Strategi for Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten 2019-2021 Versjon 1.0 Side 1
Bakgrunn Om Normen Normen Faktaark og veiledere Utadrettet virksomhet Kurs Normen er Norges første og største bransjenorm for informasjonssikkerhet og fra 2018 også for personvern Normen er åpent tilgjengelig via www.normen.no
Bakgrunn Om Normen Normen er til for Normen styres av en bredt sammensatt styringsgruppe Det daglige arbeidet koordineres av sekretariatet Alle virksomheter som ved avtale har forpliktet seg til å følge Normen i praksis de fleste av sektorens mer enn titusen virksomheter og deres leverandører og databehandlere Den offentlige tannhelsetjeneste Sekretariatet er plassert i Direktoratet for e-helse med fast representasjon fra Norsk Helsenett
Bakgrunn Nåsituasjon Sektorens utfordringsbilde informasjonssikkerhet og personvern Rask teknologisk utvikling, men fortsatt mange gamle løsninger Trusselbilde i endring Store forventninger til digitalisering og samhandling Informasjonssikkerhet og personvern er en forutsetning for digitalisering Komplekst lovverk ny personvernforordning En stor del små virksomheter med begrenset kompetanse på området Normens bevaringsområder Normens utviklingsområder Anerkjent i sektoren, har legitimitet, og er godt etablert Sektoren står samlet bak En god arena - samarbeid og kompetanseheving Normen som felles kravsett er nyttig for sektoren Innhold oppfattes vanskelig og lite tilgjengelig Ikke dekkende på alle områder Vet lite om etterlevelse
Mål Nytteeffekter Normen skal Bidra til Fremme Normens nytteeffekter at en virksomhet som etterlever og innretter seg etter Normen har egnede tekniske og organisatoriske tiltak for informasjonssikkerhet og personvern for sin behandling av helse- og personopplysninger. Fremme en balansert tilnærming til konfidensialitet, tilgjengelighet, integritet og robusthet. Normen skal bidra til å understøtte gode helsetjenester, god pasientsikkerhet, ivaretakelse av taushetsplikten, pasienters, brukeres og ansattes personvern, og en aktiv pasientrolle samhandling ved at virksomheter som har forpliktet seg til å innrette seg etter Normens krav kan stole på at de har egnede tekniske og organisatoriske tiltak for informasjonssikkerhet og personvern på plass Forenkle arbeidet med informasjonssikkehet og personvern for virksomhetene som følger Normen 1. Gjør det enklere å få på plass nødvendige sikkerhets- og personverntiltak 2. Bidrar til økt tillit til at sektoren behandler helse- og personopplysninger på en trygg måte 3. Bidrar til et harmonisert sikkerhetsnivå i sektoren 4. Bidrar til at sektoren har et godt kravstillingsverktøy til informasjonssikkerhet og personvern ved anskaffelser
Strategisk retning Prioriterte målgrupper Prioriterte temaområder NORMEN helse- og omsorgssektorens felles krav, verktøy og arena for informasjonssikkerhet og personvern Strategi 2019-2021 Prioriterte målgrupper 2019-2021: Prioriterte temaområder 2019-2021: Helse- og omsorgssektorens felles bransjenorm skal øke sin nytte og relevans gjennom forenkling tilgjengeliggjøring oppdatering effektiv utadrettet virksomhet tilpasning til personvernforordningen Ledelse Normen tydeliggjør ledelsens ansvar for informasjonssikkerhet og personvern, og gjør det enklere for ledere å kjenne til hva ansvaret innebærer Leverandører og databehandlere Normen gjør det enkelt og forutsigbart å vite hvilke krav helse- og omsorgssektoren stiller til informasjonssikkerhet og personvern Små virksomheter Normen gjør det enklere for å dataansvarlige og helsepersonell i små virksomheter (f.eks legekontor og fysioterapipraksiser) å kjenne til og forstå hvilke krav til informasjonssikkerhet og personvern som gjelder for dem. Pasient- og brukerrettigheter/ personvern Leverandørkrav og - oppfølging Sekundærbruk Med prioriterte temaområder menes temaer som skal prioriteres i strategiperioden, f.eks nytt innhold i Normen, veiledningsmateriell, og utadrettet virksomhet som kurs.
Strategiske fokusområder Strategiske initiativ STRATEGISKE FOKUSOMRÅDER 1 Forenkling, lesbarhet og nyttige verktøy 2 Felles arena 3 Sektorens felles kravsett til informasjonssikkerhet og personvern STRATEGISK INITIATIV 1. Enklere språk 2. Dokumenter med bedre grafisk utforming 3. Kortversjoner 4. Nye verktøy og formater mer enn bare pdf 1. Være tilgjengelig og i tett dialog og samarbeid med sektoren og andre relevante aktører 2. Revidere og videreutvikle Normens kursstrategi- og virksomhet 3. Vurdere hvordan pasienter og leverandører kan inkluderes bedre i Normarbeidet 1. Bidra aktivt til felles normering på områder der sektoren ønsker det 2. Utvikle Normens rolle som verktøy i anskaffelser og leverandøroppfølging 3. Søke og opprettholde godkjenning som en godkjent adferdsnorm 4. Følge opp etterlevelse av Normen for å skaffe til veie bedre faktagrunnlag som grunnlag for Normens utvikling. 5. Utarbeide oversikt som viser bakgrunn for Normens ulike krav (lovspeil)