KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL. Åpent kurs oktober 2018

Like dokumenter
KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL

REGIONALT KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL. Åpent kurs mars 2018

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

INFORMASJONSSIKKERHET

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Digital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland

Frist for innspill: 1. november Mottaker etter liste

Strategi for Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten

Personvernforordningen og utfordringer i dagens helsetjeneste

EPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE. Informasjonssikkerhet Jan Gunnar Broch PMU 2018

Nytt i Normen Normkonferansen Aasta M. Hetland Jan Gunnar Broch Sekretariatet for Normen

Introduksjonskurs til Normen Normens krav. Jan Henriksen Sekretariatet for Normen

HVEM ER JEG OG HVOR «BOR» JEG?

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Fagkurs for kommuner Personvern og taushetsplikt (75 minutter)

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Noen utvalgte faktaark og veiledere. Åpent kurs

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Hvilken betydning har personvernforordningen på helseområdet

OM PERSONVERN TRONDHEIM. Mai 2018

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

Nye personvernregler

Normens krav og anbefalinger fra kravspek til innføringsprosjekt. 31. oktober 2018

De nasjonale e-helseløsningene i Direktoratet for e-helse og nye personvernregler. Maryke Silalahi Nuth Normkonferansen

Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Normkonferansen 15. oktober Nytt i Normen

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Implementering av det nye personvernregelverket ved UiB

Nytt fra departementet

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Sikkerhetskrav for systemer

Strategi for informasjonssikkerhet i helse- og omsorgssektoren

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

Noen utvalgte faktaark og veiledere. Åpent kurs 15. mars 2018

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Noen utvalgte faktaark og veiledere, og medisinsk avstandsoppfølging

Behandling av helse- og personopplysninger ved legekontoret

Nye personvernregler (GDPR)

PERSONVERN OG DELING FRA KVALITETSREGISTRE

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Personvernerklæring Stendi

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Hacking av MU - hva kan Normen bidra med?

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Innsatsområder nasjonalt nivå i helsetjenesten Nasjonalt meldingsløft Kjernejournal Helsepolitiske mål E-resept Helseportal Helseregistre EPJ Velferds

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

LÆRINGS- og GJENNOMFØRINGSPLAN

Informasjonsstrategi med overordnet handlingsplan. for Normen. i perioden 2015 til 2017

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

Policy for personvern

Databehandleravtale etter personopplysningsloven

Nye personvernregler (GDPR)

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Normens veileder for Informasjonssikkerhet og personvern - medisinsk utstyr. Åpent med.tek. kurs 30. oktober 2018

Databehandleravtaler. Tommy Tranvik Unit

Norm for informasjonssikkerhet i helse og omsorgstjenesten

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

EUs personvernforordning (GDPR)

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Nytt personvernregelverk på 1-2-3

Personvernlovgivningen ledelsens ansvar Pensjonskassekonferansen 14. mai 2019, Sandefjord. Ove Skåra - Datatilsynet

Personopplysninger og opplæring i kriminalomsorgen

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Styret Helse Sør-Øst RHF 14. desember 2017

VIRKE. 12. mars 2015

Informasjonssikkerhet

GDPR General Data Protection Regulativ

Personvern og tilgang i journal Internt & Eksternt. Helge Veum, senioringeniør HelsIT, Trondheim, 25. september 2008

Personvern - sjekkliste for databehandleravtale

Krav til informasjonssikkerhet

Databehandleravtaler

Databehandleravtale. Charlotte Lindberg Difi

Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren

STRATEGI. for. Norm for informasjonssikkerhet

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Styresak /3 Samarbeid om felles journal i Helse Nord - informasjon

Norm for Informasjonssikkerhet - Tor Ottersen

Skatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva?

GDPR Ny personvernforordning

Norm for Informasjonssikkerhet i Helsesektoren. Tor Ottersen

Personvern-rett H2016

Transkript:

KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL Åpent kurs 30.-31. oktober 2018

Myndighet Sørge for nasjonal styring og koordinering Nasjonale e-helseløsninger Få på plass og forvalte digitale løsninger som forbedrer og forenkler

Normens arbeid med informasjonssikkerhet og medisinsk utstyr Publiserte veileder desember 2015 Deltakere i referansegruppen fra AHUS, Datatilsynet, DSB, Helse Bergen, Helse Sør-Øst, Helsedirektoratet, Helse Vest IKT, HEMIT, St. Olavs Hospital, Stavanger universitetssjukehus, Sykehuset Telemark, Sykehuset Østfold, Vingmed AS / Medtek Norge. Revidert versjon 2017: Tatt inn lenke til generiske krav ved anskaffelser 2017-218: Kurs for alle helseregioner basert på veilederen 3

Mål med kurset Kurset skal bidra til å skape felles forståelse for trusler, krav og tilnærming til informasjonssikkerhet hos virksomheter som benytter medisinsk utstyr. Kurset skal hjelpe deltakerne til å implementere Normens krav til behandling av helse- og personopplysninger i medisinsk utstyr med tilhørende systemløsninger og applikasjoner på en praktisk måte.

Kursplan dag 1 0930 Introduksjon v/ Aasta M. Hetland Informasjonssikkerhet og personvern Lovverk Normen 1030 Medisinsk utstyr og digitale sårbarheter v/ HelseCERT 1130 LUNSJ Trusselbildet og cybersikkerhet for medisinsk utstyr Erfaring fra inntrengingstester 1215 Normens veileder for informasjonssikkerhet og personvern medisinsk utstyr v/ Jan Gunnar Broc Se Normens veileder for medisinsk utstyr personvern og informasjonssikkerhet Et ekstrakt av innhold fra Normens krav og anbefalinger fra kravspek til innføringsprosjekt i fordypningsdelen gjennomgås også 1400 Risikovurdering av informasjonssikkerhet, medisinsk utstyr v/ Case / gruppearbeid 1515 Oppsummering, spørsmål 1545 Slutt Side 5

Kursplan dag 2 0900 Aktuelle faktaark og veiledere i Normen v/ Petter L. Andersen 1000 Normens krav v/ Jan Henriksen Tilgangsstyring og logging Tekniske og fysiske sikkerhetsløsninger Kommunikasjonssikkerhet Forholdet til leverandører - databehandleravtaler 1200 LUNSJ 1300 Normens krav og anbefalinger fra kravspek til innføringsprosjekt v/ Jan Gunnar Broch Krav til systemer (FA 38) og selvdeklareringsdokumenter Krav til medisinsk utstyr, se f.eks. http://ehandboken.ous-hf.no/document/109945 Testdata Sikkerhetskrav i prosjektgjennomføring Eksempler fra foretakene i HSØ 1430 Normens fjernaksessveileder v/ Jan Henriksen https://ehelse.no/veileder-for-fjernaksess 1500 Oppsummering, spørsmål 1530 Slutt Side 6

Videre denne første timen Tillit Informasjonssikkerhet Personvern Normen Side 7

VERDIFILMEN

Tillit gir trygghet Tillit gir god helse

Informasjonssikkerhet Konfidensialitet Integritet Tilgjengelighet 10

Sentrale begreper Personopplysninger Særlige kategorier Helseopplysninger Databehandlingsansvarlig Databehandler Databehandleravtale Helseopplysninger Med Helseforhold databehandler er menes opplysninger den som som: opplysninger og vurderinger som kan «Taushetsbelagte behandler Seksuelle helse- forhold og opplysninger personopplysninger (i henhold knyttes til en enkeltperson på Straffbare til helsepersonelloven forhold 21) og Avtale vegne mellom av den databehandler og andre Navn, opplysninger fødselsnummer, og vurderinger bilde, lydopptak om databehandlingsansvarlige. Opplysninger om om etnisitet hvordan og politiske helseforhold Telefonnummer, eller av bilnummer, betydning e- for eller religiøse forhold helseforhold, Formål personopplysninger skal behandles. postadresse, som IP-adresse kan knyttes osv. til en enkeltperson,..» En Medlemskap databehandler i fagforeninger er ekstern person atferdsmønstre Den eller nedre saksbehandling virksomhet terskelen utenfor for hva den som omfattes databehandlingsansvarliges Behandling er nok ganske lav. Det virksomhet kan være Ingen viktig selvstendig å vite hvor råderett skillet over går. Med databehandlingsansvarlig menes den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes Pasientbehandling, forsking, kvalitetssikring, Lagring, innsamling, sletting, utlevering, mv Hjelpemidler Sensitive opplysningene personopplysninger er underlagt Fagsystem, et strengere EPJ-system, regelverk PACS, med mv bl. a krav om konsesjon fra Datatilsynet og strengere krav til informasjonssikkerhet. 12 12

Personvern Personvern er vernet av interessen den enkelte har i å ha kontroll og oversikt over behandlingen av opplysninger om seg selv (Datatilsynet) Rett til privatlivets fred/ personlig integritet Viktig i et demokratisk samfunn Retten til å bestemme over egne personopplysninger Helselovgivningen: Informasjon Innsyn I journal I logg Retting / sletting / sperring i pasientjournalen «Anti-snoking» 13

Personvernforordningen (GDPR) Personvernprinsippene Lovlig, rettferdig og gjennomsiktig Formålsbegrensning Dataminimering Riktighet Lagringsbegrensning Integritet, konfidensialitet og tilgjengelighet Ansvarlighet Andre viktige områder og begreper: Personvernkonsekvensvurdering (DPIA) Kartlegging og protokoll Avvik Innebygget personvern Personvernrettighetene Databehandleravtaler 14

Pasientsikkerhet Vern mot unødig skade som følge av helse- og omsorgstjenestens ytelser eller mangel på ytelser. To aspekter (blant flere) som kan være av betydning: Brukbarhet («Useability») for IKT-systemer Tilgang til informasjon 15

Pasientsikkerhet Personvern Taushetsplikt Tilgjengelighet Konfidensialitet Integritet

Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten Helse og omsorgstjenestens bransjenorm og omforente krav til informasjonssikkerhet siden 2006 Utviklet og vedlikeholdes av styringsgruppe fra sektoren Sekretariat hos Direktoratet for e-helse og samarbeid med Norsk Helsenett Referansegrupper med deltakere fra sektoren og utenfor som har relevant input Myndigheter Profesjonsorganisasjoner Offentlig tjenesteyting Lovtolkende myndigheter 17

Hva Normen bidrar til Samhandling og digitalisering Å gjøre det enklere å få på plass nødvendige sikkerhets- og personverntiltak Økt tillit til at sektoren behandler helse- og personopplysninger på en trygg måte Et harmonisert sikkerhetsnivå i sektoren At sektoren har et godt kravstillingsverktøy til sikkerhet ved anskaffelser 18

Som selvstendig næringsdrivende med en liten virksomhet gir Normen meg en samlet oversikt over de krav jeg må forholde meg til målrettet veiledning på en et område jeg synes er vanskelig og ikke har god kompetanse på maler tilpasset min arbeidshverdag Som leverandør gir Normen meg en oversikt over de minimumskrav som helsetjenesten vil stille til meg forutsigbarhet i hvilke krav som stilles til meg Et felles begrepsapparat som muliggjør samhandling Hva betyr Normen for deg? Som leder gir Normen meg oversikt over de minimumskrav jeg har ansvar for at min virksomhet oppfyller krav jeg kan stole på at også de andre lederne i sektoren vil jobbe for å oppfylle en arena for å diskutere prinsipielle problemstillinger på området Veiledning og en arena der jeg og mine medarbeidere kan få økt kompetanse Felles sektorkrav til bruk i anskaffelser og leverandøroppfølging Et felles begrepsapparat som muliggjør samhandling Som innbygger gir Normen meg Tillit til at helsesektoren jobber for at mine opplysninger skal være trygge og tilgjengelige Tillit til at helsesektoren jobber for at jeg kan få oppfylt mine personvernrettigheter For meg som jobber med informasjonssikkerhet og personvern gir Normen meg oversikt over de minimumskrav jeg skal bidra til at min virksomhet oppfyller en arena for mitt fag veiledningsmateriell jeg kan bruke i mitt arbeid Felles sektorkrav til bruk i anskaffelser og leverandøroppfølging Et felles begrepsapparat som muliggjør samhandling og gjennomslag for sikkerhet og personvern Side 19

Selve bransjenormen Bindende gjennom tilknytningsavtale med NHN Veiledningsmateriellet Ikke bindende Omfattende Dekker de fleste områder innen informasjonssikkerhet

Styringsgruppen for Normen Nasjonalt nivå Andre helsemyndigheter 428 Kommuner Lokalt/ regionalt nivå Avtalespesialister og institusjoner Avtalespesialister og institusjoner Avtalespesialister og institusjoner Avtalespesialister og institusjoner 4.200 Fastleger Kommunale og interkommunale IKT funksjoner KommIT Leverandørmarkedet 21

Andre aktiviteter i regi av Normen Nyhetsbrev Q&A epost 27.-28. november 2018 Moxy, Oslo N 4 ganger årlig Påmelding www.normen.no sikkerhetsnormen@ehelse.no Kurs og foredrag Kurs Konferanser Foredrag www.normen.no Alle dokumentene Nyheter Om Normen Sosiale medier Normen på FB @Normen_no

Modernisering og utvikling av Normen Godkjenning Datatilsynet 31.05.18 Q3 2019 Godkjenning Datatilsynet 2006-2018 V5.3 Versjon 6.0 Norges første og største bransjenorm innen informasjonssikkerhet Godt samarbeid med Datatilsynet og andre myndigheter Forankret og i bruk i sektoren Innarbeidet kravsett i sektoren Modernisert og omstrukturert Personvernforordningen Atferdsnorm etter art. 40 Bruker- og leservennlighet - målgruppetilpasning Den registrertes rettigheter/ pasientrettigheter Videre konkretisering av krav fra forordningen Pasientjournalforskriften Modernisering/ nye krav Oppdatering veiledningsmateriell

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding