Komp-iS - Kompetanseprogram for informasjonssikkerhet KOMP-iS Opplæring av instruktører/ledere i egen kommune All bruk og kopiering av opplæringsprogram og filmer krever tillatelse.
Agenda for Komp-iS Hvorfor informasjonssikkerhet? Hva er kompetanseprogrammet? Hva skal du lære dine ansatte? Hvordan gjennomføre opplæringen? Hvordan få tilgang til Komp-iS
HVORFOR INFORMASJONSSIKKERHET?
Sikkerhetstjenester Identitetsfederering Sikker tilgang fra eksterne nett Sikkerhetsovervåking Public Key Infrastructur Logganalyseverktøy / mønstergjenkjenning Datalekkasjebeskyttelse Identitets og tilgangsstyring Rollestyrt Beslutningsstyrt Håndtering/Forvaltning Informasjonssikkerhet Teknisk sikkerhet Bevisste brukere INFORMASJONS- SIKKERHET Kompetanseprogram Opplæring Kunnskap Holdninger Adferd Rutiner og sikkerhetsorganisasjon Rammeverk/Styringssystem Strategiske føringer Risikostyring Kontinuitets- og beredskapsplanverk Hendelseshåndtering
Definisjon av informasjonssikkerhet Tilgjengelighet Informasjon og systemer er tilgjengelig ved behov Integritet Informasjon er korrekt og pålitelig Konfidensialitet Informasjon er kun tilgjengelig for de som har lovlig tilgang
Informasjonssikkerhet i praksis er å Sikre at pasientens/brukerens informasjon ikke kommer på avveie Sikre at de som skal ha tilgang, får det Forhindre tap av liv og helse som følge av feil i registrerte pasient/brukeropplysninger Melde hendelser og avvik Bidra til at pasientenes/brukernes tillit til helsepersonell ivaretas Unngå renommésvikt som følge av uheldige oppslag i pressen
Sensitiv informasjon Kompetanseprogrammet er rettet mot å sikre pasientinformasjon Annen informasjon vi må sikre er Informasjon om ansatte som også kan være sensitive personopplysninger Virksomhetskritisk informasjon
VERDIFILMEN
Ditt ansvar som instruktør/leder er å Gi de ansatte opplæring i informasjonssikkerhet. Tydeliggjøre at hver enkelt ansatt har et ansvar Bidra til å sikre pasientinformasjon og forhindre
HVA SKAL DU LÆRE DINE ANSATTE?
De 8 huskelappene
Virkemidler Veileder for ledere - som skal undervise videre Presentasjon for opplæring av de ansatte Verdifilmen forteller hva som er kjerneverdiene i kompetanseprogrammet. Fem humorfilmer hjelper deg å få oppmerksomhet knyttet til budskapene i kurset samt bidra til å huske det som gjennomgås i kurset Diskusjon og refleksjon Finne forbedringsområder «FILMER+LAPPER+DISKUSJON = HOLDINGSENDRING» E læringsprogrammer kommer ( 2014? )
Virkemidler/profilering
Jeg låser PC-en enten ved å; Trykke Windows knappen og L eller; Trykke Ctr + Alt + Del og Lås datamaskin Jeg logger også av fagsystemer. Jeg logger av PC-en når jeg er ferdig for dagen Jeg husker alltid å lagre hver gang jeg forlater PC-en Hvorfor er dette viktig? Hindre uautorisert tilgang til pasientinformasjon, gjennom å; Sikre deg mot at kolleger bruker ditt brukernavn Sikre deg mot at andre får tilgang til pasientopplysninger Sikre deg mot at andre kan lese det du har oppe på skjermen
Jeg ber aldri om å få låne andres passord Jeg deler aldri passordet mitt med andre Et godt passord er enkelt å huske for meg, og vanskelig å huske for andre Jeg kontakter brukerstøtte dersom jeg glemmer passordet mitt. Hvorfor er dette viktig? Ditt brukernavn blir registrert på alle endringer/innsyn. Du er ansvarlig for de endringer/innsyn som skjer i ditt navn selv om det ikke er du som har sittet bak tastaturet.
«Jeg oppsøker ikke mer informasjon enn jeg må for å gjøre jobben min!» Jeg oppsøker ikke mer informasjon enn jeg må for å gjøre jobben min Jeg oppsøker ikke pasientinformasjon om andre enn mine pasienter Jeg åpner ikke venners, familiemedlemmers eller egen journal Hvorfor er dette viktig? Du har kun anledning til å lese i journalen til de pasienter du har ansvar for å yte helsehjelp til eller dersom du har annet lovlig grunnlag. Hva om noen leste din journal noen uten lovlig grunnlag? http://www.vg.no/helse/artikkel.php?artid=542032 http://www.dagbladet.no/2012/12/11/nyheter/innenriks/helsetilsynet/pasientjournal/pasientopplysninger/247679 88/
«En manns søppel er en annen manns skatt» Jeg legger alltid dokumenter tilbake der de skal være Jeg skriver kun ut det jeg må og passer på at det går til rett skriver Jeg henter alltid utskriftene mine med en gang Jeg makulere alltid dokumenter med pasientinformasjon Hvorfor er dette viktig? Det hindrer utilsiktet utlevering av pasientinformasjon Det hindrer uautorisert tilgang til pasientinformasjon Det hindre at pasientinformasjon kommer i gale hender
«En manns søppel er en annen manns skatt» Minnepinner er enkle å miste og kan lett spre virus. Jeg lagrer pasientopplysninger kun slik min arbeidsgiver har bestemt Jeg aldri har pasientopplysninger på bærbart utstyr utenfor arbeidsplassen Hvorfor er dette viktig? Jeg sikrer arbeidsplassen mot virusangrep Jeg sikrer pasientinformasjon Jeg tar taushetsplikten alvorlig http://www.dagensmedisin.no/nyheter/2008/03/11/mistet-taushetsbelagt-info/
«Tale er sølv, taushet er gull» Jeg vet at pasientopplysninger er taushetsbelagt. Taushetsplikten gjelder også mellom helsepersonell Jeg passer på at ikke uvedkommende lytter når jeg snakker med kollegaer om pasienter Jeg snakker ikke om pasienter på offentlig sted eller i kantina Jeg passer på at ingen lytter når jeg snakker om pasienter i telefonen Hvorfor er dette viktig? Det hjelper meg å sikre pasientinformasjon
«Det er ingen angreknapp på Internett» Jeg sender ikke pasientopplysninger på e-post, verken internt eller eksternt, Jeg svarer ikke pasienter på e-post Jeg bruker kun godkjente løsninger for å sende pasientinformasjon Hvorfor er dette viktig? Pasientinformasjon kan komme til feil mottaker. E-post er usikker kommunikasjonsform og ulovlig
«Det er ingen angreknapp på Internett» Jeg legger aldri ut, direkte eller indirekte, pasientinformasjon på Internett Jeg bruker ikke samme passord på Internett som på arbeidsplassen Jeg avslår venneforespørsler fra pasienter for å unngå å komme i en konfliktsituasjon i forhold til taushetsplikten Hvorfor er dette viktig? Det hjelper meg å i vareta det ansvaret jeg har som helsepersonell Jeg har et ansvar for ikke å skade arbeidsplassens omdømme
Nå over til humorfilmene. Yngve i resepsjonen
Smith-Jenssen, prof.dr.med Klikk på bildet for å starte filmen
Driftsleder Narvestad
Yngve på medisinrunde Klikk på bildet for å starte filmen
Piirka på sykebesøk Klikk på bildet for å starte filmen
Bevisste brukere bringer virksomheten et langt stykke på vei.. men ikke helt i mål Bevisste brukere Ledelsen må fortsatt sørge for tilfredsstillende informasjonssikkerhet gjennom tiltak som Styringssystem Risikovurderinger Sikkerhetsrevisjoner Ledelsens gjennomgang Teknisk sikkerhet Informasjon s-sikkerhet Rutiner og sikkerhetsorganisasjon
Norm for informasjonssikkerhet i helse-, sosial- og omsorgssektoren Et sett av krav til informasjonssikkerhet basert på lovverket utarbeidet av representanter fra helsesektoren Normen er et godt hjelpemiddel for å få på plass bl.a styringssystem og tekniske sikkerhetstiltak Den forenkler hverdagen for de som jobber i helse og omsorgssektoren Den har veileder for problemstillinger ( eks sosiale medier, epost, sms, video) Normen er juridisk bindende for virksomheter tilknyttet Helsenettet Mange kommuner har Norminstruktører i egne rekker gjelder det deres kommune? Abonnere på nyhetsbrev? Normen.no eller lurer du på noe??sikkerhetsnormen@helsedir.no Helsedirektoratet www.normen.no
Hvor finner jeg informasjon om informasjonssikkerhet? Datatilsynet
Informasjon om programmet: www.nhn.no
HVORDAN GJENNOMFØRE OPPLÆRINGEN?
Følg veileder for gjennomføring av opplæring Hvorfor informasjonssikkerhet er viktig Konsekvenser hvis vi ikke lykkes med informasjonssikkerhet Virkemidler i opplæringen ( filmer og profileringsmatriell) Tips og forslag til hvordan du skal gjennomføre opplæringen
Læring
Rammer for opplæring (oppsummert) Vi anbefaler 3 x ca. 40-45 minutter Inndeling i 3 kurs bidrar til å øke innlæringen Hver instruktør må beregne noe tid til forberedelse Sette opp egnet utstyr ( LYD er viktig ) Sette seg inn i innholdet i de enkelte kursdelene (veileder, bakgrunnsinformasjon og evt anbefalinger) Har du spørsmål til hvordan du skal gjennomføre opplæringen? Ta kontakt med; Lisbet Guttormsen : lisbet.guttormsen@nhn.no
Nå skal vi se en film
Hva tenker dere?
Yngve i resepsjonen
Yngve i resepsjonen Har vi opplevd noe lignende? Hvordan vil vi ha det hos oss?
Noen høydepunkter! Taushetsplikten gjelder også mellom helsepersonell Jeg passer på at ikke uvedkommende lytter når jeg snakker om pasienter/brukere Jeg ber aldri om å få låne andres passord Jeg sjekker en gang ekstra at e-post fra meg ikke inneholder pasient/brukerinformasjon Jeg svarer ikke pasienter/brukere på e-post Jeg henter alltid utskriftene mine med en gang Jeg legger aldri igjen dokumenter på møterom
KURS I INFORMASJONSSIKKERHET DEL 2
Smith-Jenssen, prof.dr.med
Smith-Jenssen, prof.dr.med Har vi opplevd noe lignende? Hvordan vil vi ha det hos oss?
Narvestad - driftsleder
Narvestad - driftsleder Har vi opplevd tilsvarende? Hvordan vil vi ha det hos oss?
Noen høydepunkter! Taushetsplikten gjelder også mellom helsepersonell Jeg passer på at ikke uvedkommende lytter når jeg snakker om pasienter/brukere Trykke Windows knappen og L Jeg sjekker en gang ekstra at e-post fra meg ikke inneholder pasient/brukerinformasjon Jeg svarer ikke pasienter/brukere på e-post Jeg vet at minnepinner er enkle å miste og kan lett spre virus Jeg aldri har pasient/brukeropplysninger på bærbart utstyr utenfor sykehuset Jeg henter alltid utskriftene mine med en gang Jeg legger aldri igjen dokumenter på møterom
KURS I INFORMASJONSSIKKERHET DEL 3
Yngve på medisinrunde
Yngve på medisinrunde Har vi opplevd noe lignende? Hvordan vil vi ha det hos oss?
Piirka på sykebesøk
Piirka på sykebesøk Har vi opplevd noe lignende? Hvordan vil vi ha det hos oss?
Noen høydepunkter! Taushetsplikten gjelder også mellom helsepersonell Jeg passer på at ikke uvedkommende lytter når jeg snakker om pasienter/brukere Crtrl+alt+delete Jeg oppsøker ikke mer informasjon enn jeg må for å gjøre jobben min Jeg oppgir aldri, direkte eller indirekte, pasient/brukerinformasjon på Internett Jeg bruker ikke samme passord på Internett som på arbeidsplassen Jeg henter alltid utskriftene mine med en gang Jeg legger aldri igjen dokumenter på møterom
Status for «Sogn og Fjordane» Fått tilgang til bruk programmet: Ikke avtalt tilgang: Eid Gaular Stryn Vik Askvoll Aurland Balestrand Bremanger Fjaler Førde Gloppen Gulen Hornindal Hyllestad Høyanger Jølster Leikanger Luster Lærdal Naustdal Selje Sogndal Solund Vågsøy Årdal 30 25 20 15 10 5 Kompis kurs Tatt i bruk Kompis 0
«Komp-iS er grat-is» Fylle ut, signere avtalen med NHN. Avtalen ligger her : http://www.nhn.no/informasjonssikkerhet/kompetanseprograminformasjonssikkerhet-komp-is Dere sender den til kundesenter@nhn.no, lisbet.guttormsen@nhn.no eller otto.johansen@nhn.no eller faks til 73 93 14 80 ( Klargjøres på ca 3-5 dager) Når du har mottatt passord og pålogging, finner du filmer, dokumenter, veiledninger og alt av undervisningsmateriell her : http://www.nhn.no/informasjonssikkerhet/kompetanseprograminformasjonssikkerhet-komp-is Følg veiledninger for hvordan filmene brukes i presentasjon. Følg veilederen for ledere den gir deg hjelp for undervisning videre Egne presentasjoner ligger klare for bruk, til ansatte ( og til ledere )
VERDIFILMEN