beskrive rettigheter og plikter som følger av autorisasjonen være i samsvar med helsepersonellovens regler om taushetsplikt dokumenteres i virksomhetens autorisasjonsregister tidsbegrenses alltid vurderes og eventuelt endres når det oppstår endringer i ansvarsområder eller ansettelsesforhold 17.03.2018 12

Tilgang mellom virksomheter kun gi tilgang til opplysninger som er relevante og nødvendige for å yte, administrere eller kvalitetssikre helsehjelp til pasienten 17.03.2018 13

Forsøk på uautorisert bruk Tilgangsstyring - prinsipper Virksomhet Organisatorisk enhet Formålet med tilgangen Bruker i en rolle Autorisering Autorisasjonsregister Autentisering Tilgang til helseopplysninger Autorisert bruk Logger 17.03.2018 sikkerhetsnormen@ehelse.no / www.normen.no 14

Autentisering Autentisering skal: sikre identifisering av den enkelte bruker sikre identifisering i korrekt rolle ved behov kreve ulike autentiseringskriteria for hver rolle Ulike ansettelsesforhold skal identifiseres og gis ulike autentiseringskriteria Autentiseringen skal være tilstrekkelig ift risikovurdering 17.03. 2018

Sikker autentisering Med sikker autentiseringsløsning menes i Normen en autentiseringsløsning som for eksempel er basert på personlig kvalifisert sertifikat eller annen autentiseringsløsning som gjennom en risikovurdering viser at den har tilstrekkelig sikkerhet. 17.03.2018 16

Autorisasjonsregister Databehandlingsansvarlig skal sørge for at det oppettes et autorisasjonsregister Skal som minimum inneholde informasjon om hvem som er tildelt autorisasjon til hvilken rolle autorisasjonen er tildelt formålet med autorisasjonen tidspunkt for når autorisasjonen ble gitt og eventuelt tilbakekalt informasjon om hvilken virksomhet den autoriserte er knyttet til helsepersonellets autorisasjon for tilgang til helseopplysninger i annen virksomhet Skal oppbevares i minimum 5 år Fra det tidspunkt autorisasjonen tas ut av bruk 17

Logging Plikt til logging i systemer Autorisert bruk og alle forsøk på uautorisert bruk All bruk av nødrettstilgang med begrunnelse Plikt til logging i infrastruktur Operativsystem Sikkerhetsbarrierer Oppbevaring av logger Til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem? Sikres mot uautorisert tilgang og sletting Rett tidsstempel 18

Logger autorisert bruk Skal minimum inneholde entydig identifikator for den autoriserte brukeren rollen den autoriserte brukeren har ved tilgangen virksomhetstilhørighet organisatorisk tilhørighet til den som er autorisert hvilke type opplysninger det er gitt tilgang til hvem som har fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer grunnlaget for tilgangen tidspunkt og varighet for tilgangen Skal oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for det analyseres (ukentlig) for å identifisere sikkerhetsbrudd 17.03.2018 19

Logging forsøk uautorisert bruk Kan følgende logges brukeridentiteten som ble benyttet tidspunkt (dato og klokkeslett) IP-adresse eller annen identifikasjon av PC/arbeidsstasjon som ble benyttet (for eksempel MAC-adresse eller NAT-adresse) Oppbevaring? 17.03.2018 20

Logger ved tilgang mellom virksomheter Skal dokumenteres automatisk Skal i tillegg inneholde person og organisatorisk tilhørighet til den som har hentet frem opplysningene hvorfor opplysningene er hentet frem hvilke tidsperioder vedkommende har hentet frem opplysningene 17.03.2018 21

Kontroller ved tilgang mellom virksomheter Partene skal samarbeide om kontroll av tilganger Den som autoriserer helsepersonell for tilgang, skal løpende kontrollere hvem i egen virksomhet som elektronisk har hentet frem helseopplysninger fra annen virksomhet hvorfor dette er gjort tidsperioden opplysningene er hentet frem Viser kontrollen urettmessigheter skal virksomheten opplysningene er hentet fra og pasienten opplysningene gjelder, varsles 17.03.2018 22

, jeg trodde jeg hadde innsynsrett.. 17.03.2018 23

Innsyn Pasienten/brukeren og den ansatte har rett til innsyn i registrerte opplysninger Henvendelse skal besvares innen 30 dager Om innsyn er besluttet skal minimum følgende meddeles: Navn, rolle og organisatorisk tilhørighet til den som har hatt tilgang Tidspunkt Hvilke opplysninger det ble gitt tilgang til Registreringsdato for den enkelte opplysning Ved tilgang mellom virksomheter person og organisatorisk tilhørighet til den som har hentet frem opplysningene hvorfor opplysningene er hentet frem hvilke tidsperioder vedkommende har hentet frem Rett på forklaring og utskift 24

Tekniske sikkerhetsløsninger Kryptering av ekstern kommunikasjon - NSM (K, I) To uavhengige tekniske tiltak mot eksterne nettverk (K, I) Skille behandling av helseopplysninger og eksterne nettverk - teknisk løsning med sikkerhetsbarrierer (K, I) Hindre uautorisert tilgang Antivirus hindre uautorisert endring All kommunikasjon skal starte innenfra eget nettverk Teknisk løsning fra Norsk helsenett er innenfor kravene for skille (K, I) 17.03.2018 25

Tekniske sikkerhetsløsninger Skytjenester (fjernlagring, synkronisering, kontorstøtte, osv) Risikovurdering av behandling av helse- og personopplysninger Databehandleravtale norsk rett gjelder Virksomheten og databehandler har ansvaret 17.03.2018 26

17.03.2018 27

Sikkerhets- og tilbakekopiering Dokumenterte rutiner (K, I, T) Periodisk Ansvar Sikkerhetskopi skal oppbevares (K, I, T) Avlåst Brannsikkert Adskilt fra driftsutstyret (server) Jevnlig test at sikkerhetskopiene (T) er korrekte kan tilbakeføres Nødrutiner skal utarbeides hva gjør virksomheten om journalopplysninger ikke er tilgjengelige? (T) Ekstern oppbevaring av sikkerhetskopi anbefales (T) 17.03.2018 28

Databehandler Med databehandler menes den som behandler helse- og personopplysninger på vegne av den databehandlingsansvarlige En databehandler er en ekstern person eller virksomhet utenfor den databehandlingsansvarliges virksomhet Eksempel: leverandør drifter RIS for helseforetaket Mal for databehandleravtale finnes på normen.no 17.03.2018 29

Service på utstyr / avhending av utstyr Fjernes utstyr som inneholder helse- og personopplysninger fra virksomheten må det opprettes en databehandleravtale med serviceyter (K) Service på stedet er å anbefale, men ikke et krav Ved utrangering av utstyr/lagringsmedia skal lagringsmedia slettes forsvarlig eller destrueres (K) 17.03.2018 30

Utskrifter / faks (papirdokumenter) Rutiner for behandling av utskrifter (K) Sikring Arkivering Makulering Bruk av faks for helse- og personopplysninger (K) Anonymiseres Samtykke fra pasienten 17.03.2018 31

Minnepinner og andre flyttbare Merkes tydelig (K) Skal krypteres (K, I) lagringsmedier Slettes forsvarlig destrueres ved utrangering (K) Oppbevares avlåst (K, I, T) Sendes som rekommandert post (K, I, T)* 17.03.2018 32

SMS og e-post (K) Skal aldri brukes til helseopplysinger Skal aldri inneholde 11-sifferet fødselsnummer Mottas helseopplysninger via SMS eller e-post svarer virksomheten at Henvendelser med helseopplysninger blir ikke besvart. Bruk telefon eller fremmøte SMS krever samtykke fra pasient/bruker 17.03.2018 33

Fysisk sikring Sikring av server og kommunikasjonsutstyr (K, I, T) Bemannet eller avlåst område Sikring av PC (K, I, T) Soneprinsippet ifm. resepsjoner, behandlingsrom, mv. (K, I, T) Hjelp for å ivareta den aktiv taushetsplikten 17.03.2018 34

Plassering av skjerm og skiver/faks (K) Plasser skjerm og skriver skjermet for innsyn og adgang Gjør en gjennomgang av virksomhetens lokaler Viktig å ta hensyn til ved flytting 17.03.2018 35

Aktiv taushetsplikt (K) Skjermsparer med passord manuell / automatisk Plassering av utstyr Låse kontor Låse ned dokumenter og notater Makulere Reelle data som testdata Utrangering av teknisk utstyr (multifunksjonskriver) 17.03.2018 36

Hjemmekontor Arbeidsgivers utstyr (K, I, T) Sikker teknisk løsning (K, I, T) Autentisering som for stasjonært utstyr(k, I) Fysisk sikring av utstyr (K, I, T) Rutiner for bruk (K, I) Utskrift er ikke å anbefale (K) Hvis utskrift; sikring, arkivering, makulering Hindre uautorisert tilgang og innsyn (K, I) Kryptering av lagringsenhet på bærbart utstyr er tilstrekkelig (K, I) 17.03.2018 37

Andre krav i Normen Taushetsplikt (K) Kontroll av tilgangsstyring ved sikkerhetsbrudd (K, I, T) Nødrettstilgang skal grunngis og følges opp som avvik (K, I) Helseopplysninger skal knyttes til rett identifisert person (I, T) være fullstendige og ajourført i forhold til behandlingen av opplysningene (I) føres i henhold til kodeverket (bl.a. ICD-10) (I) Krav til systemer (se Faktaark 38) (K, I, T) 17.03.2018 38

17.03.2018 39

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding