Rapport informasjonssikkerhet Helgelandssykehuset 2015



Like dokumenter
Styresak Orienteringssak - Informasjonssikkerhet

Styresak /3 Samarbeid om felles journal i Helse Nord - informasjon

Styresak Orienteringssak - Informasjonssikkerhet

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010

Styresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon

HVEM ER JEG OG HVOR «BOR» JEG?

Møtedato: 28. november 2012 Arkivnr.: Saksbeh/tlf: Sted/Dato: Namik Resulbegovic, Bodø,

Sikkerhetskrav for systemer

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø,

Styresak Orienteringssak - informasjonssikkerhet

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Sikkerhetskrav for systemer

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

LÆRINGS- og GJENNOMFØRINGSPLAN

PACS IT-sikkerhet i foretakene - ansvar og roller. Trondheim. Helse Nord-Trøndelag HF. Helge Gundersen. IKT-rådgiver / IT-sikkerhetsansvarlig

Sikkerhetskrav for systemer

Datasikkerhet internt på sykehuset

Informasjonssikkerhet

Styresak Orienteringssak informasjonssikkerhet

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Styret Helse Sør-Øst RHF 14. desember 2017

HELSE MIDT-NORGE RHF STYRET

Saksframlegg Referanse

Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato:

pr. 31. desember 2014

Helse Nords beredskap innen IKT, vann og strømforsyning - oppfølging av styresak /3

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

STYRESAK. DATO: SAKSBEHANDLER: Brad Folsom SAKEN GJELDER: Informasjonssikkerhet i Helse Stavanger HF ARKIVSAK: 18/2 STYRESAK: 52/18

Oslo universitetssykehus HF

Ansvar og organisering

Etablering av felles journal i Helse Midt-Norge

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Bruk av databehandler (ekstern driftsenhet)

SAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET

KF Brukerkonferanse 2013

Styresak Orienteringssak - informasjonssikkerhet - fremdriftsplan ROS-analyser

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Bruk av databehandler (ekstern driftsenhet)

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Hvordan kan personvernet ivaretas i helsesektoren?

NOTAT. Elektronisk tilgang til pasientjournal. Til: Styringsgruppen for Elektronisk tilgang til pasientjournal Fra: Tove Sørensen, prosjektleder

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Namik Resulbegovic, Bodø,

DIPS Arena Inntaksplanlegging Rapporter Anne Anderssen FIKS Lars Ilebrekke DIPS ASA Vidar Åsbakk DIPS ASA. DIPS Arena Morgendagens EPJ

Logo xx kommune. Delavtale j) mellom Xx kommune og Sykehuset i Vestfold HF (SiV HF)

Databehandleravtale. Denne avtalen er inngått mellom

Styresak Oppfølging av internrevisjon Henvisninger og ventelister i Nordlandssykehuset HF -Internrevisjonsrapport nr.

Erfaringer fra konsolidering til regionale EPJ-system

EPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE. Informasjonssikkerhet Jan Gunnar Broch PMU 2018

Fagkurs for kommuner Arbeid med informasjonssikkerhet i egen virksomhet (45 minutter)

Dataanlegget på legekontoret lover, regler og Normen. Torstein Sakshaug Nidaroskongressen 2015

Varsel om vedtak fra Datatilsynet - Overtredelsesgebyr

Endelig kontrollrapport

Saksframlegg Referanse

Status Riksrevisjonens undersøkelser om helseforetakenes ivaretakelse av elektroniske pasientjournaler (EPJ) vedlegg til styresak

Styresak Orienteringssak - Informasjonssikkerhet - status pr mai 2018

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

De største utfordringene i tilgangsstyring til EPJ?

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

Handlingsplan for oppfølging av anbefalinger i internrevisjonsrapport 03/2013 fra Helse Nord RHF Henvisninger og ventelister i Helgelandssykehuset HF

Informasjon interesseorganisasjoner

Endelig kontrollrapport

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Anne Anderssen - Prosjektleder EPJ Utvikling. Norsk Arkivråd seminar - Oslo 17 september 2012

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Kvalitetssikring av arkivene

Kan du legge personopplysninger i skyen?

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

tilstrekkelig, forutsatt at tidsplan for integrasjonsløsning holder Legge fram budsjett for 2015 Prosjektleder Under arbeid

helseopplysninger i Helse Nord, fremdriftsplan for gjennomførte og planlagte tiltak oppfølging av styresak Sakspapirene var ettersendt.

OD Oppsummering av oppdrag for Helse Nord IKT

Noen utvalgte faktaark og veiledere. Åpent kurs

Deres referanse Vår referanse Dato / /EOL

Endelig kontrollrapport

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Programmandat. Regional klinisk løsning

LÆRINGS- og GJENNOMFØRINGSPLAN

BEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017

Ny lov nye muligheter for deling av pasientopplysninger

Personopplysninger og opplæring i kriminalomsorgen

LÆRINGS- og GJENNOMFØRINGSPLAN

Økt pasientsikkerhet gjennom forbedret pasientadministrativt arbeid. Statusrapport til styremøte i Helse Sør-Øst RHF 20. juni 2013

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Samarbeid mellom virksomheter om felles journal

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Endelig kontrollrapport

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Internkontroll ved behandling av helseopplysninger i Sykehusapotek Nord HF. Internrevisjonsrapport nr.: 02/2010

Fylkesmennene i Finnmark, Troms og Nordland

UNI. Horingssvar fra Universitetet i Agder

Akkumulert risikovurdering oktober 2014 Sannsynlighet

Normens krav og anbefalinger fra kravspek til innføringsprosjekt. 31. oktober 2018

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

LÆRINGS- og GJENNOMFØRINGSPLAN

Endelig kontrollrapport

Samordning av IKT i spesialisthelsetjenesten Status ny felles IKT-strategi

Transkript:

Rapport informasjonssikkerhet Helgelandssykehuset 2015 1. Innledning I Oppdragsdokumentet 2015 punkt 4.4. Beredskap, er et av punktene: Området informasjonssikkerhet med tilhørende status på ROS [1] -analyser skal behandles særskilt av helseforetakets styre innen 01.06.15. Styresaken skal beskrive om databehandler oppfyller de krav i lover og forskrifter som er tillagt databehandlerrollen og om nødvendige krav er nedfelt i leveranseavtaler. Eventuelle avvik skal være lukket innen 31.12.15. Personvern og informasjonssikkerhet i helse- og omsorgssektoren skal bidra til økt pasientsikkerhet, blant annet ved forsvarlig håndtering av helseopplysninger og at korrekte opplysninger kommer til rett behandler. Stillingen som informasjonssikkerhetsansvarlig i Helgelandssykehuset (HSYK) innehas av Kvalitetsleder, som er plassert i senter for Fag Forskning og Utdanning. Personvernombud rollen ivaretas av NSD (Norsk samfunnsvitenskapelig datatjeneste). HSYK deltar i regionens informasjonssikkerhetsforum (IS-forum), som har som formål å bidra til felles fortolkning av lovkrav samt innføring av felles rutiner og prosedyrer innen informasjonssikkerhet. Forumets mandat er for tiden under revisjon. Leder for ISforum er Sikkerhetssjef ved UNN. 2. Status Ledelsens gjennomgang informasjonssikkerhet HSYK gjennomfører årlig ledelsens gjennomgang risikovurderinger, der også ledelsens gjennomgang av informasjonssikkerhet inngår.. Den baserer seg på 24 sjekkpunkt fra faktaark nr. 6 fra Norm for informasjonssikkerhet. [1] Risiko- og sårbarhetsanalyse

Felles Styringssystem for informasjonssikkerhet Felles Styringssystem for informasjonssikkerhet i Helse Nord RHF er utarbeidet med bakgrunn i lovverket, samt anbefalinger og krav nedfelt i Norm for informasjonssikkerhet 1. Det er felles for Helse Nord og eierdirektør i Helse Nord RHF står som godkjenner, DocMap DS6121. Det ble ferdigstilt på slutten av 2012 og IS-forumet har ansvar for kontinuerlig oppdatering. Noe av innholdet er: Fysisk sikring, håndtering av informasjonssikkerhetsavvik, nødrutiner, pasientjournal, sikkerhetsinstruks, håndtering av pasientopplysninger lagret i medisinteknisk utstyr med mer. Informasjonssikkerhetssystemet innebærer bl.a følgende: - Oppfyllelse av lovkrav er satt sammen i et mer helhetlig dokument - Sikkerhetsmål og krav er mer konkretisert - Overordnet akseptabel risiko er definert - Opplæring i informasjonssikkerhet gjøres obligatorisk (e-læring) - Mer konkret beskrivelse av ansvarsforhold på de ulike nivåene I dokumentet Styringssystem for informasjonssikkerhet (MS0318) er obligatorisk e- læring i informasjonssikkerhet omhandlet i kap. 4 Sikkerhetsstrategi. Det heter der at e ISF-HN har utviklet et eget e-læringskurs for informasjonssikkerhet. Ansatte og ledere skal ha bestått testen i dette kurset. Personer som ikke har bestått testen vil ikke få eller beholde tilgang til informasjonssystemene i Helse Nord sitt IT-systemet. E-læringskurset ble utarbeidet i den tidligere e-læringsplattformen. Nordlandssykehuset (NLSH) har konvertert den over til den nye e-læringsplattform Campus. I løpet av 2015 vil det bli foretatt nødvendige endringer i den slik at den kan benyttes ved de øvrige helseforetakene. E-læringskurset bør gjøres obligatorisk for alle nyansatte med krav om en bestått test innen en gitt frist, for eksempel 30 dager etter påmelding, slik at de ikke vil få videre tilgang til informasjonssystemene (les journalsystemene) før testen er bestått. På den måten sikrer man at ansatte har et minimum av kunnskap om informasjonssikkerhet og personvern. Det bør også stilles samme krav til eksisterende ansatte. Plan for implementering utarbeides når e-læringskurset er fullt tilgjengelig og i forhold til øvrige IKT-prosjekter. Sikker utskrift I 2014 ble sikker utskrift begynt innført ved Helgelandssykehuset. Sikker utskrift er en ny måte å skrive ut dokumenter på. Utskriften blir sendt via en server og først skrevet ut når den ansatte skanner sitt adgangskort på skriver (valgfri skriver konfigurert for 1 https://ehelse.no/personvern-og-informasjonssikkerhet/norm-for-informasjonssikkerhet

sikker utskrift). Utskrifter risikerer dermed ikke å bli sendt til feil skriver, eller bli liggende uavhentet på skriveren. Sikker utskrift er tilgjengelig ved alle sykehusenhetene. Antall nye nettverksskrivere må økes for å kunne øke bruken. Det arbeides videre med mål om å redusere lokale skrivere, samt at alle nettverksskrivere er satt opp for sikker utskrift, slik at sensitiv informasjon ikke kommer på avveie. ROS-analyser (Risiko-og sårbarhetsanalyser) I perioden 2014-2015 er det gjennomført få risikovurderinger innen informasjonssikkerhet. Dette skyldes i hovedsak mangel på ressurser i forhold til øvrige prosjekter. I de fleste FIKS- og HOS programmets prosesser gjennomføres det fortløpende risikovurderinger. Disse vurderingene fremkommer ikke som egne ROSrapporter, men er innarbeidet i de løsninger som foreslås gjennomført. ROS-analysene i HOS er særlig vinklet mot risiko for gjennomføring av prosjektet og tap av data i de ulike trinne. Det er fra Sikkerhetssjefen på UNN vurdert at det på nåværende tidspunkt ikke vil være nødvendig med ytterlige ROS-vurderinger av EPJ (Elektronisk pasientjournal). Det vil bli aktuelt å gjennomføre ROS/sikkerhetsrevisjon av EPJ etter at FIKS- og HOS programmet har gjennomført, trinn II sammenslått elektronisk journal i regionen. Vinklingen av ROS-analysene bør da være på bruk av EPJ. Tilgangsstyring Tilgangsstyring skal sikre at nødvendige helse- og personopplysninger er tilgjengelig ut i fra brukerens yrkesfaglige behov og oppgaver. Helsepersonell må kunne søke opp og registrere relevante og nødvendige opplysninger i pasientens journal. Dette innebærer at brukeren må identifiseres i pasientjournalsystemet på en betryggende måte, og gis riktige tilgangsrettigheter i forhold til lesing, registrering, retting og sletting. I dag tildeles brukerrolle etter undertegning av taushetserklæring og kjøreregler for datasystem. Innføring av regional tilgangsstyring som en del av HOS-prosjektet vil sikre større grad av likhet for alle ansatte i Helse Nord på et overordnet nivå. De vil medføre enklere forvaltning av tilgangsrettigheter ved at brukerroller bygges etter samme prinsipper. Dette vil også gi gjenkjennbarhet for ansatte som ambulerer innad i og mellom foretak.

Beredskap Helgelandssykehuset har i dag nødrutiner for bruk dersom informasjonssystemet DIPS er utilgjengelig. Beredskapsplan for IKT-svikt (DS 9890) er tatt inn i nytt planverk for beredskap i 2015. Det er foreløpig ikke gjennomført øvelser i forhold til denne delen av planverket, men dette bør gjennomføres årlig, sammen med øvelser i beredskap ved svikt i andre kritiske systemer Databehandler/databehandleravtaler En databehandleravtale skal sikre at helse- og personopplysninger ikke skal behandles av databehandler på annen måte enn det som er avtalt med databehandlingsansvarlig. Databehandlingsansvarlig ved sykehusets ledelse har ansvar for å utforme databehandleravtale med databehandler (den eksterne driftsenhet). Prosedyrer vedr. databehandleravtale er beskrevet i egen prosedyre DS7534 som en del av styringssystemet.. Helgelandssykehuset har databehandleravtaler med ulike leverandører både vedr. drift og brukerundersøkelser. Avtalene er relativt omfattende og avtalene er utformet etter den felles mal som benyttes i Helse Nord. Det er foreløpig ikke gjennomført kontroller av våre leverandører om de oppfyller de kravene som står beskrevet i databehandleravtalen. Det er imidlertid jevnlige driftsoppfølgingsmøter med den største leverandøren, Helse Nord IKT. Det vil i løpet av 2015 bli gjennomført kontroller av utvalgte databehandleravtaler for å sikre at krav i lov og forskrifter samt krav i avtalene oppfylles. 3. Konklusjon Felles styringssystem for informasjonssikkerhet i Helse Nord følges. Når e-læringskurs for informasjonssikkerhet er tilgjengelig i ny plattform bør dette bli gjort obligatorisk for alle ansatte etter en egen implementeringsplan. ROS-analyser av EPJ systemene er blitt ivaretatt via FIKS- og HOS- programmets prosesser. Det vil bli aktuelt å gjennomføre nye ROS-analyser etter at Fiks og HOS programmet er gjennomført. Svikt i IKT-systemer er tatt inn i nytt planverk for beredskap, og skal inngå i årlig øving.

Det er ikke gjennomført kontroller av våre leverandører på om de oppfyller kravene i databehandleravtalene, men det er jevnlige driftsoppfølgingsmøter med den største leverandøren HN-IKT. Kontroller av utvalgte databehandleravtaler vil bli gjennomført ila høsten 2015. Praktisk gjennomføringen av de ulike tiltakene må konkretiseres ytterligere, og må tidsog ressursmessig innpasses sammen med øvrige IKT-prosjekter høsten 2015/våren 2016.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding