Vi vil ut I skyen hva gjør vi? Tilgangsstyring Foredrag på NIFS-møte 12.9.18 ved Seniorrådgiver Mari Vestre Difi
Hva er tilgangsstyring? tilgangsstyring. Regler for å styre hvem som skal ha tilgang til hvilke opplysninger eller systemer. Synonym: tilgangskontroll Kilde: Datatilsynet (https://www.datatilsynet.no/regelverk-og-verktoy/verktoy/ordbok-a-til-a/)
Hva er tilgangsstyring? tilgangsstyring. Regler for å styre hvem som skal ha tilgang til hvilke opplysninger eller systemer. Synonym: tilgangskontroll
Hva er tilgangsstyring? tilgangsstyring. Regler for å styre hvem som skal ha tilgang til hvilke opplysninger eller systemer. Synonym: tilgangskontroll MEN..
Kilde Helsedirektoratets «Behov og kravspesifikasjon» https://www.anskaffelser.no/verktoy/behov-og-kravspesifikasjon
Kilde Helsedirektoratets «Behov og kravspesifikasjon» https://www.anskaffelser.no/verktoy/behov-og-kravspesifikasjon
Kilde Helsedirektoratets «Behov og kravspesifikasjon» https://www.anskaffelser.no/verktoy/behov-og-kravspesifikasjon
Sky-leverandøren Kilde Helsedirektoratets «Behov og kravspesifikasjon» https://www.anskaffelser.no/verktoy/behov-og-kravspesifikasjon
Sky-leverandøren Kilde Helsedirektoratets «Behov og kravspesifikasjon» https://www.anskaffelser.no/verktoy/behov-og-kravspesifikasjon
Brukerstøtte/ support Sky-leverandøren Kilde Helsedirektoratets «Behov og kravspesifikasjon» https://www.anskaffelser.no/verktoy/behov-og-kravspesifikasjon
Brukerstøtte/ support Sky-leverandøren Kilde Helsedirektoratets «Behov og kravspesifikasjon» https://www.anskaffelser.no/verktoy/behov-og-kravspesifikasjon
Brukerstøtte/ support Sky-leverandøren Brukerstøtte/ support Kilde Helsedirektoratets «Behov og kravspesifikasjon» https://www.anskaffelser.no/verktoy/behov-og-kravspesifikasjon
Brukerstøtte/ support Sky-leverandøren Krav i regelverket Jurisdiksjon Brukerstøtte/ Sikkerhetsvurdering support Revisjon Tredjeparter Kilde Helsedirektoratets «Behov og kravspesifikasjon» https://www.anskaffelser.no/verktoy/behov-og-kravspesifikasjon
Kilde Helsedirektoratets «Behov og kravspesifikasjon» https://www.anskaffelser.no/verktoy/behov-og-kravspesifikasjon Krav i regelverket Jurisdiksjon Sikkerhetsvurdering Revisjon Tredjeparter
Gebyr til ni helseforetak i Helse Sør-Øst «Manglende sikkerhetsledelse og manglende rutiner for å sikre kontroll anses å være i strid med kravene i pasientjournalloven 22 jf. 5, personopplysningsloven 13-15 og personopplysningsforskriften 2-3 og 2-15 Manglende etterlevelse av plikten til å gjennomføre risikovurderinger ved endringer som har betydning for informasjonssikkerheten er i strid med kravet til personopplysninsgsforskriften 2-4 jf. 2-1 og pasientjournalloven 22». «.den databehandlingsansvarlige plikter også å ha kunnskap om sikkerhetsstatusen hos leverandøren og jevnlig forsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet. Den databehandlingsansvarlige er derfor på lagt å gjennomføre jevnlige revisjoner med databehandler jf 2-5.». «Helseforetakene ble bedt om å redegjøre for: 3. Gi en oversikt over hvilke eksterne leverandører som har tilgang til sykehusene informasjonssystem, hvilke land leverandørene har tilgang fra, hvilke typer tilganger de har, til hvilke systemer, til hvilke personopplysninger (omfang, sensitivitet), samt formålet med tilgangene» «6.2.2.Opplysninger fremkommet i saken I tillegg ser vi at flere av sykehusene også har driftsoperatører fra 3. land utenfor EU. Dette er land som bl.a. USA og India»
Kilde Helsedirektoratets «Behov og kravspesifikasjon» https://www.anskaffelser.no/verktoy/behov-og-kravspesifikasjon Krav i regelverket Jurisdiksjon Sikkerhetsvurdering Revisjon Tredjeparter
Gebyr til ni helseforetak i Helse Sør-Øst «Manglende sikkerhetsledelse og manglende rutiner for å sikre kontroll anses å være i strid med kravene i pasientjournalloven 22 jf. 5, personopplysningsloven 13-15 og personopplysningsforskriften 2-3 og 2-15 Manglende etterlevelse av plikten til å gjennomføre risikovurderinger ved endringer som har betydning for informasjonssikkerheten er i strid med kravet til personopplysninsgsforskriften 2-4 jf. 2-1 og pasientjournalloven 22». «.den databehandlingsansvarlige plikter også å ha kunnskap om sikkerhetsstatusen hos leverandøren og jevnlig forsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet. Den databehandlingsansvarlige er derfor på lagt å gjennomføre jevnlige revisjoner med databehandler jf 2-5.». «Helseforetakene ble bedt om å redegjøre for: 3. Gi en oversikt over hvilke eksterne leverandører som har tilgang til sykehusene informasjonssystem, hvilke land leverandørene har tilgang fra, hvilke typer tilganger de har, til hvilke systemer, til hvilke personopplysninger (omfang, sensitivitet), samt formålet med tilgangene» «6.2.2.Opplysninger fremkommet i saken I tillegg ser vi at flere av sykehusene også har driftsoperatører fra 3. land utenfor EU. Dette er land som bl.a. USA og India»
Kilde Helsedirektoratets «Behov og kravspesifikasjon» https://www.anskaffelser.no/verktoy/behov-og-kravspesifikasjon Krav i regelverket Jurisdiksjon Sikkerhetsvurdering Revisjon Tredjeparter
Gebyr til ni helseforetak i Helse Sør-Øst «Manglende sikkerhetsledelse og manglende rutiner for å sikre kontroll anses å være i strid med kravene i pasientjournalloven 22 jf. 5, personopplysningsloven 13-15 og personopplysningsforskriften 2-3 og 2-15 Manglende etterlevelse av plikten til å gjennomføre risikovurderinger ved endringer som har betydning for informasjonssikkerheten er i strid med kravet til personopplysninsgsforskriften 2-4 jf. 2-1 og pasientjournalloven 22». «.den databehandlingsansvarlige plikter også å ha kunnskap om sikkerhetsstatusen hos leverandøren og jevnlig forsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet. Den databehandlingsansvarlige er derfor på lagt å gjennomføre jevnlige revisjoner med databehandler jf 2-5.». «Helseforetakene ble bedt om å redegjøre for: 3. Gi en oversikt over hvilke eksterne leverandører som har tilgang til sykehusene informasjonssystem, hvilke land leverandørene har tilgang fra, hvilke typer tilganger de har, til hvilke systemer, til hvilke personopplysninger (omfang, sensitivitet), samt formålet med tilgangene» «6.2.2.Opplysninger fremkommet i saken I tillegg ser vi at flere av sykehusene også har driftsoperatører fra 3. land utenfor EU. Dette er land som bl.a. USA og India»
Gebyr til ni helseforetak i Helse Sør-Øst «Manglende sikkerhetsledelse og manglende rutiner for å sikre kontroll anses å være i strid med kravene i pasientjournalloven 22 jf. 5, personopplysningsloven 13-15 og personopplysningsforskriften 2-3 og 2-15 Manglende etterlevelse av plikten til å gjennomføre risikovurderinger ved endringer som har betydning for informasjonssikkerheten er i strid med kravet til personopplysninsgsforskriften 2-4 jf. 2-1 og pasientjournalloven 22». «.den databehandlingsansvarlige plikter også å ha kunnskap om sikkerhetsstatusen hos leverandøren og jevnlig forsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet. Den databehandlingsansvarlige er derfor på lagt å gjennomføre jevnlige revisjoner med databehandler jf 2-5.». «Helseforetakene ble bedt om å redegjøre for: 3. Gi en oversikt over hvilke eksterne leverandører som har tilgang til sykehusene informasjonssystem, hvilke land leverandørene har tilgang fra, hvilke typer tilganger de har, til hvilke systemer, til hvilke personopplysninger (omfang, sensitivitet), samt formålet med tilgangene» «6.2.2.Opplysninger fremkommet i saken I tillegg ser vi at flere av sykehusene også har driftsoperatører fra 3. land utenfor EU. Dette er land som bl.a. USA og India»
Integrasjoner AD Underleverandører (tredjeparter) Intern drift Bruker (Kunde) Leverandør
Integrasjoner AD Underleverandører (tredjeparter) Intern drift Bruker (Kunde) Leverandør
Integrasjoner AD Underleverandører (tredjeparter) Intern drift Bruker (Kunde) Leverandør
Integrasjoner AD Underleverandører (tredjeparter) Intern drift Bruker (Kunde) Leverandør
Hvordan finne ut hvilke krav du må stille til tilgangsstyring? Skyleverandøren vil i utgangspunktet ha tilgang til alt derfor må du finne ut hvilke krav du må stille til skyleverandøren Analyser regelverket som regulerer området skytjenesten skal dekke, det kan være utgangspunkt for krav som du må stille til skytjenesten
Hvordan finne ut hvilke krav du må stille til tilgangsstyring? Skyleverandøren vil i utgangspunktet ha tilgang til alt derfor må du finne ut hvilke krav du må stille til skyleverandøren Analyser regelverket som regulerer området skytjenesten skal dekke, det kan være utgangspunkt for krav som du må stille til skytjenesten Det kan hende krav i særregelverk er i strid med anskaffelsesregelverket
Hvordan finne ut hvilke krav du må stille til tilgangsstyring? Skyleverandøren vil i utgangspunktet ha tilgang til alt derfor må du finne ut hvilke krav du må stille til skyleverandøren Analyser regelverket som regulerer området skytjenesten skal dekke, det kan være utgangspunkt for krav som du må stille til skytjenesten Det kan hende krav i særregelverk er i strid med anskaffelsesregelverket Du må gjøre en selvstendig vurdering av om landet/landene skytjenesten er lokalisert i er sikkert nok
Hvordan finne ut hvilke krav du må stille til tilgangsstyring? Skyleverandøren vil i utgangspunktet ha tilgang til alt derfor må du finne ut hvilke krav du må stille til skyleverandøren Analyser regelverket som regulerer området skytjenesten skal dekke, det kan være utgangspunkt for krav som du må stille til skytjenesten Det kan hende krav i særregelverk er i strid med anskaffelsesregelverket Du må gjøre en selvstendig vurdering av om landet/landene skytjenesten er lokalisert i er sikkert nok Du må stille krav om sertifiseringer og tredjepartsrevisjoner.
Hvordan finne ut hvilke krav du må stille til tilgangsstyring? Skyleverandøren vil i utgangspunktet ha tilgang til alt derfor må du finne ut hvilke krav du må stille til skyleverandøren Analyser regelverket som regulerer området skytjenesten skal dekke, det kan være utgangspunkt for krav som du må stille til skytjenesten Det kan hende krav i særregelverk er i strid med anskaffelsesregelverket Du må gjøre en selvstendig vurdering av om landet/landene skytjenesten er lokalisert i er sikkert nok Du må stille krav om sertifiseringer og tredjepartsrevisjoner. Datatilsynets krav til overføring av opplysninger til tredjeland er et godt utgangspunkt for å stille krav. De som har en rolle i drift og support av skytjenesten vil ha rettigheter som gjør at de kan overføre data https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/overfore/
Takk for oppmerksomheten!