Omsorg for informasjonssikkerheten

Like dokumenter
Omsorg for informasjonssikkerheten

Velferdsteknologi og informasjonssikkerhet irl (in real life)

Nasjonalt velferdsteknologiprogram

Velferdsteknologi i Norge hvor er vi, hvor skal vi og hvordan kommer vi dit. Helse- og omsorgsdepartementet

Velferdsteknologisk knutepunkt

Implementering av velferdsteknologi v/ Prosjektleder Cathrine Einarsrud og Hanne Eggen

Grunnmur. Velferdsteknologi Felles grunnmur. Midt-Buskerud

Siste nytt fra Nasjonalt velferdsteknologiprogram

Noen aktuelle tema for personvernombud i finans

Informasjonssikkerhet - Innføring velferdsteknologi Agder. KiNS-konferanse Stavanger juni 2019

Digital ledelse og kompetanse i kommunene

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Spredningsprosjektet Hanne Husaas, Seksjon for Velferdsteknologi, Helseetaten

Nasjonalt velferdsteknologiprogram. - erfaringer fra kommunene. Kristin Standal, prosjektleder

1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2

Styret Helse Sør-Øst RHF 14. desember 2017

Nasjonalt velferdsteknologiprogram

Notat for beslutning Delprosjekt D3-001 System Gerica Nye Drammen kommune

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Retningslinje for risikostyring for informasjonssikkerhet

«Føre var» Risiko og beredskap

Velferdsteknologisk knutepunkt

Informasjonssikkerhet i UH-sektoren

Internkontroll i praksis (styringssystem/isms)

Prosjekt Kompetanseregionen Sluttrapport. Prosjektmandat. Digitale løsninger i oppvekstsektoren

Plan Velferdsteknologi

Hva er sikkerhet for deg?

Fra utprøving til storskala drift

Prosjekt VT-respons Evy Bue Fadnes og Trine Vos

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Vurdering av personvernkonsekvenser (DPIA) - Vi vet hvorfor og når, men hvordan?

Hvordan komme i gang med elektronisk meldingsutveksling. Erfaringer fra forberedelsesfasen. Ås kommune

Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren

Arkivsystemer med skyløsninger

Agenda. 1. Utfordringsbildet. 2. Mål for prosjektet. 3. Prosjektplan. 4. Neste steg

Innføring velferdsteknologi Agder

HVORDAN LYKKES MED VELFERDS- TEKNOLOGI. Lillestrøm 5. desember 2018

Digital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland

Tiltaksplan digitalisering 2019

Innledning Brann og redningsvesenets oppgaver Stortingsmelding 35 (2008/ 2009), overordnet mål for brannvernarbeidet...

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Innføring velferdsteknologi Agder

Innledning Brann og redningsvesenets oppgaver Stortingsmelding 35 (2008/ 2009), overordnet mål for brannvernarbeidet...

Velferdsteknologisk knutepunkt (VKP)

Velferdsteknologiens ABC. Une Tangen KS Forskning, innovasjon og digitalisering

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Nasjonalt velferdsteknologiprogram Kunnskapsspredning fra Pilot til drift og hvordan få de nye kommunene med?

Difis veiledningsmateriell, ISO og Normen

SLUTTRAPPORT- Midt Norske Læringsnettverk Pasientvarslingsanlegg i Trondheim Kommune

Trygghetspakken trygghet i hjemmet for å bo hjemme så lenge som mulig!

Tjenesteinnovasjon og Velferdsteknologiens ABC. Kristin Standal KS Forskning, innovasjon og digitalisering

Velferdsteknologiprogrammet - erfaringer og status

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Møte med kontrollutvalget i Grimstad kommune

Velferdsteknologi tilpasset brukernes behov, som del av et helhetlig økosystem for e-helse

STYRESAK. Styremedlemmer Helse Fonna HF GÅR TIL: FØRETAK: DATO:

Informasjonssikkerhet og ISO 27001

Status Fristed

Risikobasert etterlevelse av pvf

Databehandleravtaler. Tommy Tranvik Unit

Kan du legge personopplysninger i skyen?

Nasjonale digitaliseringsprosjekter. hva skjer og hvordan nyttiggjøre seg dem?

Hvordan velge riktig velferdsteknologi?

Nasjonalt velferdsteknologiprogram. Kristin Standal, prosjektleder, KS

Regionalt program for velferdsteknologi i Kongsbergregionen

Utvalg Utvalgssak Møtedato. Utvalg for helse, oppvekst og kultur Formannskapet Kommunestyret

GEVINSTREALISERING I PRAKSIS - ENDRINGSVILJE OG EVNE

Det nasjonale velferdsteknologiprogrammet. Status og veien videre. Kristin Standal Prosjektleder, Innføring og spredning

DigIT DoIT KommIT Digitalt førstevalg - Hvordan kommunene skal nå målet. Solrunn Hårstad Medlem KSave

Risikovurdering av Public 360

Tjenesteinnovasjon og gevinstrealisering

Saksframlegg. Utvalg Utvalgssak Møtedato Rådet for mennesker med nedsatt funksjonsevne Eldrerådet Komite Levekår Formannskapet Kommunestyret

Digitalisering og deling i kommunal sektor

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

Hvordan sikre seg at man gjør det man skal?

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

Systemkartlegging. Hvorfor gjennomføre? Hva skal det brukes til? Hvordan går vi videre? Noen resultater fra kartleggingen på USIT

Ordfører- og rådmannskonferansen i Agder

Notat for beslutning Delprosjekt D System Socio Nye Drammen kommune

Nasjonalt velferdsteknologiprogram Velferdsteknologiens ABC, metoder og verktøy

Digital strategi for HALD Februar 2019

Bedre personvern i skole og barnehage

TRYGG DIGITALISERING I OS KOMMUNE

Innføring velferdsteknologi Agder

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Personvern i praksis, GDPR personvernforordningen erfaringer

Helseforetakenes senter for pasientreiser ANS 1/2016

Lokalt beredskapsarbeid fra et nasjonalt perspektiv

Styret Helseforetakenes senter for pasientreiser ANS 21/10/2015

Anskaffelse av plattform for velferdsteknologi erfaring.

Kommunens Internkontroll

Innføring velferdsteknologi Agder 2020

Trygghetspakken i hjemmet. Nasjonalt program for utvikling og implementering av velferdsteknologi

Velferdsteknologi et bidrag til kvalitet i helse- og omsorgstjenestene. Kristin Standal, prosjektleder KS/Nasjonalt velferdsteknologiprogram

Endringsledelse og gevinstrealisering: betydningen av ledelse for digitalisering og innovasjon i helsesektoren

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Krav til informasjonssikkerhet i nytt personvernregelverk

Transkript:

Omsorg for informasjonssikkerheten ehelse 2019, 9. mai 2019 Tonje Haugen og Rune Schumann

God informasjonssikkerhet handler om......kommer vi tilbake til... Bildet er tatt av Theodor Moise fra Pixabay

Oslo kommune 681 000 innbyggere så langt i 2019 (og teller fortsatt...)

Oslo kommune 45 000 mottakere av hjemmetjenester (2017) 4372 i helse- og omsorgsinstitusjoner (2018)

Her er Tim... Oslos persona når det gjelder digitalisering av innbyggertjenester

og han har en bestemor... Oslos persona når det gjelder innbyggertjenester

Hvorfor så vanskelig?

Hvorfor så vanskelig? Velferdsteknologi - Medisindispenser? Apotek USA? Avstandsoppfølging 12 UK? Enkel medisindispenser 13 Uklart hvor kommunen starter og hvor den slutter Personopplysninger behandles i flere land og løsningene driftes kanskje fra andre land igjen... Involverer ofte en kjede av underleverandører og forskjellige skyløsninger Ulik grad av modenhet på personvern og infosikkerhet hos leverandører ROS-analyser og gjennomgang av infosikkerhet blir omfattende I tillegg er det ofte et stort press på å «rulle ut» VFT... Norge Avansert medisindispenser 4 7 1 3 6 ANSVARSOMRÅDE VFT- LEVERANDØR Medisindispenser underleverandør Irland Norge VFT leverandør Tyskland VKP Velferdsteknologisk knutepunkt Norge 2 5 Vakttelefon 11 8 9 10 Oslo kommune PC/Klient KONSEPTSKISSE M E D I S I N D I S P E N S E R Fagsystem/EPJ Norsk Helsenett/OK Gerica

Hvorfor så vanskelig? Oslo kommune - Organisering

Hvorfor så vanskelig? Velferdsteknologi, anskaffelser og informasjonssikkerhet ANSKAFFELSE IMPLEMENTERING OG DRIFT Behovskartlegging Kravspesifisering Konkurransegjennomføring Test Implementering Drift ROS før anskaffelse Krav til informasjonssikkerhet Databehandleravtale ROS Sikkerhetsgjennomgang Personvernkonsekvensutredning/ DPIA Hendelses-håndtering Jevnlige revisjoner og tiltak for personvern og informasjonssikkerhet

God informasjonssikkerhet handler om......å håndtere risiko... Bildet er tatt av Theodor Moise fra Pixabay

Håndtere risiko handler om Kartlegge verdier sårbarheter trusler/trusselaktører Redusere risiko til akseptabelt nivå med tiltak som påvirker verdi sårbarheter trusler/trusselaktører Risiko Trusselaktør 09.05.2019 12

Barriere Barriere Barriere Barriere Barriere Barriere Katastrofe Uønsket hendelse Håndtere risiko handler om Balansere tiltak som reduserer sannsynlighet konsekvens Barriere = Tiltak 09.05.2019 13

«Osloprosessen» i stort

Basert på ROS-rammeverk fra Rådhuset ønsket vi å involvere bredt folk i tjenesten beslutningstagere (bl.a. risikoeier) leverandør teknologer en ROS-prosess tilpasset velferdsteknologi aktivisering av deltagerne 09.05.2019 15

«Osloprosessen» i stort O P P S T A R T AV R O S B E S L U T T E T A R B E I D S M Ø T E T R I N N 1 T E M A: H O V E D K O M P O N E N T E R A R B E I D S M Ø T E T R I N N 2 T E M A: K O M M U N I K A S J O N S K A NA L E R B E S L U T T E A K S E P T A B E L R E S T R I S K O O P P F Ø L G I N G AV R I S I K O I F O R V A L T N I N G S- R E G I M E P L A N L E G G E S A M M E N S T I L L E F O R B E R E D E OG S A M M E N S T I L L E OG K O N K L U D E R E O V E R F Ø R E T I L F O R V A L T N I N G FINNE RISIKOEIER SAMMENSTILLE RESULTATER SAMMENSTILLE RESULTATER FORANKRING I FORVALTN. ORG O P P G A V E R A R B E I D S G R U P P E VELGE ARBEIDSGRUPPE VELGE REFERANSEGRUPPE UTARBEIDE KONSEPTSKISSE UTKAST VERDIVURDERING KARTLEGGE SÅRBARHETER KARTLEGGE TRUSLER UTKAST ROS UTARBEIDE UNDERLAGSMATERIALE FORBEREDE ARBEIDSMØTE UTSENDING TIL REFERANSEGRUPPE OPPDATERE VERDIVURDERING VERDIVURDERE KOMM. KANALER OPPDATERE SÅRBARHETER OPPDATERE TRUSLER OPPDATERE UTKAST TIL ROS OPPDATERE UNDERLAGSMATERIALE FORBEREDE ARBEIDSMØTE QA AV REFERANSEGRUPPE UTSENDING TIL REFERANSEGRUPPE OPPDATERE UNDERLAGSMATERIALE UTARBEIDE TILTAKSPLAN KONKLUDERE QA AV REFERANSEGRUPPE FORBEREDE BESLUTNINGSUNDERLAG UTARBEIDE ANBEFALING KALLE INN RISIKOEIER ETABLERE PLAN FOR OPPFØLGING IMPLEMENTERE I ÅRSHJUL ETABLERE OPPFØLGINGSANSVAR

«Oslometoden» - Erfaringer Verktøyet og metoden fungerer bra, men Formen på arbeidsmøtene varierer Mye forarbeid og etterarbeid Arbeidsmøtene sikrer bred forankring, men på et smalere område Et lite team med kjernekompetanse må sikre at analysen får stort nok nedslagsfelt Husk på å få med både sansynlighets- og konsekvensreduserende tiltak Kartlegg hvem som er risikoeier: det er bare risikoeier som kan beslutte om restrisiko er innenfor akseptable grenseverdier

Erfaringer generelt Arbeid med personvern og informasjonssikkerhet fordrer tilgang til juss- og sikkerhetskompetanse ROS-analyser og sikkerhetsgjennomganger er ressurskrevende for VFT Kommunene selv bør utarbeide egne databehandleravtaler, ikke bruke leverandørenes Det er stor forskjell i modenhet på leverandører mht. personvern og informasjonssikkerhet Kommunen blir mer en veileder enn revisor ovenfor VFT leverandører Kommunene bør samarbeide om avtale-, metode- og kompetansedeling HUSK! ROS-analyser og sikkerhetsgjennomganger er ferskvare og må gjøres jevnlig som en del av et forvaltningsregime

Informasjonssikkerhet & personvern mye å ta tak i... det viktigste er... Bildet er tatt av Wilfried Pohnke fra Pixabay

09.05.2019 20

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding