Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Like dokumenter
Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

MTU - Krav til informasjonssikkerhet

Introduksjonskurs til Normen Normens krav. Jan Henriksen Sekretariatet for Normen

KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL. Åpent kurs oktober 2018

Krav til informasjonssikkerhet

Behandling av helse- og personopplysninger ved legekontoret

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

OM PERSONVERN TRONDHEIM. Mai 2018

Personvernforordningen og utfordringer i dagens helsetjeneste

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

EPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE. Informasjonssikkerhet Jan Gunnar Broch PMU 2018

HVEM ER JEG OG HVOR «BOR» JEG?

KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL

Sikkerhetskrav for systemer

Digital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland

POWEL DATABEHANDLERAVTALE

102 Definisjoner og forklaringer

Sikkerhetskrav for systemer

Strategi for Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten

Sikkerhetskrav for systemer

Noen utvalgte faktaark og veiledere. Åpent kurs

PERSONVERN I C-ITS

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Frist for innspill: 1. november Mottaker etter liste

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

GDPR E-PRIVACY. Kristiansand, 23. november Advokatfullmektig Christine Stousland

Personopplysningsvern med ProFundo som databehandler

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Hvilken betydning har personvernforordningen på helseområdet

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Noen utvalgte faktaark og veiledere, og medisinsk avstandsoppfølging

Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten

Bransjenorm. for informasjonssikkerhet og personvern i helse- og omsorgstjenesten

Norm for informasjonssikkerhet i helse og omsorgstjenesten

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

LÆRINGS- og GJENNOMFØRINGSPLAN

Norm for informasjonssikkerhet i helsesektoren

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

LÆRINGS- og GJENNOMFØRINGSPLAN

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Noen utvalgte faktaark og veiledere. Åpent kurs 15. mars 2018

Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Normkonferansen 15. oktober Nytt i Normen

LÆRINGS- og GJENNOMFØRINGSPLAN

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

Norm for Informasjonssikkerhet - Tor Ottersen

Videokonsultasjon - sjekkliste

Innsatsområder nasjonalt nivå i helsetjenesten Nasjonalt meldingsløft Kjernejournal Helsepolitiske mål E-resept Helseportal Helseregistre EPJ Velferds

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

Praktisk bruk av mal for databehandleravtale. Christina M Grønli, pvo Viken fylkeskommune

Nye personvernregler

Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag. Tor Ottersen

AVTALE OM [sett inn navn på oppdrag/tjeneste] Mal for Databehandleravtale. Arbeids- og velferdsetaten (NAV) [Virksomhetens navn]

Den nye personvernsforordningen. Kristin Sæther Bangsund, Seniorrådgiver, EFTAs Overvåkningsorgan (ESA)

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Arkivsystemer med skyløsninger

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

INFORMASJONSSIKKERHET

Styret Helse Sør-Øst RHF 14. desember 2017

DATABEHANDLERAVTALE I

Informasjonssikkerhet og personvern Definisjoner

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

VIRKE. 12. mars 2015

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I DE DIGITALE TJENESTENE FOR DE KOMMUNALE SOSIALE TJENESTENE. Databehandleravtale

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Policy for personvern

AVTALE OM WEBSAK SYSTEM FOR ELEKTRONISK ADMINISTRATIV SAKSBEHANDLING OG ARKIV. Databehandleravtale. Arbeids-og velferdsdirektoratet

Avtale om kommunens bruk av Modia arbeidsrettet oppfølging til behandling av personopplysninger etter sosialtjenesteloven. Databehandleravtale.

Internkontroll og informasjonssikkerhet lover og standarder

REGIONALT KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL. Åpent kurs mars 2018

Databehandleravtaler. Tommy Tranvik Unit

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Normens krav og anbefalinger fra kravspek til innføringsprosjekt. 31. oktober 2018

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Norm for Informasjonssikkerhet i Helsesektoren. Tor Ottersen

Prosedyre for personvern

Nytt i Normen Normkonferansen Aasta M. Hetland Jan Gunnar Broch Sekretariatet for Normen

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Databehandleravtale for NLF-medlemmer

DATABEHANDLERAVTALE vedrørende nettjenesten

Databehandleravtale etter personopplysningsloven

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Transkript:

Kort introduksjon til Normen Jan Henriksen Sekretariatet for Normen 1

Innhold 1. Litt om personvern og informasjonssikkerhet 2. Norm for informasjonssikkerhet 3. Risikovurdering 2

Trusler mot personvernet Journalen er ufullstendig Uautorisert tilgang og innsyn i journal Tyveri av datautstyr med journalopplysninger Tap av lagringsmedia eller bærbar PC med journalopplysninger Ødeleggelse av lagringsmedia eller datautstyr Ny versjon av journalsystemet installeres, men virker helt eller delvis ikke SMS eller e-post inneholder helseopplysninger 3

4

Personopplysninger (art 4) enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet 5

Særlig kategorier personopplysninger (art 9) Opplysninger om a) rasemessig eller etnisk opprinnelse b) politisk oppfatning c) religion Hva med 11-siffret fødselsnummer? d) filosofisk overbevisning e) fagforeningsmedlemskap f) genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person g) helseopplysninger h) opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering

Behandling av personopplysninger (art 4) enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring 7

Informasjonssikkerhet - begrep Helsepersonell behandler helse- og Konfidensialitet personopplysninger om pasient Helsepersonell plikt til å føre journal Integritet Forpliktelse ift pasienten kontinuitet i behandling og omsorg Tilgjengelighet Det skal finnes tiltak for å forebygge, detektere, håndtere og gjenopprette Robusthet personopplysningssikkerheten 8

Personvern vs informasjonssikkerhet Personvern Rett Privatlivets fred Regulere bruk av personopplysninger Informasjonssikkerhet Plikt Virkemidler for å sikre personvernet Konfidensialitet Integritet Tilgjengelighet Robusthet 9

10

Lovverk eforvaltningsforskriften (samhandling i og med forvaltningen) Forvaltningsloven, arkivlova, Helselovgivningen (PJL, PJF, PBRL, HPL, HOT, ) Personopplysningsloven Personvernforordningen - PVF (GDPR) Sikkerhetsloven Beskyttelsesinstruksen Adressesperre kode 6 og 7 11 11

Krav til sikring av personopplysninger Virksomheter som behandler personopplysninger skal sikre opplysningene Helseopplysninger skal sikres bedre enn personopplysninger 12

2. Norm for informasjonssikkerhet Gjelder for helse- og omsorgstjenesten Verktøy for å etablere tilfredsstillende informasjonssikkerhet Ett regelsett å forholde seg til alt relevant lovverk er hensyntatt Stole på samhandlingspartner Harmonisere sikkerheten mellom virksomheter i sektoren Godkjennes av Datatilsynet oppfyller PVF Normen skal følges, jf avtale NHN www.normen.no 13

Normen utarbeidet og forvaltes av en styringsgruppe Den norske legeforening Representanter for de regionale helseforetak (RHF og HF) Norsk Sykepleierforbund Norges Apotekforening Kommunenes Sentralforbund Datatilsynet Helsetilsynet NAV Helsedirektoratet Tannlegeforeningen Den offentlige tannhelsetjenesten Direktoratet for forvaltning og IKT Norges Farmaceutiske Forening Norsk psykologforening Norsk Fysioterapeutforbund Autonom styringsgruppe 14

Normen, faktaark og veileder Normen er kravene Faktaark er veiledning i hvordan krav kan løses (6b og 38 er unntak) Veiledere omhandler et tema/område og utdyper dette 15 15

Normen - oppbygging Ledelse og ansvar Risikostyring Personvern og pasientrettigheter Informasjonssikkerhet (strukturert iht ISO 27002) 16

Ledelse og ansvar Ansvar og organisering av personvern og informasjonssikkerhet Dataansvarliges ansvar Styringssystemet Informasjonssikkerhetsmål Informasjonssikkerhetsinstruks Personvernombud Ledelsens gjennomgang 17

Ansvar - Rolle 1 - Dataansvarlig Normen sier: Med dataansvarlig menes den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes Formål - Yte helsehjelp, yte fysioterapitjeneste, organisere barnevern, legevakt, mv Behandling - Innsamling, registrering, sammenstilling, lagring, utlevering Hjelpemidler - Fagsystem, EPJ-system, mv Er ansvarlig for personvern og informasjonssikkerhet i virksomheten 18

Tydelig formål 19

Ansvar - Rolle 2 - Databehandler Normen sier: Med databehandler menes den som behandler helse- og personopplysninger på vegne av den dataansvarlig En databehandler er en ekstern person eller virksomhet utenfor den dataansvarliges virksomhet Mal for databehandleravtale finnes på normen.no 20

Normen krav til styringssystem - eksempel Styrende del Gjennomførende del Kontrollerende del www.normen.no Veiledere for flere sektorer 21

Normen styringssystem Styrende del Fastsette ansvaret organisering Dataansvarlig og databehandler Etablere mål for informasjonssikkerhet Tilgang og utlevering Fastsette nivå for akseptabel risiko / risikovurdering Utarbeide protokoll over behandlinger Bruk maler på datatilsynet.no 22

Sikkerhetsmål - Tilgang Kun autorisert personell har tilgang i journalsystemet Tilgang skal baseres på tjenstlig behov - for eksempel Yte helsehjelp Administrere slik hjelp Kvalitetssikring 23

Normen styringssystem Gjennomførende del Leverandører, avtaler Konfigurasjonsstyring Tilgangsstyring Drift Dokumentasjon av sikkerhetstiltak 24

Normen styringssystem Kontrollerende del Sikkerhetsrevisjon Risikovurdering* Avvikshåndtering Ledelsens gjennomgang 25

Normen krav til styringssystem Samling av alle dokumenter i en bestem struktur: Styringsdokumenter Prosedyrer/regler Maler Opplæringsmateriell NB! Styringssystem skal være på plass i alle virksomheter som behandler helse- og personopplysninger 26

3. Risikostyring Oversikt og protokoll over behandlinger av helse- og personopplysninger Oversikt over ikt-utstyr Risikovurdering Personvernkonsekvensvurdering Forhåndsdrøfting med Datatilsynet 27

Risikovurdering Identifisere mulige svakheter i eksisterende løsninger før de får konsekvenser - forebygge Tilgangsstyring Teknisk løsning / drift Bruk av fagsystem Fysisk sikring Avtaler Vurdere om svakheter kan/vil ha innvirkning på Bilde Jan Henriksen 1981 behandlingen av personopplysninger / sikringen av opplysningene 28

Risikovurdering Gir grunnlag for å planlegge og gjennomføre tiltak Resultatet av risikovurderingen skal oppbevares i minimum 5 år Bruk tilgjengelig mal på www.normen.no 29

Risikovurdering skal gjennomføres før: det iverksettes behandling av helse- og personopplysninger etablering av nye systemer eller registre som inneholder helse- og personopplysninger det iverksettes organisatoriske endringer som kan påvirke informasjonsbehandlingen 30

Risikovurdering skal gjennomføres før: det iverksettes tekniske endringer i utstyr og/eller programvare som kan påvirke informasjonsbehandlingen det iverksettes andre endringer med betydning for informasjonssikkerheten det etableres løsninger med tilgang mellom virksomheter Konsekvens det etableres felles journal Liten 1 Moderat 2 Stor 3 Katastrof alt 4 31 S a n n s y n li g h e t Svært høy 4 Høy 3 Moderat 2 Lav 1

Oppsummering 1. Litt om personvern og informasjonssikkerhet 2. Norm for informasjonssikkerhet 3. Risikovurdering sikkerhetsnormen@ehelse.no 32

Som selvstendig næringsdrivende med en liten virksomhet gir Normen meg en samlet oversikt over de krav jeg må forholde meg til målrettet veiledning på en et område jeg synes er vanskelig og ikke har god kompetanse på maler tilpasset min arbeidshverdag Som leverandør gir Normen meg en oversikt over de minimumskrav som helsetjenesten vil stille til meg forutsigbarhet i hvilke krav som stilles til meg et felles begrepsapparat som muliggjør samhandling Som leder gir Normen meg oversikt over de minimumskrav jeg har ansvar for at min virksomhet oppfyller krav jeg kan stole på at også de andre lederne i sektoren vil jobbe for å oppfylle en arena for å diskutere prinsipielle problemstillinger på området veiledning og en arena der jeg og mine medarbeidere kan få økt kompetanse felles sektorkrav til bruk i anskaffelser og leverandøroppfølging et felles begrepsapparat som muliggjør samhandling Som innbygger gir Normen meg tillit til at helsesektoren jobber for at mine opplysninger skal være trygge og tilgjengelige tillit til at helsesektoren jobber for at jeg kan få oppfylt mine personvernrettigheter For meg som jobber med informasjonssikkerhet og personvern gir Normen meg oversikt over de minimumskrav jeg skal bidra til at min virksomhet oppfyller en arena for mitt fag veiledningsmateriell jeg kan bruke i mitt arbeid felles sektorkrav til bruk i anskaffelser og leverandøroppfølging et felles begrepsapparat som muliggjør samhandling og gjennomslag for sikkerhet og personvern Side 33

34

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding