Norm for Informasjonssikkerhet i Helsesektoren Tor Ottersen
Dilemma Konfidensialitet Ivareta pasientens integritet ved å beskytte alle opplysninger. Tilgjengelighet Pasienten skal sikres forsvarlig (best mulig) helsehjelp. Straffelovens 121: krenkelse av taushetsplikt inntil 6 mndr s fengsel Straffelovens 123: Undladelse af Tjenestehandling straffes med bøder eller Tjenestens Tab eller med Fængsel indtil 1 år 24.04.2008 Norm for informasjonssikkerhet i helsesektoren Tor ottersen 2
Dilemma Bruk av IKT gir nye muligheter og nye risiki lettere og raskere tilgang både internt og eksternt raskere oppdateringer mer helhetlig informasjon for mange gis tilgang både internt og eksternt hackerinnbrudd, utro ansatte mm større konsekvenser pga større datamengder og enklere distribusjon 24.04.2008 Norm for informasjonssikkerhet i helsesektoren Tor ottersen 3
Bakgrunn Økende samhandling i pasientbehandlingen Medfører et stort og økende behov for overføring av pasientopplysninger. Og dette skal ( selvfølgelig ) skje elektronisk Samtidig som informasjonen må gjøres tilgjengelig for flere skal pasientens integritet ivaretas. Ingen mangel på regelverk - 35-40 lover og forskrifter Men blir de lest, forstått og implementert 24.04.2008 Norm for informasjonssikkerhet i helsesektoren Tor ottersen 4
Samhandling Samhandling - overføring av sensitive opplysninger: Tilfredstillende intern sikkerhet Bare de med tjenstlig behov og bare relevante opplysninger ( internt og eksternt ) Kommunikasjonsleverandør må ha tilfredstillende sikkerhet ift adressering, integritet og tilgjengelighet Mottaker skal behandle opplysningene iht lovverket, dvs ha tilfredstillende sikkerhet 24.04.2008 Norm for informasjonssikkerhet i helsesektoren Tor ottersen 5
Grunnlag for Normen Stor, kompleks og viktig sektor Stor og økende grad av samhandling Har behandling av sensitive personopplysninger som grunnlag Gir behov for Felles forståelse av lover og regler Hva er tilfredstillende I regjeringens policy for informasjonssikkerhet var derfor innføring av Normen et tiltak 24.04.2008 Norm for informasjonssikkerhet i helsesektoren Tor ottersen 6
Formål Tilfredstillende informasjonssikkerhet ved elektronisk samarbeid i sektoren Mål for egen virksomhet Gi visshet om andre virksomheters sikkerhetsnivå Avklare ansvarsforhold i elektronisk samarbeid Sikre forsvarlig elektronisk samhandling 24.04.2008 Norm for informasjonssikkerhet i helsesektoren Tor ottersen 7
Normen Et omforent sett av adferdsregler og tiltak Besluttet og forvaltes av sektoren basert på EU-direktiv artikkel 27 POL 46 NOU 1997:19 Basert på lover og forskrifter Juridisk bindende ved avtale 24.04.2008 Norm for informasjonssikkerhet i helsesektoren Tor ottersen 8
Forankring Sektorens eget regelverk deltagelse fra: Den norske Legeforening Sykepleierforbundet Norges Apotekerforening KS Den norske Tannlegeforening DOT De regionale Helseforetak Datatilsynet (Helsetilsynet) NAV Helsedirektoratet 24.04.2008 Norm for informasjonssikkerhet i helsesektoren Tor ottersen 9
Normen Gir kravene til akseptabelt risikonivå. Normen selv angir ikke hvordan Dekker alle informasjons-sikkerhetskrav i lovverket Skal brukes på tvers av alle virksomheter Veiledere utarbeides 24.04.2008 Norm for informasjonssikkerhet i helsesektoren Tor ottersen 10
Kommunene Hovedtyngden av helse- og omsorg 90% av alle henvendelser til lege 50% av omsetningen Komplekse organisasjoner med stort innslag av avtalebundne private virksomheter Stort behov for samhandling Internt i kommunen mellom virksomheter Med andre kommuner Med spesialisthelsetjenesten 24.04.2008 Norm for informasjonssikkerhet i helsesektoren Tor ottersen 11
Kommunene og Normen Normen gjelder alle virksomheter som tilknyttes helsenettet Det utvikles veiledere spesielt tilpasset kommunene 24.04.2008 Norm for informasjonssikkerhet i helsesektoren Tor ottersen 12