Kort introduksjon til Normen Jan Henriksen Sekretariatet for Normen 1
Innhold 1. Litt om personvern og informasjonssikkerhet 2. Norm for informasjonssikkerhet 3. Risikovurdering 2
Trusler mot personvernet Journalen er ufullstendig Uautorisert tilgang og innsyn i journal Tyveri av datautstyr med journalopplysninger Tap av lagringsmedia eller bærbar PC med journalopplysninger Ødeleggelse av lagringsmedia eller datautstyr Ny versjon av journalsystemet installeres, men virker helt eller delvis ikke SMS eller e-post inneholder helseopplysninger 3
4
Personopplysninger (art 4) enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet 5
Særlig kategorier personopplysninger (art 9) Opplysninger om a) rasemessig eller etnisk opprinnelse b) politisk oppfatning c) religion Hva med 11-siffret fødselsnummer? d) filosofisk overbevisning e) fagforeningsmedlemskap f) genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person g) helseopplysninger h) opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering
Behandling av personopplysninger (art 4) enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring 7
Informasjonssikkerhet - begrep Helsepersonell behandler helse- og Konfidensialitet personopplysninger om pasient Helsepersonell plikt til å føre journal Integritet Forpliktelse ift pasienten kontinuitet i behandling og omsorg Tilgjengelighet Det skal finnes tiltak for å forebygge, detektere, håndtere og gjenopprette Robusthet personopplysningssikkerheten 8
Personvern vs informasjonssikkerhet Personvern Rett Privatlivets fred Regulere bruk av personopplysninger Informasjonssikkerhet Plikt Virkemidler for å sikre personvernet Konfidensialitet Integritet Tilgjengelighet Robusthet 9
10
Lovverk eforvaltningsforskriften (samhandling i og med forvaltningen) Forvaltningsloven, arkivlova, Helselovgivningen (PJL, PJF, PBRL, HPL, HOT, ) Personopplysningsloven Personvernforordningen - PVF (GDPR) Sikkerhetsloven Beskyttelsesinstruksen Adressesperre kode 6 og 7 11 11
Krav til sikring av personopplysninger Virksomheter som behandler personopplysninger skal sikre opplysningene Helseopplysninger skal sikres bedre enn personopplysninger 12
2. Norm for informasjonssikkerhet Gjelder for helse- og omsorgstjenesten Verktøy for å etablere tilfredsstillende informasjonssikkerhet Ett regelsett å forholde seg til alt relevant lovverk er hensyntatt Stole på samhandlingspartner Harmonisere sikkerheten mellom virksomheter i sektoren Godkjennes av Datatilsynet oppfyller PVF Normen skal følges, jf avtale NHN www.normen.no 13
Normen utarbeidet og forvaltes av en styringsgruppe Den norske legeforening Representanter for de regionale helseforetak (RHF og HF) Norsk Sykepleierforbund Norges Apotekforening Kommunenes Sentralforbund Datatilsynet Helsetilsynet NAV Helsedirektoratet Tannlegeforeningen Den offentlige tannhelsetjenesten Direktoratet for forvaltning og IKT Norges Farmaceutiske Forening Norsk psykologforening Norsk Fysioterapeutforbund Autonom styringsgruppe 14
Normen, faktaark og veileder Normen er kravene Faktaark er veiledning i hvordan krav kan løses (6b og 38 er unntak) Veiledere omhandler et tema/område og utdyper dette 15 15
Normen - oppbygging Ledelse og ansvar Risikostyring Personvern og pasientrettigheter Informasjonssikkerhet (strukturert iht ISO 27002) 16
Ledelse og ansvar Ansvar og organisering av personvern og informasjonssikkerhet Dataansvarliges ansvar Styringssystemet Informasjonssikkerhetsmål Informasjonssikkerhetsinstruks Personvernombud Ledelsens gjennomgang 17
Ansvar - Rolle 1 - Dataansvarlig Normen sier: Med dataansvarlig menes den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes Formål - Yte helsehjelp, yte fysioterapitjeneste, organisere barnevern, legevakt, mv Behandling - Innsamling, registrering, sammenstilling, lagring, utlevering Hjelpemidler - Fagsystem, EPJ-system, mv Er ansvarlig for personvern og informasjonssikkerhet i virksomheten 18
Tydelig formål 19
Ansvar - Rolle 2 - Databehandler Normen sier: Med databehandler menes den som behandler helse- og personopplysninger på vegne av den dataansvarlig En databehandler er en ekstern person eller virksomhet utenfor den dataansvarliges virksomhet Mal for databehandleravtale finnes på normen.no 20
Normen krav til styringssystem - eksempel Styrende del Gjennomførende del Kontrollerende del www.normen.no Veiledere for flere sektorer 21
Normen styringssystem Styrende del Fastsette ansvaret organisering Dataansvarlig og databehandler Etablere mål for informasjonssikkerhet Tilgang og utlevering Fastsette nivå for akseptabel risiko / risikovurdering Utarbeide protokoll over behandlinger Bruk maler på datatilsynet.no 22
Sikkerhetsmål - Tilgang Kun autorisert personell har tilgang i journalsystemet Tilgang skal baseres på tjenstlig behov - for eksempel Yte helsehjelp Administrere slik hjelp Kvalitetssikring 23
Normen styringssystem Gjennomførende del Leverandører, avtaler Konfigurasjonsstyring Tilgangsstyring Drift Dokumentasjon av sikkerhetstiltak 24
Normen styringssystem Kontrollerende del Sikkerhetsrevisjon Risikovurdering* Avvikshåndtering Ledelsens gjennomgang 25
Normen krav til styringssystem Samling av alle dokumenter i en bestem struktur: Styringsdokumenter Prosedyrer/regler Maler Opplæringsmateriell NB! Styringssystem skal være på plass i alle virksomheter som behandler helse- og personopplysninger 26
3. Risikostyring Oversikt og protokoll over behandlinger av helse- og personopplysninger Oversikt over ikt-utstyr Risikovurdering Personvernkonsekvensvurdering Forhåndsdrøfting med Datatilsynet 27
Risikovurdering Identifisere mulige svakheter i eksisterende løsninger før de får konsekvenser - forebygge Tilgangsstyring Teknisk løsning / drift Bruk av fagsystem Fysisk sikring Avtaler Vurdere om svakheter kan/vil ha innvirkning på Bilde Jan Henriksen 1981 behandlingen av personopplysninger / sikringen av opplysningene 28
Risikovurdering Gir grunnlag for å planlegge og gjennomføre tiltak Resultatet av risikovurderingen skal oppbevares i minimum 5 år Bruk tilgjengelig mal på www.normen.no 29
Risikovurdering skal gjennomføres før: det iverksettes behandling av helse- og personopplysninger etablering av nye systemer eller registre som inneholder helse- og personopplysninger det iverksettes organisatoriske endringer som kan påvirke informasjonsbehandlingen 30
Risikovurdering skal gjennomføres før: det iverksettes tekniske endringer i utstyr og/eller programvare som kan påvirke informasjonsbehandlingen det iverksettes andre endringer med betydning for informasjonssikkerheten det etableres løsninger med tilgang mellom virksomheter Konsekvens det etableres felles journal Liten 1 Moderat 2 Stor 3 Katastrof alt 4 31 S a n n s y n li g h e t Svært høy 4 Høy 3 Moderat 2 Lav 1
Oppsummering 1. Litt om personvern og informasjonssikkerhet 2. Norm for informasjonssikkerhet 3. Risikovurdering sikkerhetsnormen@ehelse.no 32
Som selvstendig næringsdrivende med en liten virksomhet gir Normen meg en samlet oversikt over de krav jeg må forholde meg til målrettet veiledning på en et område jeg synes er vanskelig og ikke har god kompetanse på maler tilpasset min arbeidshverdag Som leverandør gir Normen meg en oversikt over de minimumskrav som helsetjenesten vil stille til meg forutsigbarhet i hvilke krav som stilles til meg et felles begrepsapparat som muliggjør samhandling Som leder gir Normen meg oversikt over de minimumskrav jeg har ansvar for at min virksomhet oppfyller krav jeg kan stole på at også de andre lederne i sektoren vil jobbe for å oppfylle en arena for å diskutere prinsipielle problemstillinger på området veiledning og en arena der jeg og mine medarbeidere kan få økt kompetanse felles sektorkrav til bruk i anskaffelser og leverandøroppfølging et felles begrepsapparat som muliggjør samhandling Som innbygger gir Normen meg tillit til at helsesektoren jobber for at mine opplysninger skal være trygge og tilgjengelige tillit til at helsesektoren jobber for at jeg kan få oppfylt mine personvernrettigheter For meg som jobber med informasjonssikkerhet og personvern gir Normen meg oversikt over de minimumskrav jeg skal bidra til at min virksomhet oppfyller en arena for mitt fag veiledningsmateriell jeg kan bruke i mitt arbeid felles sektorkrav til bruk i anskaffelser og leverandøroppfølging et felles begrepsapparat som muliggjør samhandling og gjennomslag for sikkerhet og personvern Side 33
34