IT-sikkerhet i foretakene - ansvar og roller Helge Gundersen IKT-rådgiver / IT-sikkerhetsansvarlig
Historisk: PACS 2005 Regionalt samarbeid innefor IT Formalisert samarbeid mellom 3 fylkeskommuner Felles anskaffelse PAS, LAB, PACS, PRS og EPJ Utfordring: 8 forskjellige sykehus / 8 IT-avdelinger Prioriterer oppfølgingen av felles regional IT-strateg RIT2000 Løsning gjennom foretaksreformen!
Helse Midt-Norge IT (HEMIT) Etablert juli 2003 Eget styre / Eier: Helse Midt-Norge RHF Ca. 110 IT-ansatte overført fra sykehusene IT-avtaler / HW og SW overført Styrende: Regional IT-strategi / S@mspill2007 Avtalte leveranser av 26 stk. IT-tjenester 2005: HNT kjøper IT-tjenester for ca. 42 mill. kr. Driftsansvar for PACS/RIS-løsning i regionen
Roller: HEMIT som LEVERANDØR (databehandler) ( tilrettelegger / selger av IT-tjenester ) Foretakene som KUNDE (databehandleransvarlig ( bestiller / kjøper av IT-tjenester ) UTFODRING for HF ene: Prisen på IT-tjenestene som leveres Gode tjenesteavtaler på omfang og kvalitet Handtering av avvik på kvalitet og sikkerhet Databehandler sitt ansvar ihht. Helseregisterloven
Førende for sikkerhetsarbeidet i Helse Nord- Trøndelag: Som behandlingsansvarlig har Helse Nord-Trøndelsg HF ansvar fo alle behandlinger av helse- og personopplysninger i foretakets informasjonssystem. Overordnet ansvar utøves av helseforetakets ledelse og omfatter ansvar for tilfredsstillende sikring av helse og personopplysninger.
Fortsetter PACS 2005 Helseregisterloven 16: Den databehandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet og tilgjengelighet ved behandling av helseopplysninger. Operativt ansvar for drift av HNT sitt informasjonssystem er tillagt informasjonssikkerhetsansvarlig. Tilsvarende gjelder operativt ansvar for å følge opp foretakets sikkerhetsarbeid, og for å følge opp behandlingen av helse- og personopplysninger. IT- og Informasjons-sikkerhetsansvarlig og Personvernombud (ny) ska rapportere direkte til foretakets ledelse. Ansvar, myndighet, arbeidsoppgaver og rapporteringsvei fremgår av egne funksjonsbeskrivelser for hver av dem.
Infosikkerhetsorganisasjonen i Administrerende direktør (databehandlingsansvarlig) Ledelsens gjennomgang Arbeidsutvalg (AU): Infosikkerhetsansvarlig IT-sikkerhetsansvarlig Styringsgruppe for Informasjons- og IT-sikkerhet (linjeledere, systemeiere og brukere)
Infosikkerhetsorganisasjonen i HEMIT (databehandler) Administrerende direktør (databehandlingsansvarlig) Ledelsens gjennomgang Arbeidsutvalg (AU): Infosikkerhetsansvarlig IT-sikkerhetsansvarlig Informasjonssikkerhets- og IT-sikkerhets gruppe (linjeledere, systemeiere og brukere)
På vegne av databehandlingsansvarlig skal foretakets IT-sikkerhetsansvarlig: Følge opp foretakets ansvar ihht. Helseregister- og Personopplysningsloven Følge opp den tekniske delen av IT-sikkerheten Oversikt over personopplysninger som helseforetaket forvalter Gjennomføre ROS ved innføring av nye IT-systemer og endringer i eksisterende. Følge opp HEMIT og systemeier ved tekniske avvik Ivareta foretaket i arbeidet med regional IT-strategi