EPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE. Informasjonssikkerhet Jan Gunnar Broch PMU 2018

Like dokumenter
Strategi for Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten

KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Digital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland

Frist for innspill: 1. november Mottaker etter liste

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL. Åpent kurs oktober 2018

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

Normens krav og anbefalinger fra kravspek til innføringsprosjekt. 31. oktober 2018

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

INFORMASJONSSIKKERHET

Innsatsområder nasjonalt nivå i helsetjenesten Nasjonalt meldingsløft Kjernejournal Helsepolitiske mål E-resept Helseportal Helseregistre EPJ Velferds

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

Noen utvalgte faktaark og veiledere. Åpent kurs

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

HVEM ER JEG OG HVOR «BOR» JEG?

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN

Internkontroll og informasjonssikkerhet lover og standarder

LÆRINGS- og GJENNOMFØRINGSPLAN

Krav til informasjonssikkerhet

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Personvernforordningen og utfordringer i dagens helsetjeneste

Noen utvalgte faktaark og veiledere. Åpent kurs 15. mars 2018

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Norm for informasjonssikkerhet i helse og omsorgstjenesten

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Sikkerhetskulturarbeidet i helsesektoren. Seniorrådgiver Jan Gunnar Broch, Helsedirektoratet

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Sikkerhetskrav for systemer

Dataanlegget på legekontoret lover, regler og Normen. Torstein Sakshaug Nidaroskongressen 2015

Oversiktstabell for faktaark, veiledere og kurs til Normen

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Behandling av helse- og personopplysninger ved legekontoret

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

Introduksjonskurs til Normen Normens krav. Jan Henriksen Sekretariatet for Normen

Noen utvalgte faktaark og veiledere, og medisinsk avstandsoppfølging

Hacking av MU - hva kan Normen bidra med?

Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Normkonferansen 15. oktober Nytt i Normen

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

MTU - Krav til informasjonssikkerhet

Datasikkerhet internt på sykehuset

REGIONALT KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL. Åpent kurs mars 2018

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Nytt i Normen Normkonferansen Aasta M. Hetland Jan Gunnar Broch Sekretariatet for Normen

Videokonsultasjon - sjekkliste

Rapport informasjonssikkerhet Helgelandssykehuset 2015

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

STRATEGI. for. Norm for informasjonssikkerhet

Strategi for informasjonssikkerhet i helse- og omsorgssektoren

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Høringsnotat: Enklere tilgang til helseopplysninger for kvalitetssikring av helsehjelp og egen læring

Bransjenorm. for informasjonssikkerhet og personvern i helse- og omsorgstjenesten

Kommunens Internkontroll

Bruk av databehandler (ekstern driftsenhet)

Personvern - sjekkliste for databehandleravtale

Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren

Rätt information i vård och omsorg hur fungerar det i norden. Sverre Engelschiøn, fagdirektør i Helse- og omsorgsdepartementet, Norge

ekommune 2017 Prosessplan for god praksis om personvern

Personvern og tilgang i journal Internt & Eksternt. Helge Veum, senioringeniør HelsIT, Trondheim, 25. september 2008

LÆRINGS- og GJENNOMFØRINGSPLAN

Bruk av databehandler (ekstern driftsenhet)

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

STYRESAK. DATO: SAKSBEHANDLER: Brad Folsom SAKEN GJELDER: Informasjonssikkerhet i Helse Stavanger HF ARKIVSAK: 18/2 STYRESAK: 52/18

Ledelse og kvalitetsforbedring. Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgssektoren

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten

Kan du legge personopplysninger i skyen?

SAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET

Personopplysningsvern med ProFundo som databehandler

Norm for Informasjonssikkerhet i Helsesektoren. Tor Ottersen

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag. Tor Ottersen

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Brudd på personopplysningssikkerheten

Styresak Orienteringssak - Informasjonssikkerhet

Forskrift om leiing og kvalitetsforbetring i helse- og omsorgstenesta

Retningslinjer for databehandleravtaler

Har du kontroll på verdiene dine

KF Brukerkonferanse 2013

Nye personvernregler

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Bilag 14 Databehandleravtale

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Tilgangskontroll i fugleperspektiv Tilgangskontroll i IT-systemer de fire A-er Administrasjon Autentisering Autorisasjon Audit (etterhåndskontroll) Av

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Transkript:

EPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE Informasjonssikkerhet Jan Gunnar Broch PMU 2018

Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten Nytteeffekter 1. Gjør det enklere å få på plass nødvendige sikkerhets- og personverntiltak 2. Bidrar til økt tillit til at sektoren behandler helse- og personopplysninger på en trygg måte 3. Bidrar til et harmonisert sikkerhetsnivå i sektoren 4. Bidrar til at sektoren har et godt kravstillingsverktøy til sikkerhet ved anskaffelser Styringsgruppen Kurs Sektorens mange dataansvarlige og deres leverandører og databehandlere Normen Faktaark Veiledere Utadrettet virksomhet Den offentlige tannhelsetjeneste Sekretariatet Normen Norges første og største bransjenorm for informasjonssikkerhet og fra 2018 også for personvern Normen er åpent tilgjengelig via www.normen.no

Informasjonssikkerhet Tilgjengelighet Konfidensialitet Integritet i Tilgjengelig informasjon for helsepersonell er en forutsetning for god og forsvarlig behandling Ivaretakelse av taushetsplikt og personvern er viktig for innbyggernes tillit til helse- og omsorgstjenesten Korrekt og oppdatert informasjon er en forutsetning for god kvalitet i pasientbehandlingen.

«Med andre ord blir store bedrifter rammet av flere typer hendelser» Side 5

Virus- og malwareinfeksjon 30.04.18 Side 6

Phishing / sosial manipulering «Direktørsvindel» Side 7

Datainnbrudd / hacking 8

Hvordan oppdages hendelser? Side 9

Har virksomhetene styringssystem for informasjonssikkerhet? Har dere styringssystem for informasjonssikkerhet? Side 10

Hvorfor styringssystem for informasjonssikkerhet? Det fungerer mer systematikk mindre avhengig av flaks og tilfeldigheter Det forventes av samhandlingsparter, f.eks HF. Skal kravene i personvernforordningen etterleves, kommer man ikke utenom Gjennomgående valg av tiltak på bakgrunn av risiko Tiltak skal kunne gjennomgås og oppdateres ved behov Lovkrav til kvalitet og informasjonssikkerhet Fastelegeforskriften 16 Forskrift om ledelse og kvalitetsutvikling Pasientjournalloven 22 og 23( Dokumenterte tekniske og organisatoriske tiltak ) Side 11

Hva innebærer et styringssystem for informasjonssikkerhet for en liten virksomhet som et legekontor: Normen 5.3: Styringssystem er den del av virksomhetens internkontrollsystem (kvalitetssystem) som omfatter hvordan virksomhetens aktiviteter planlegges, gjennomføres, evalueres og korrigeres. Styringssystemet skal tilpasses virksomhetens størrelse, egenart og aktiviteter og informasjonsbehandlingens art, omfang, formål og sammenhengen den utføres i. Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten 5.Omfang og dokumentasjon Styringssystemet, jf. pliktene i 6 9, skal tilpasses virksomhetens størrelse, egenart, aktiviteter og risikoforhold og ha det omfang som er nødvendig. Konkretisering av dette vil bli en sentral del av oppdatert veileder for små virksomheter, og i Normen 6.0 Side 12

Hvis virksomheten: Har styringssystem på plass: IKKE har styringssystem på plass: Side 13

Innføring av styringssystem for informasjonssikkerhet Anskaffe et system, eller Benytte Normens maler i legekontorveilederen NB: Denne vil oppdateres i 2019 Sørg for å ha «protokoll over behandlinger» Fortsatt mange relevante maler, f.eks mal for risikovurdering Kap 2 i Normen Legekontorveilederen med internkontrollmal Side 14

Mal for risikovurdering i legekontorveileder - et godt verktøy for felles gjennomgang på kontoret Noen eksempler på trusselscenarioer i malen: Stans i server med elektronisk pasientjournal pga tekniske problemer Bygget hvor legekontoret holder til i brenner ned til grunnen og server med elektronisk pasientjournal og sikkerhetskopier (backup) går tapt Bærbar PC med helseopplysninger mistes eller blir stjålet Legesekretær signerer legens journalnotat i den elektroniske pasientjournalen Pasient ser helseopplysninger om en annen pasient på PC/arbeidsstasjon (som er plassert slik at innsyn er mulig) Ansatt kaster utskrift med helse- og personopplysninger i papirinnsamlingen Ansatt som fratrer (slutter) blir ikke fjernet som bruker i den elektroniske pasientjournalen Databehandleravtale er ikke opprettet med ekstern teknisk leverandør Bruker sender diagnose på e-post eller SMS Legekontoret har ikke utarbeidet nødprosedyrer ved stans i den elektroniske pasientjournalen Side 15

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding