Introduksjonskurs til Normen Normens krav. Jan Henriksen Sekretariatet for Normen

Like dokumenter
MTU - Krav til informasjonssikkerhet

Krav til informasjonssikkerhet

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Behandling av helse- og personopplysninger ved legekontoret

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Sikkerhetskrav for systemer

Videokonsultasjon - sjekkliste

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

HVEM ER JEG OG HVOR «BOR» JEG?

KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL. Åpent kurs oktober 2018

Sikkerhetsrevisjon Sjekkliste for å ivareta kravene i Normen

Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Noen utvalgte faktaark og veiledere. Åpent kurs

Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag. Tor Ottersen

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale etter personopplysningsloven

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Veileder for tilgangsstyring

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Bransjenorm. for informasjonssikkerhet og personvern i helse- og omsorgstjenesten

Bruk av databehandler (ekstern driftsenhet)

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

EPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE. Informasjonssikkerhet Jan Gunnar Broch PMU 2018

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Noen utvalgte faktaark og veiledere. Åpent kurs 15. mars 2018

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten

Databehandleravtale for NLF-medlemmer

POWEL DATABEHANDLERAVTALE

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Internkontroll og informasjonssikkerhet lover og standarder

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Bilag 14 Databehandleravtale

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Registrerte og personopplysninger som behandles

Norm for informasjonssikkerhet i helsesektoren

KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Noen utvalgte faktaark og veiledere, og medisinsk avstandsoppfølging

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Databehandleravtaler

Databehandleravtaler. Tommy Tranvik Unit

Kommunens Internkontroll

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

mellom leverandør og virksomhet

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

OM PERSONVERN TRONDHEIM. Mai 2018

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Krav til informasjonssikkerhet i nytt personvernregelverk

Bruk av databehandler (ekstern driftsenhet)

Veileder for behandling av personopplysninger og informasjonssikkerhet i idretten

Retningslinjer for behandling av personopplysninger og informasjonssikkerhet i Det frivillige Skyttervesen

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Personvern og informasjonssikkerhet ved samhandling

Digital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Kan du legge personopplysninger i skyen?

Databehandleravtale. Skatteetaten. [leverandør] 1 av 8

Databehandleravtale digitale arkiv og uttrekk for deponering

Databehandleravtale etter personopplysningsloven

Frist for innspill: 1. november Mottaker etter liste

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

Norm for behandling av personopplysninger og informasjonssikkerhet i idretten

Transkript:

Introduksjonskurs til Normen Normens krav Jan Henriksen Sekretariatet for Normen 1

Innhold 1. Litt om personvern og informasjonssikkerhet 2. Personvern og pasientrettigheter 3. Krav til informasjonssikkerhet i Normen 2

Behandling av personopplysninger (art 4) enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring 3

Informasjonssikkerhet - begrep Helsepersonell behandler helse- og Konfidensialitet personopplysninger om pasient Helsepersonell plikt til å føre journal Integritet Forpliktelse ift pasienten kontinuitet i behandling og omsorg Tilgjengelighet Det skal finnes tiltak for å forebygge, detektere, håndtere og gjenopprette Robusthet personopplysningssikkerheten 4

Personvern vs informasjonssikkerhet Personvern Rett Privatlivets fred Regulere bruk av personopplysninger Informasjonssikkerhet Plikt Virkemidler for å sikre personvernet Konfidensialitet Integritet Tilgjengelighet Robusthet 5

2. Personvern og pasientrettigheter Taushetsplikt Den registrertes rettigheter Utlevering av helse- og personopplysninger 6

Taushetsplikten i hverdagen Passiv plikt Hvem snakker du med Hvem lytter Hvem utleveres opplysninger til Aktiv plikt Skjermsparer med passord manuell / automatisk Plassering av utstyr Låse kontor Låse ned dokumenter og notater Makulere Reelle data som testdata Utrangering av teknisk utstyr (multifunksjonskriver)

Den registrertes rettigheter Skal ha informasjon om rettigheter Innhente samtykke når det er nødvendig Ivareta de faktiske rettighetene til innsyn i, redigering, sletting og sperring (reservasjonsrett) av registrerte opplysninger om seg selv Innsyn i logger 8

, jeg trodde jeg hadde innsynsrett..

Innsyn i logger Pasientjournal og logger er ett Innsyn iht dokumentert prosedyre Minimum informasjon om: Person og organisatorisk tilhørighet til den som har behandlet helseopplysningene Hvilke behandlinger som er utført Når behandlingene er gjort 10

Utlevering av helseopplysninger Utlevering til personell i andre virksomheter skal fremgå av journalen Utlevering skal logges Taushetsplikten skal ivaretas Reservasjonsrett Henvisning/epikrise/dialog E-resept Refusjonskrav til HELFO Sykemelding til NAV. 11 11

3. Krav til informasjonssikkerhet Ansatte, kompetanse og holdningsskapende arbeid Tilgangsstyring Fysisk sikkerhet og håndtering av utstyr Sikker IT-drift Kommunikasjonssikkerhet Digital kommunikasjon med pasienter/bruker Leverandørforhold og avtaler Håndtering av informasjonssikkerhetsbrudd IKT-beredskap For å oppfylle kravene til konfidensialitet, integritet, tilgjengelighet og robusthet 12

Tilgangsstyring All tilgang til helse- og personopplysninger skal baseres på tildelt autorisasjon i fagsystemet og tjenstlig behov rolle kan benyttes Autorisasjon for å lese, registrere, redigere, skrive ut, rette, slette og sperre helse- og personopplysninger Fellesbruker er ikke tillatt All tildeling av autorisasjon skal registreres i et autorisasjonsregister Alle tildelte autorisasjoner skal kontrolleres minimum årlig 13

Tilgang for teknisk personell Kun teknisk personell med særskilt behov for tilgang, kan autoriseres for større mengder helse- og personopplysninger Det skal iverksettes tiltak slik at mulig misbruk av teknisk personell skal kunne avdekkes Tilgang gis via en personlig administratorkonto Engangspassord Sterk autentisering (sikkerhetsnivå 3 eller 4) Logging 14

Autentisering Autentisering skal: sikre identifisering av den enkelte bruke sikre identifisering i korrekt rolle (om rolle benyttes) ved behov kreve ulike autentiseringskriteria for hver rolle (om rolle benyttes) Ulike ansettelsesforhold skal identifiseres Autentiseringen skal være tilstrekkelig ift risikovurdering 15

Autorisasjonsregister Dataansvarlig skal sørge for at det opprettes et autorisasjonsregister Registeret skal som minimum inneholde: informasjon om hvem som er tildelt autorisasjon til hvilken rolle autorisasjonen er tildelt (om rolle benyttes) formålet med autorisasjonen tidspunkt for når autorisasjonen ble gitt og eventuelt tilbakekalt informasjon om hvilken virksomhet den autoriserte er knyttet til Hver oppføring skal arkiveres i 5 år fra det tidspunkt autorisasjonen tas ut av bruk 16

Logging Autorisert bruk Forsøk på uautorisert bruk Logger (autorisert bruk av fagsystemet) skal minimum inneholde entydig identifikator for den autoriserte brukeren rollen den autoriserte brukeren har ved tilgangen virksomhetstilhørighet organisatorisk tilhørighet til den som er autorisert hvilke type opplysninger det er gitt tilgang til hvem som har fått utelevert helseopplysninger grunnlaget for tilgangen tidspunkt og varighet for tilgangen 17

Logging For forsøk på uautorisert bruk brukeridentiteten som ble benyttet tidspunkt (dato og klokkeslett) IP-adresse eller annen identifikasjon av PC/arbeidsstasjon som ble benyttet (for eksempel MAC-adresse eller NAT-adresse) Logger skal oppbevares til det av helsehjelpens karakter ikke lenger antas å bli bruk for dem Logger skal analyseres (ukentlig) 18

Forsøk på uautorisert bruk Tilgangsstyring Virksomhet Autorisering register Autentisering Organisatorisk enhet Formålet med tilgangen Tilgang til helseopplysninger Autorisert bruk Bruker i en rolle Autorisasjons- Logger 19

Kontroll av tilgangsrettigheter Jevnlig kontroll av hvem som har hatt tilgang Kontroll skal utføres Ved organisasjonsendringer, overflytting av personell til annen enhet/avdeling eller endring av arbeidsområde. Minimum årlig (gjerne i forbindelse med sikkerhetsrevisjon). Ved sikkerhetsbrudd for det informasjonsområdet som blir berørt av bruddet Varsling Til ledelsen ved mistanke om urettmessig tilgang Til Datatilsynet ved faktisk hendelse 20

Tilgang mellom virksomheter Reservasjonsrett PJL 19 Tilgangsstyring kun relevante og nødvendige opplysninger ift ytelsen av helsehjelp PJL 9 Sikker autentisering Logging ut over ordinær logging Aktiv kontroll av benyttede tilganger Med sikker autentiseringsløsning menes i Normen en autentiseringsløsning som for eksempel er basert på personlig kvalifisert sertifikat eller annen autentiseringsløsning som gjennom en risikovurdering viser at den har tilstrekkelig sikkerhet 21

Fysisk sikring Server og kommunikasjonsutstyr skal være i bemannet eller avlåst område Sikring av PC Kryptering av lagringsenhet på bærbart utstyr Soneprinsipp ifm. resepsjoner, datarom, behandlingsrom, mv. Faktaark 17 Fysisk sikring av områder og utstyr 22

Plassering av utstyr Plasser skjerm og skriver skjermet for innsyn og adgang Taushetsplikten den passive delen* Skjermsparer m/passord Taushetsplikten den passive delen* 23

Sikker IT-drift Konfigurasjonskontroll Driftsrutiner (styringssystemet) To uavhengige tekniske tiltak mot eksterne nettverk Skille behandling av helseopplysninger og eksterne nettverk Teknisk løsning med sikkerhetsbarrierer Hindre uautorisert tilgang / kun eksplisitt trafikk Antivirus / ødeleggende programvare All kommunikasjon skal starte innenfra eget nettverk 24

Teknisk sikkerhetsløsning Kryptering av ekstern kommunikasjon Oppfylle krav fastsatt av NSM Autentisering som for stasjonært utstyr gjelder for mobilt utstyr hjemmekontor / fjernaksess fra leverandør trådløs kommunikasjon linjer virksomheten ikke har fysisk kontroll over 25

26

Sikkerhets- og tilbakekopiering Dokumenterte rutiner Frekvens Ansvar Sikkerhetskopi skal oppbevares Avlåst Brannsikkert Adskilt fra driftsutstyret (server) Jevnlig teste at sikkerhetskopiene er korrekte kan tilbakeføres 27

Flyttbare medier Merkes tydelig Skal krypteres Slettes forsvarlig - destrueres ved utrangering Oppbevares avlåst Sendes som rekommandert post (anbefaling i faktaark) 28

Service / utrangering av utstyr Fjernes utstyr som inneholder helse- og personopplysninger fra virksomheten, må det opprettes en databehandleravtale med serviceyter Service på stedet er å anbefale, men ikke et krav Ved utrangering av utstyr/lagringsmedia skal lagringsmedia slettes forsvarlig eller destrueres (for eksempel skriver) 29

Digital samhandling ordinær SMS og e-post Skal aldri brukes til helseopplysinger Skal aldri inneholde 11-sifferet fødselsnummer (art 5, nr 1. f) + 32) Mottas helseopplysninger via SMS eller e-post svarer virksomheten at Henvendelser med helseopplysninger blir ikke besvart. Bruk telefon eller fremmøte SMS krever samtykke fra pasient/bruker Veileder: Portalløsninger, SMS og e-post 30

Håndtering av informasjonssikkerhetsbrudd Prosedyre Faktainnsamling og vurdering Tiltak Melding til Datatilsynet innen 72 timer Hva skal meldes? Utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-utorisert tilgjengeliggjøring av eller tilgang Melding til den registrerte - hvilke unntak skal det tas hensyn til? Det er gjennomført tekniske og organisatoriske sikkerhetstiltak Det er truffet tiltaket i etterkant Om varslingen innebærer en uforholdsmessig stor innsats 31

Andre krav i Normen Nødrutiner skal utarbeides hva gjør virksomheten om alle journaler er borte eller ikke tilgjengelige? Avtaler Kontroll av tilgangsstyring ved sikkerhetsbrudd All bruk av selvautorisering skal grunngis og følges opp som avvik 32

Hva må gjøres for å oppfylle kravene? Etablere styringssystem for informasjonssikkerhet Gjennomføre risikovurdering Etablere og gjennomføre nødvendige tiltak iht kravene i Normen og resultat fra risikovurderinger Lære opp alle medarbeidere Sørge for løpende oppfølging og bruk av styringssystemet 33

Praktiske råd ift personvernforordningen Følg Normen Oppfyller virksomheten Normen er det lite som skal til Forholdsmessighet gjelder Risikovurdering er avgjørende som beslutningsunderlag for valg av organisatoriske og tekniske tiltak Protokollmaler på www.datatilsynet.no Melding av avvik på www.altinn.no 34

Krav til mindre virksomheter som fastsettes i Normen Redusert omfang styringssystem enklere prosedyrer påvise er et relativt begrep og skal stå ift behandlingen av personopplysninger Tekniske og organisatoriske tiltak skal stå ift risiko for den registrertes personvern - risikovurdering virksomheten er så liten og oversiktlig at ansvarsforhold gir seg selv det benyttes driftsleverandør som tar seg av teknisk drift med prosedyrer for drift av informasjonssystemene - ved bruk av databehandler bortfaller mange krav (FA 6b) 35

Oppsummering 1. Litt om personvern og informasjonssikkerhet 2. Personvern og pasientrettigheter 3. Krav til informasjonssikkerhet i Normen sikkerhetsnormen@ehelse.no 36

Som selvstendig næringsdrivende med en liten virksomhet gir Normen meg en samlet oversikt over de krav jeg må forholde meg til målrettet veiledning på en et område jeg synes er vanskelig og ikke har god kompetanse på maler tilpasset min arbeidshverdag Som leverandør gir Normen meg en oversikt over de minimumskrav som helsetjenesten vil stille til meg forutsigbarhet i hvilke krav som stilles til meg et felles begrepsapparat som muliggjør samhandling Som leder gir Normen meg oversikt over de minimumskrav jeg har ansvar for at min virksomhet oppfyller krav jeg kan stole på at også de andre lederne i sektoren vil jobbe for å oppfylle en arena for å diskutere prinsipielle problemstillinger på området veiledning og en arena der jeg og mine medarbeidere kan få økt kompetanse felles sektorkrav til bruk i anskaffelser og leverandøroppfølging et felles begrepsapparat som muliggjør samhandling Som innbygger gir Normen meg tillit til at helsesektoren jobber for at mine opplysninger skal være trygge og tilgjengelige tillit til at helsesektoren jobber for at jeg kan få oppfylt mine personvernrettigheter For meg som jobber med informasjonssikkerhet og personvern gir Normen meg oversikt over de minimumskrav jeg skal bidra til at min virksomhet oppfyller en arena for mitt fag veiledningsmateriell jeg kan bruke i mitt arbeid felles sektorkrav til bruk i anskaffelser og leverandøroppfølging et felles begrepsapparat som muliggjør samhandling og gjennomslag for sikkerhet og personvern Side 37

38

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding