Norm for informasjonssikkerhet Helse- og omsorgstjenesten Tor Ottersen HVA - HVORFOR - HVORDAN
Hva er Normen Et omforent sett av adferdsregler og tiltak Besluttet og forvaltet av sektoren, forankret i EU-direktiv 46/95 artikkel 27 POL 42, 6 NOU 1997:19 Basert på lover og forskrifter kontrollert og godkjent av lovtolkende myndigheter (Normkrav har blitt innlemmet i lovverket f. eks Hpl 21a) Juridisk bindende ved avtale 2015-11-18 2
Personvern Kontroll over egne personopplysninger Samtykke er grunnlaget for all behandling Hva skal de brukes til - Formålet Hvem som har tilgang Innsynsrett Tilbaketrekning av samtykket Kun vitale nasjonale interesser skal kunne overstyre samtykket 2015-11-18 3
2015-11-18 4
Informasjonssikkerhet Sikring av innsamlede data Kun formålsbestemt bruk Kun de med tjenstlig behov får tilgang Ikke tukles med Tilgjengelighet 2015-11-18 5
BAKGRUNN Helse- og omsorgstjenesten er: Enorm både i antall årsverk og omsetning Organisatorisk fragmentert (17k-25k) Har sensitive personopplysninger som grunnlag for all virksomhet Og krever stadig mer samhandling på tvers Stort og komplekst lovverk Leverandører Kjenner de kravene? 2015-11-18 6
LØSNINGEN Norm for informasjonssikkerhet Helse- og omsorgstjenesten 2015-11-18 7
STYRINGSGRUPPEN 1.6.2013 Helsedirektoratet Den norske Legeforening Sykepleierforbundet Norges Apotekforening KS Den norske Tannlegeforening Den offentlige tannhelsetjeneste Psykologene De regionale Helseforetak NAV Norsk Helsenett Private laboratorier Farmasøytene Fysioterapeutene DIFI (observatør) Datatilsynet (observatør) HOD (observatør) Observatører har tale- og forslagsrett Sekretariat i Helsedirektoratet 2015-11-18 8
ARBEIDSFORM Det foreligger en vedtatt prosedyre for utarbeidelse av dokumenter/materiell (P0) Alle kan sende inn forslag til nytt materiell 1. SG vedtar utarbeidelse og prioriterer 2. Sekretariatet leder arbeidet (delvis ved bruk av eksterne konsulenter) 3. Sektoren stiller med personell i arbeids- /referansegrupper (gjerne med deltagelse fra DT) 4. Helsedirektoratet kvalitetssikrer mhp jus 5. SG godkjenner 2015-11-18 9
MULIGHETER Praktiske løsninger innenfor lovverkets rammer Bistå til en felles forståelse Påvirke lovtolkningen (hvordan skal alt dette forstås) 2015-11-18 10
NORMEN Tilleggene Veiledere (Normen angir bare kravene ingen løsninger) Svartjeneste (sikkerhetsnormen@helsedir.no) Kurs og utdanning Rådgivning 2015-11-18 11
2. Normen med støttedokumenter Juridisk bindende ved avtale: Normen: Normen ( Code of conduct ) og en del faktaark / veiledere er oversatt til engelsk Veiledende: Støttedokumenter: Kursmateriell: Veiledere / malverk Faktaark www.normen.no 2015-11- 2015-11-18 18 12 12
Evaluering HOVEDKONKLUSJON «I sektoren tegnes det et entydig bilde av at en ikke ville hatt samme kvalitative informasjonssikkerhet uten Normen» 2015-11-18 13
Datatilsynets oppfatning Fra foredrag Normkonferansen 2012 Helge Veum, avd. dir, Datatilsynet 2015-11-18 14
NORMEN Lovverkets krav - ferdig tolket og tygd Ingen begrensninger (nå) utover lovverkets krav, dvs det er lovverket som setter begrensningene I tillegg: Forslag til praktiske løsninger og bistand 2015-11-18 15
Systemkrav Faktaark 38 Skal JEG oppfylle lovens krav MÅ systemene oppfylle visse krav Beskrevet i F38: Autorisering Autentisering Hendelsesregistrering Pasientrettigheter Integritet Totalt 38 krav 2015-11-18 16
Om medisinsk teknisk utstyr i Normen: Kap 5.4.5 Medisinsk teknisk utstyr Medisinsk teknisk utstyr som behandler helseog personopplysninger skal inkluderes i virksomhetens arbeid med informasjonssikkerhet, herunder risikovurderinger, tilgangsstyring og prosedyrer for bruk, på linje med andre informasjonssystemer 2015-11-18 17
Veileder medisinsk-teknisk utstyr og informasjonssikkerhet Bredt sammensatt referansegruppe Ferdigstilles i desember Vektlegger en risikobasert tilnærming, der tiltak prioriteres etter risiko Bruksscenarier -> Risikobilde -> Tiltak Worklist / data Nettverk 2015-11-18 18
Veileder sosiale medier Praktisk verktøy når virksomheten skal utforme retningslinjer for bruk av sosiale medier Tre deler: Overordnede problemstillinger ledelsen må ta stilling til Tekstforslag Råd for bruk av sosiale medier for deg som jobber i <virksomheten> Tekstforslag Gode råd for bruk av sosiale medier for pasienter / brukere og deres pårørende Tilpasses den enkelte virksomhet! 2015-11-18 19
Veileder video-, lyd- og bildeopptak av pasient / bruker Ulike formål, f.eks Dokumentasjon av helsehjelp Veiledning, undervisning Internkontroll og Informasjonssikkerhet Mal informasjons- og samtykkeskjema Mal risikovurdering - med eksempelscenarier 2015-11-18 20
Tilgang til helseopplysninger mellom virksomheter ( 19) Pasientjournalloven åpner for «tilgang-påtvers» Ny veileder som beskriver forutsetninger og løsninger publisert primo november (ny versjon basert på erfaringer planlagt høsten 2016) 2015-11-18 21
Felles journal Pasientjournalen 9 åpner for virksomhetsovergripende behandlingsrettede helseregistre «Ingen» særskilte krav for at to eller flere virksomheter kan samarbeide om felles journal Veileder publisert våren 2015 2015-11-18 22