Hacking av MU - hva kan Normen bidra med?

Like dokumenter
Strategi for Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten

Noen utvalgte faktaark og veiledere, og medisinsk avstandsoppfølging

INFORMASJONSSIKKERHET

Digital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland

KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

EPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE. Informasjonssikkerhet Jan Gunnar Broch PMU 2018

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Nytt i Normen Normkonferansen Aasta M. Hetland Jan Gunnar Broch Sekretariatet for Normen

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

Frist for innspill: 1. november Mottaker etter liste

KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL. Åpent kurs oktober 2018

Normens veileder for Informasjonssikkerhet og personvern - medisinsk utstyr. 14. mars 2018

Strategi for informasjonssikkerhet i helse- og omsorgssektoren

Normens veileder for Informasjonssikkerhet og personvern - medisinsk utstyr. Åpent med.tek. kurs 30. oktober 2018

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Internkontroll og informasjonssikkerhet lover og standarder

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

HVEM ER JEG OG HVOR «BOR» JEG?

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Cyberspace og implikasjoner for sikkerhet

STRATEGI FOR NORMENS KURS- OG KOMPETANSEVIRKSOMHET

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Innsatsområder nasjonalt nivå i helsetjenesten Nasjonalt meldingsløft Kjernejournal Helsepolitiske mål E-resept Helseportal Helseregistre EPJ Velferds

Personvernforordningen og utfordringer i dagens helsetjeneste

GDPR. Advokat Kari Gimmingsrud

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV

GDPR-status fra en kommune

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Hva er cyberrisiko? Bjørnar Solhaug. Seminar om cyberrisk, SINTEF, Technology for a better society 1

Personvern i praksis, GDPR personvernforordningen erfaringer

STRATEGI. for. Norm for informasjonssikkerhet

Sikkerhetskulturarbeidet i helsesektoren. Seniorrådgiver Jan Gunnar Broch, Helsedirektoratet

Kan du legge personopplysninger i skyen?

Norm for Informasjonssikkerhet - Tor Ottersen

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

PRAKTISK ARBEID MED RUTINER. Normkonferansen Scandic Ørnen, 15. oktober 2015

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

Hva er et styringssystem?

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Certificates of Release to Service(CRS)

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Box: erfaringer med UNINETTs første internasjonale skytjeneste. Jan Meijer, UNINETT

Personvernreglenes betydning for stordata, analyse, AI, agreggerte data, etc

Den europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo,

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Normkonferansen 15. oktober Nytt i Normen

Nytt EU-direktiv om forebygging av stikkskader, betydning for oss? Dorthea Hagen Oma Smittevernlege Helse Bergen

En praktisk anvendelse av ITIL rammeverket

Et treårig Interreg-prosjekt som skal bidra til økt bruk av fornybare drivstoff til persontransporten. greendriveregion.com

ISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning

Jarle Langeland. Mellom IT-sikkerhet og personvern 2

Gjenopprettingsplan DNBs erfaringer. Roar Hoff Leder av Konsern-ICAAP og Gjenopprettingsplan Oslo, 7. desember 2017

HMS og IKT-sikkerhet i integrerte operasjoner

Nye personvernregler

Stordata og offentlige tjenester personvernutfordringer?

Felles grunnmur for digitale tjenester. Sikkerhetsinfrastruktur Normkonferansen 2017

Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter?

Nye personvernregler

Personvern og elektronisk billettering. advokat Eva I. E. Jarbekk

Databehandleravtaler. Tommy Tranvik Unit

Følger sikkerhet med i digitaliseringen?

MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER

Bedre personvern i skole og barnehage

Norm for informasjonssikkerhet i helse og omsorgstjenesten

LÆRINGS- og GJENNOMFØRINGSPLAN

Informasjonsstrategi med overordnet handlingsplan. for Normen. i perioden 2015 til 2017

Lovlig bruk av Cloud Computing. Hallstein Husand Sikkerhetskonferansen 2013 Gjøvik 15. april 2013

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

LÆRINGS- og GJENNOMFØRINGSPLAN

Informasjonssikkerhet - Innføring velferdsteknologi Agder. KiNS-konferanse Stavanger juni 2019

GDPR og diskusjonene som går i markedet. Advokat Eva Jarbekk

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

Hva gjør så KiNS og KS med GDPR?

REGIONALT KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL. Åpent kurs mars 2018

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Videokonsultasjon - sjekkliste

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

Innebygd personvern og personvern som standard. 27. februar 2019

Noen utvalgte faktaark og veiledere. Åpent kurs

LÆRINGS- og GJENNOMFØRINGSPLAN

Nytt personvernregelverk på 1-2-3

Bruk av databehandler (ekstern driftsenhet)

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Underbygger lovverket kravene til en digital offentlighet

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Personvern i digitalisering av forvaltningen

Forebygging av stikkskader og ny forskrift. Dorthea Hagen Oma Smittevernoverlege Helse Bergen

AKKREDITERINGSDAG MEDISINSKE LABORATORIER

Transkript:

Hacking av MU - hva kan Normen bidra med? Medisinsk teknologisk forenings landsmøte Bergen, 24.4.2019 Side 1

Litt bakgrunn og oppdatering

Personvern og informasjonssikkerhet to siste år

https://www.forbes.com/sites/thomasbrewster/2017/05/17/wannacry-ransomware-hit-real-medical-devices/#6a7fb780425c Side 4

Medisinsk utstyr og informasjonssikkerhet hva er problemet? Utstyret er ofte gammelt Utstyret er dårlig sikret Kjente sårbarheter eksisterer Ikke alltid utstyret i seg selv som er målet for en angriper Side 5

Personvern og informasjonssikkerhet er en forutsetning for digitalisering. Innbyggere må ha tillit til at helse- og omsorgssektoren behandler helse- og personopplysninger på en trygg måte Side 6

Ting å følge med på MDR 26.5.2020 og IVDR 26.5.2022 - betydning for cybersikkerhet Medisinsk avstandsoppfølging - informasjonssikkerhet og personvern Side 7

Regulation on medical devices (MDR) Annex 1 Safety and performance requirements related to cybersecurity 17.1. Devices that incorporate electronic programmable systems, including software, or software that are devices in themselves, shall be designed to ensure repeatability, reliability and performance in line with their intended use. In the event of a single fault condition, appropriate means shall be adopted to eliminate or reduce as far as possible consequent risks or impairment of performance. 17.2. For devices that incorporate software or for software that are devices in themselves, the software shall be developed and manufactured in accordance with the state of the art taking into account the principles of development life cycle, risk management, including information security, verification and validation. 17.4. Manufacturers shall set out minimum requirements concerning hardware, IT networks characteristics and IT security measures, including protection against unauthorised access, necessary to run the software as intended. 24.4 The instructions for use shall contain all of the following particulars:(ab) for devices that incorporate electronic programmable systems, including software, or software that are devices in themselves, minimum requirements concerning hardware, IT networks characteristics and IT security measures, including protection against unauthorised access, necessary to run the software as intended. Side 8

Side 9

EKSEMPEL: MINI-RISKOVURDERING AV AVSTANDSOPPFØLGING Side 10

Usikker infrastruktur i pasientens hjem (både konfidensialitet og tilgjengelighet) Sikker autentisering Av «bokser» Av pasient / bruker (kognitiv svikt?) Overskuddsinformasjon Dokumentasjonsplikt Sletting Samtykke Hva skal logges? Medisinsk utstyr en sikkerhetsutfordring

Leverandør (f.eks utstyrsprodusent) Skylagring Databehandleravtaler Sletting Underleverandører Mellomlagring Pre-prosessering

Omfattende brukervilkår (i gjennomsnitt 14 sider) Overføring til andre formål / til tredjepart Manglende sletting Krav til brukerkontor for lagring Kilde: Forbrukerrådet 2017: Helsedata til salgs? Leverandør (f.eks utstyrsprodusent) Pasienten tar i bruk tilleggsfunksjonalitet som tilbys av f.eks utstyrsleverandør

Normens bidrag Side 16

Bakgrunn Om Normen Normen Faktaark og veiledere Utadrettet virksomhet Kurs Normen er Norges første og største bransjenorm for informasjonssikkerhet og fra 2018 også for personvern Normen er åpent tilgjengelig via www.normen.no

Bakgrunn Om Normen Normen er til for Normen styres av en bredt sammensatt styringsgruppe Det daglige arbeidet koordineres av sekretariatet Alle virksomheter som ved avtale har forpliktet seg til å følge Normen i praksis de fleste av sektorens mer enn titusen virksomheter og deres leverandører og databehandlere Den offentlige tannhelsetjeneste Sekretariatet er plassert i Direktoratet for e-helse med fast representasjon fra Norsk Helsenett Strategi for Normen 2019-2021

Normen og medisinsk utstyr Veileder i personvern og informasjonssikkerhet -medisinsk utstyr Veileder presentert på MTF Landsmøte Drammen Obligatorisk kurs for med.tek personell i Helse Midt- Norge på St. Olavs Hospital Åpne kurs for med.tek personell, IKT-personell og leverandører Veileder i personvern og informasjonssikkerhet -medisinsk utstyr Første versjon Utbredelse Første kurs Åpne kurs Revidering 2015 2016 2017 2018 2019 Veilederen Landsmøtet Parallellsesjon Gratis Scenariene Arbeidet med veilederen startet i 2014 Også i 2018 var Normen invitert til Landsmøtet I 2017 var det for første gang en egen parallellsesjon for medisinsk utstyr og informasjonssikkerhet på Normkonferansen Kursene er gratis, pågår enda, og har til nå samlet nær 500 deltakere revideres, bl.a. med tanke på direkte bruk i Merida og Medusa Side 19

Hva skjer i 2019? Revidering av veileder Åpne kurs Egen parallellsesjon Oppdatering etter GDPR Fra 16 bruksscenarier til færre scenarier + egenskaper Nytt kurs 24. 25. september (Oslo) Gratis Påmelding åpen via www.normen.no Egen medisinteknisk parallellsesjon også under årets Normkonferanse 25.- 27. november 2019 Foreløpig tema: Nytt EU-regelverk Side 20

Virksomhetenes rolle Side 21

Samfunnssikkerhet og beredskap NOU 2016: 19 Samhandling for sikkerhet Beskyttelse av grunnleggende samfunnsfunksjoner i en omskiftelig tid

Informasjonssikkerhet Sikkerhetskultur PEOPLE PROCESSES TECHNOLOGY Side 23

Hva er Normens bidrag? Virksomhetene og sektoren må gjøre jobben selv Tilegne seg kompetanse Ha nødvendinge roller på plass Systematisk arbeid Sikkerhetskultur Informasjonssikkerhet = en gjørejobb Risikovurderinger, sikkerhetstesting, sikkerhetsoppdateringer, Normen kan bidra med Kompetansebygging Fasilitering, nettverk Verktøy, veiledning Side 24

Men husk Side 25

www.normen.no sikkerhetsnormen@ehelse.no Side 26

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding