KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL Åpent kurs 30.-31. oktober 2018
Myndighet Sørge for nasjonal styring og koordinering Nasjonale e-helseløsninger Få på plass og forvalte digitale løsninger som forbedrer og forenkler
Normens arbeid med informasjonssikkerhet og medisinsk utstyr Publiserte veileder desember 2015 Deltakere i referansegruppen fra AHUS, Datatilsynet, DSB, Helse Bergen, Helse Sør-Øst, Helsedirektoratet, Helse Vest IKT, HEMIT, St. Olavs Hospital, Stavanger universitetssjukehus, Sykehuset Telemark, Sykehuset Østfold, Vingmed AS / Medtek Norge. Revidert versjon 2017: Tatt inn lenke til generiske krav ved anskaffelser 2017-218: Kurs for alle helseregioner basert på veilederen 3
Mål med kurset Kurset skal bidra til å skape felles forståelse for trusler, krav og tilnærming til informasjonssikkerhet hos virksomheter som benytter medisinsk utstyr. Kurset skal hjelpe deltakerne til å implementere Normens krav til behandling av helse- og personopplysninger i medisinsk utstyr med tilhørende systemløsninger og applikasjoner på en praktisk måte.
Kursplan dag 1 0930 Introduksjon v/ Aasta M. Hetland Informasjonssikkerhet og personvern Lovverk Normen 1030 Medisinsk utstyr og digitale sårbarheter v/ HelseCERT 1130 LUNSJ Trusselbildet og cybersikkerhet for medisinsk utstyr Erfaring fra inntrengingstester 1215 Normens veileder for informasjonssikkerhet og personvern medisinsk utstyr v/ Jan Gunnar Broc Se Normens veileder for medisinsk utstyr personvern og informasjonssikkerhet Et ekstrakt av innhold fra Normens krav og anbefalinger fra kravspek til innføringsprosjekt i fordypningsdelen gjennomgås også 1400 Risikovurdering av informasjonssikkerhet, medisinsk utstyr v/ Case / gruppearbeid 1515 Oppsummering, spørsmål 1545 Slutt Side 5
Kursplan dag 2 0900 Aktuelle faktaark og veiledere i Normen v/ Petter L. Andersen 1000 Normens krav v/ Jan Henriksen Tilgangsstyring og logging Tekniske og fysiske sikkerhetsløsninger Kommunikasjonssikkerhet Forholdet til leverandører - databehandleravtaler 1200 LUNSJ 1300 Normens krav og anbefalinger fra kravspek til innføringsprosjekt v/ Jan Gunnar Broch Krav til systemer (FA 38) og selvdeklareringsdokumenter Krav til medisinsk utstyr, se f.eks. http://ehandboken.ous-hf.no/document/109945 Testdata Sikkerhetskrav i prosjektgjennomføring Eksempler fra foretakene i HSØ 1430 Normens fjernaksessveileder v/ Jan Henriksen https://ehelse.no/veileder-for-fjernaksess 1500 Oppsummering, spørsmål 1530 Slutt Side 6
Videre denne første timen Tillit Informasjonssikkerhet Personvern Normen Side 7
VERDIFILMEN
Tillit gir trygghet Tillit gir god helse
Informasjonssikkerhet Konfidensialitet Integritet Tilgjengelighet 10
Sentrale begreper Personopplysninger Særlige kategorier Helseopplysninger Databehandlingsansvarlig Databehandler Databehandleravtale Helseopplysninger Med Helseforhold databehandler er menes opplysninger den som som: opplysninger og vurderinger som kan «Taushetsbelagte behandler Seksuelle helse- forhold og opplysninger personopplysninger (i henhold knyttes til en enkeltperson på Straffbare til helsepersonelloven forhold 21) og Avtale vegne mellom av den databehandler og andre Navn, opplysninger fødselsnummer, og vurderinger bilde, lydopptak om databehandlingsansvarlige. Opplysninger om om etnisitet hvordan og politiske helseforhold Telefonnummer, eller av bilnummer, betydning e- for eller religiøse forhold helseforhold, Formål personopplysninger skal behandles. postadresse, som IP-adresse kan knyttes osv. til en enkeltperson,..» En Medlemskap databehandler i fagforeninger er ekstern person atferdsmønstre Den eller nedre saksbehandling virksomhet terskelen utenfor for hva den som omfattes databehandlingsansvarliges Behandling er nok ganske lav. Det virksomhet kan være Ingen viktig selvstendig å vite hvor råderett skillet over går. Med databehandlingsansvarlig menes den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes Pasientbehandling, forsking, kvalitetssikring, Lagring, innsamling, sletting, utlevering, mv Hjelpemidler Sensitive opplysningene personopplysninger er underlagt Fagsystem, et strengere EPJ-system, regelverk PACS, med mv bl. a krav om konsesjon fra Datatilsynet og strengere krav til informasjonssikkerhet. 12 12
Personvern Personvern er vernet av interessen den enkelte har i å ha kontroll og oversikt over behandlingen av opplysninger om seg selv (Datatilsynet) Rett til privatlivets fred/ personlig integritet Viktig i et demokratisk samfunn Retten til å bestemme over egne personopplysninger Helselovgivningen: Informasjon Innsyn I journal I logg Retting / sletting / sperring i pasientjournalen «Anti-snoking» 13
Personvernforordningen (GDPR) Personvernprinsippene Lovlig, rettferdig og gjennomsiktig Formålsbegrensning Dataminimering Riktighet Lagringsbegrensning Integritet, konfidensialitet og tilgjengelighet Ansvarlighet Andre viktige områder og begreper: Personvernkonsekvensvurdering (DPIA) Kartlegging og protokoll Avvik Innebygget personvern Personvernrettighetene Databehandleravtaler 14
Pasientsikkerhet Vern mot unødig skade som følge av helse- og omsorgstjenestens ytelser eller mangel på ytelser. To aspekter (blant flere) som kan være av betydning: Brukbarhet («Useability») for IKT-systemer Tilgang til informasjon 15
Pasientsikkerhet Personvern Taushetsplikt Tilgjengelighet Konfidensialitet Integritet
Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten Helse og omsorgstjenestens bransjenorm og omforente krav til informasjonssikkerhet siden 2006 Utviklet og vedlikeholdes av styringsgruppe fra sektoren Sekretariat hos Direktoratet for e-helse og samarbeid med Norsk Helsenett Referansegrupper med deltakere fra sektoren og utenfor som har relevant input Myndigheter Profesjonsorganisasjoner Offentlig tjenesteyting Lovtolkende myndigheter 17
Hva Normen bidrar til Samhandling og digitalisering Å gjøre det enklere å få på plass nødvendige sikkerhets- og personverntiltak Økt tillit til at sektoren behandler helse- og personopplysninger på en trygg måte Et harmonisert sikkerhetsnivå i sektoren At sektoren har et godt kravstillingsverktøy til sikkerhet ved anskaffelser 18
Som selvstendig næringsdrivende med en liten virksomhet gir Normen meg en samlet oversikt over de krav jeg må forholde meg til målrettet veiledning på en et område jeg synes er vanskelig og ikke har god kompetanse på maler tilpasset min arbeidshverdag Som leverandør gir Normen meg en oversikt over de minimumskrav som helsetjenesten vil stille til meg forutsigbarhet i hvilke krav som stilles til meg Et felles begrepsapparat som muliggjør samhandling Hva betyr Normen for deg? Som leder gir Normen meg oversikt over de minimumskrav jeg har ansvar for at min virksomhet oppfyller krav jeg kan stole på at også de andre lederne i sektoren vil jobbe for å oppfylle en arena for å diskutere prinsipielle problemstillinger på området Veiledning og en arena der jeg og mine medarbeidere kan få økt kompetanse Felles sektorkrav til bruk i anskaffelser og leverandøroppfølging Et felles begrepsapparat som muliggjør samhandling Som innbygger gir Normen meg Tillit til at helsesektoren jobber for at mine opplysninger skal være trygge og tilgjengelige Tillit til at helsesektoren jobber for at jeg kan få oppfylt mine personvernrettigheter For meg som jobber med informasjonssikkerhet og personvern gir Normen meg oversikt over de minimumskrav jeg skal bidra til at min virksomhet oppfyller en arena for mitt fag veiledningsmateriell jeg kan bruke i mitt arbeid Felles sektorkrav til bruk i anskaffelser og leverandøroppfølging Et felles begrepsapparat som muliggjør samhandling og gjennomslag for sikkerhet og personvern Side 19
Selve bransjenormen Bindende gjennom tilknytningsavtale med NHN Veiledningsmateriellet Ikke bindende Omfattende Dekker de fleste områder innen informasjonssikkerhet
Styringsgruppen for Normen Nasjonalt nivå Andre helsemyndigheter 428 Kommuner Lokalt/ regionalt nivå Avtalespesialister og institusjoner Avtalespesialister og institusjoner Avtalespesialister og institusjoner Avtalespesialister og institusjoner 4.200 Fastleger Kommunale og interkommunale IKT funksjoner KommIT Leverandørmarkedet 21
Andre aktiviteter i regi av Normen Nyhetsbrev Q&A epost 27.-28. november 2018 Moxy, Oslo N 4 ganger årlig Påmelding www.normen.no sikkerhetsnormen@ehelse.no Kurs og foredrag Kurs Konferanser Foredrag www.normen.no Alle dokumentene Nyheter Om Normen Sosiale medier Normen på FB @Normen_no
Modernisering og utvikling av Normen Godkjenning Datatilsynet 31.05.18 Q3 2019 Godkjenning Datatilsynet 2006-2018 V5.3 Versjon 6.0 Norges første og største bransjenorm innen informasjonssikkerhet Godt samarbeid med Datatilsynet og andre myndigheter Forankret og i bruk i sektoren Innarbeidet kravsett i sektoren Modernisert og omstrukturert Personvernforordningen Atferdsnorm etter art. 40 Bruker- og leservennlighet - målgruppetilpasning Den registrertes rettigheter/ pasientrettigheter Videre konkretisering av krav fra forordningen Pasientjournalforskriften Modernisering/ nye krav Oppdatering veiledningsmateriell