STRATEGI for Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren for perioden 2013-2020 Versjon 1.0 Godkjent av styringsgruppen for Normen 5.desember 2013. www.normen.no
INNHOLD 1 INNLEDNING... 3 1.1 BAKGRUNN... 3 1.2 FORHOLDET TIL ANDRE STRATEGIER OG STYRENDE DOKUMENTER... 3 2 OVERORDNEDE MÅL... 4 2.1 OVERORDNEDE MÅL FOR NORMEN... 4 2.2 OVERORDNEDE MÅL FOR NORMARBEIDET... 4 3 STRATEGISKE VALG... 4 4 ARBEIDSFORM... 6 4.1 HELSEDIREKTORATETS ROLLE... 7 4.2 STRATEGISKE VALG FOR ARBEIDSFORM... 7 strategi for normen v1 side 2 av 7
1 INNLEDNING 1.1 Bakgrunn Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren er en bransjenorm for informasjonssikkerhet i sektoren. Normen inneholder et omforent sett av adferdsregler og tiltak, og er besluttet og forvaltet av sektoren selv gjennom en bredt sammensatt autonom styringsgruppe. Begrepet «bransjenorm» er forankret i EU-direktiv 46/95 artikkel 27 og personopplysningsloven 42,6. Innholdet i Normen er basert på lover og forskrifter, og er kontrollert av lovtolkende myndigheter. Kravene i Normen gjøres juridisk bindende ovenfor sektoren gjennom avtaler, f.eks. tilknytningsavtalen mot Norsk Helsenett SF. Etter oppstart av arbeidet i 2003, så ble første versjon av Norm for informasjonssikkerhet publisert i 2006. Normen har siden denne kommet i ny versjoner, og omfatter nå helse-, omsorgs- og sosialsektoren. Det er utarbeidet en rekke støttedokumenter i form av bl.a veiledere og faktaark. Omfattende instruktøropplæring er gjennomført, og Normkonferansen er blitt er årlig arrangement med god oppslutning. Etter snart 10 år med kontinuerlig utvikling av Normen med støttedokumenter er det behov for å legge en strategi for det videre arbeidet. Hensikten med en slik strategi er å beskrive overordnede mål og strategiske valg for å nå målene. Strategien vil danne grunnlaget for årlige handlingsplaner som vedtas av styringsgruppen. Et viktig forarbeid for strategien er evalueringen av Normarbeidet som ble gjennomført 2012 av PwC. Evalueringen ble basert på intervjuer med representanter for sektoren. En hovedkonklusjon fra evalueringen er at det er sterk oppslutning om at Normen opprettholdes og videreutvikles som en bransjenorm. Dette danner grunnlaget for målbildet som beskrives i denne strategien. 1.2 Forholdet til andre strategier og styrende dokumenter Denne strategien er vedtatt av styringsgruppen for Normen, og beskriver overordnede mål og strategiske valg for å videreutvikle Normen som en bransjenorm. Strategien understøtter viktige målsetninger både for arbeidet med informasjonssikkerhet både nasjonalt tverrsektorielt og innen e-helseområdet. Gjennom implementering av Normen bidrar virksomhetene i sektoren til å ivareta informasjonssikkerheten på en helhetlig og systematisk måte. For etater og statlige virksomheter innen sektoren understøttes målet i «Nasjonal strategi for informasjonssikkerhet» (Fornyings-, administrasjons, og kirkedepartementet 2012) om at et styringssystem for informasjonssikkerhet skal vær på plass. I den gjeldende Strategien for elektronisk samhandling i helse- og omsorgssektoren 2008 2013, Samspill 2.0 uttales det en visjon om helhetlige pasient og brukerforløp, ved at opplysningene følger pasienten gjennom et behandlingsforløp slik at behandler til en hver tid har tilgang til korrekt og oppdatert informasjon. Et av tiltakene som er fremhevet for å styrke informasjonssikkerheten er Norm for informasjonssikkerhet. I «Meld. St. 9 (2012 2013); Én innbygger én journal. Digitale tjenester i helse- og omsorgssektoren» uttales det at Regjeringens mål for IKT-utviklingen i helse- og omsorgstjenesten omfatter enkel og sikker tilgang til pasient- og brukeropplysninger for helsepersonell, og tilgang på enkle og sikre digitale tjenester for innbyggerne (vår utheving). strategi for normen v1 side 3 av 7
2 OVERORDNEDE MÅL 2.1 Overordnede mål for Normen Normen skal være en bransjenorm med utgangspunkt i EU-direktiv 46/95 artikkel 27, og personopplysningsloven 42,6) Med dette forstås at Normen skal være sektorens omforente oppfatning av akseptert praksis som skal gjelde for informasjonssikkerhet blant virksomhetene i helse-, omsorgs- og sosialsektoren. Det overordnede målet for Norm for informasjonssikkerhet helse-, omsorgs- og sosialsektoren (Normen) er å medvirke til god og sikker informasjonsbehandling i sektoren. Dette innebærer: Normen skal bidra til god etterlevelse av bestemmelser i lov eller i medhold av lov som regulerer forhold relatert til informasjonssikkerhet, personvern og pasientsikkerhet, blant virksomheter i helse-, omsorgs- og sosialsektoren og deres leverandører. Normen skal beskrive sikkerhetstiltak som må og/eller bør gjennomføres for at den enkelte virksomhet skal kunne etterleve de bestemmelser som er relevante for virksomheten. Normen skal, innenfor lovverkets rammer, søke en balansert tilnærming til konfidensialitet, tilgjengelighet, integritet og kvalitet. Normen skal bidra til å understøtte god pasientsikkerhet og en aktiv pasientrolle. Med en aktiv pasientrolle menes at pasienten og brukerens rettigheter til egne helseopplysninger ivaretas, men også utviklingen der digitale tjenester etablerer kontakt mellom helsepersonell og innbyggere, pasienter og brukere, og derigjennom bidrar til større delaktighet. 2.2 Overordnede mål for Normarbeidet Styringsgruppen skal se lover og forskrifter i et faglig og praktisk perspektiv fra et bransjesyn, veilede i hvordan lover og forskrifter kan etterleves i praksis, samt gjøre lovgiver oppmerksom på områder hvor det kan være vanskelig. Styringsgruppen skal gi innspill til myndighetene vedrørende områder der det er hensiktsmessig med utvikling og forenkling av lov og regelverk for å sikre Normens formål. Normen er sektorens overordnede retningslinjer for arbeidet med informasjonssikkerhet. Det er derfor viktig at prosjekt og tiltak koordineres inn mot Normarbeidet, herunder utvikling og forvaltning av felleskomponenter og nasjonale fellesløsninger. Det må således arbeides for integrering av norm for informasjonssikkerhet i sektorens styringssystem, herunder styringssystem for IKT og informasjonssikkerhet. Normen skal revideres slik at den videreutvikles i forhold til endringer i lover, forskrifter og regler. 3 STRATEGISKE VALG Normens stilling som en bransjenorm videreføres og videreutvikles. Gjennom Normens stilling som bransjenorm søker sektoren å skape god forankring for arbeidet med informasjonssikkerhet og personvern i sektoren selv. Samtidig er det en målsetning at Normens strategi for normen v1 side 4 av 7
gjennom kravene som stilles, supplert med hjelpemidler og veiledere skal framstå som praktisk gjennomførbare i sektoren. Dette omfatter Styringsgruppen må fremstå som en tydelig premissgiver, basert på en bred representasjon fra de aktørene som inngår i helse-, omsorgs- og sosialsektoren (bransjen). Fortløpende å vurdere behovet for Normkrav og veiledning ut i fra teknologisk utvikling; tekniske muligheter og verktøy vil kunne redusere behovet for krav og veiledning, men erfaringsmessig er den største risikoen for feil menneskelig svikt. Dette må hensyntas i vurderingene Forholdet til leverandørsiden Arbeide for at det etableres krav til leverandørene som gjør det enkelt for virksomheten å ivareta sitt databehandlingskrav / etablere krav til leverandørene på definerte områder som sikrer at den enkelte virksomheten kan ivareta sitt databehandlingsansvar på disse Benytte sertifiseringsordninger for å sikre leveranser fra leverandør og påvirke framtidige sertifiseringsordningene slik at disse blir mest mulig hensiktsmessige» Utvikle avtalemaler og gi innspill til utvikling av Statens standardavtaler for IT-anskaffelser, og videreutvikle / gjøre kjent Normens krav som grunnlag for kravspesifikasjoner. Være et bindeledd mellom sektoren og myndighetene Styringsgruppen kan diskutere relevante saker som er lagt frem for sektoren til høring. Svar vil i slike tilfeller ikke gå fra styringsgruppen som avsender, men fra hver enkelt virksomhet. Styringsgruppen skal systematisk innhente erfaringer med hvordan lov og Norm fungerer, og om de virker. Styringsgruppen kan ta stilling til om det er hensiktsmessig at Normen utvikles for å dekke områder innenfor helseregisterlovens virkeområde der den i dag ikke er fullt ut dekkende. Eksempler er internkontrollbestemmelsene (helseregisterlovens 17) og kvalitetsregister / helseregisterfeltet. Innholdet i Normen må være i tråd med gjeldende lovkrav. Gjennom verktøy som faktaark og veiledere skal det framgå hvordan kravene lar seg etterleve i praksis. Dette omfatter o Kravene i Normen skal som hovedregel ikke være mer omfattende enn det som følger av lover og forskrifter. I de tilfellene styringsgruppen likevel finner dette hensiktsmessig, skal det være full konsensus i styringsgruppa om kravet. Det gjøres en revidering av prosessdokumentet for å sikre at nye krav i Normen som legges fram til SG for beslutning vil følges av et saksunderlag som tydeliggjør om kravet er mer omfattende enn det som følger av lov og forskrift. I slike tilfeller skal det utarbeides en vurdering av konsekvenser og gjennomførbarhet av kravet. o Vurdering av økonomiske konsekvenser i forlengelsen av krav. o I utarbeidelsen av veiledere og faktaark skal det legges stor vekt på å gi god veiledning til krav, og beskrive hvordan kravene kan implementeres i praksis uten at innholdet blir for teknologispesifikt. Det skal tas utgangspunkt i et nivå for akseptabel risiko som beskrevet i Normens kapittel 4.4. Eksempler bør der det er mulig vise ulike skaleringer av løsningen, f.eks for små og store virksomheter. strategi for normen v1 side 5 av 7
Arbeidet med å tilgjengeliggjøre Normen gjennom gode hjelpemidler og praktiske løsninger styrkes. Slik bistås virksomhetene i etterlevelse av kravene til informasjonssikkerhet og personvern i lovverket. Dette omfatter o Utvikling og forvaltning av virkemidler med fokus på tydeliggjøring og samling av lover og forskrifter overfor sektoren o Utvikling av virkemidler som dokumenter, kursopplegg og verktøy på riktig detaljnivå, og godt tilpasset viktige målgrupper og deres behov. Dokumentene må skille tydelig på målgrupper, f.eks «alle brukere» og «brukere med system-/ databehandlingsansvar». Dette omfatter også å få overkommelige krav/anbefalinger; eksempelvis 10 viktigste ting å huske på." o Prioritering av virkemidler og målgrupper ut fra der behovet er størst. Flere faktorer vil kunne inngå i vurderingen, f.eks utfordrings- og risikobildet, ressurser og behov blant målgruppen. Styringsgruppen bør vurdere om delsektorer eller spesielle målgrupper skal prioriteres i årlig aktivitetsplan. Dette kan f.eks. være målgrupper der Normkravene er lite kjent. o Bistand til kursutvikling innen informasjonssikkerhet i sektoren o Bidra til at det finnes arenaer for kompetansebygging, diskusjoner og faglig relasjonsbygging gjennom konferanse og seminarer. o Videreutvikling av normen.no for å forbedre funksjonalitet og gjenfinnbarhet. Normen må ha et nettsted som er mest mulig optimal både for brukerne og også for forvalterne. o Det skal søkes å etablere samarbeid med fag- og profesjonsutdanningene innen sektoren gjennom at opplærings- og veiledningsmateriale stilles til disposisjon. o Forholdet til relevante nasjonale og internasjonale standarder skal være tema i utvikling av faktaark og veiledere. Der det er hensiktsmessig skal en søke å harmonisere innhold, og etablere samarbeid med fagmiljøer som eier og bredder standarder. 4 ARBEIDSFORM Den daglige driften av normarbeidet utføres av styringsgruppens sekretariat. Aktiviteter og tiltak gjennomføres av sekretariatet, ofte i samarbeid med andre aktører i sektoren. I tillegg gjennomfører virksomhetene som er representert i styringsgruppen på eget initiativ aktiviteter som kan knyttes opp mot Normarbeidet, f.eks utvikling av e-læringsprogrammer er et eksempel på. I slike tilfeller medvirker ofte sekretariatet med bistand i form av f.eks kvalitetssikring og rådgiving. Oppgaver som utføres av sekretariatet Forvaltning av materiell (Normen, faktaark, veiledere,kursmateriell og dokumenter knyttet til selvdeklarering for programvare innenfor informasjonssikkerhetsområdet). Forvaltning inkluderer endringer i dokumentene ved endringer i lovverk, endringer i teknologi og teknologibruk, pasienters medvirkningsgrad mv. Prosjektledelse i utvikling av Normen og støttedokumenter. Dette omfatter oversendelse av dokumenter til lovfortolkende myndigheter og innarbeiding av tolkningene i dokumentene Mottar og svarer på spørsmål som rettes til sikkerhetsnormen@helsedir.no Foredragsvirksomhet, både i form av «minikurs» og i forbindelse med konferanser, seminarer og møter. Det anslås at sekretariatet holder omkring 30 40 slike presentasjoner årlig. strategi for normen v1 side 6 av 7
Forberedelse og etterarbeid for styringsgruppens møter, herunder videreformidling av styringsgruppens synspunkter til Helsedirektoratet, Helse- og omsorgsdepartementet og andre relevante myndigheter. Utgir nyhetsbrev i etterkant av styringsgruppens møter. Publiserer nyheter, informasjon og alle oppdateringer av Normdokumenter på normen.no. Forvalter Normen.no innholdsmessig Oppgaver som utføres av sekretariatet i samarbeid med aktører i sektoren Arrangerer årlig normkonferanse og andre seminarer Faglig medvirkning i utvikling av Normen og støttedokumenter (faktaark og veiledere) Utvikling og gjennomføring av instruktørkurs Oppgaver der sekretariatet bistår aktører i sektoren Kvalitetssikring gjennom dialog og bistand av e-læring og brukerrettede kursopplegg som utvikles av aktører i sektoren. Bistand til virksomheter / profesjonsorganisasjoner i etablering av rammeverk for å etablere tilfredsstillende informasjonssikkerhet Bistand til leverandører ved informasjonssikkerhetsspørsmål 4.1 Helsedirektoratets rolle Juridiske forhold skal avklares med Helsedirektoratet, som er tillagt fortolkningsmyndigheten på deler av området av Helse- og omsorgsdepartementet. Ved behov innhenter Helsedirektoratet uttalelser fra andre myndigheter som er tillagt fortolkningsmyndighet. 4.2 Strategiske valg for arbeidsform Arbeidet i tilknytning til Normen er i dag for en stor del basert på samarbeid mellom sekretariatet og aktørene i sektoren. Dette samarbeidet bør videreutvikles. Et tettere samarbeid med NHN gjennom fast representasjon i sekretariatet fra ressurser i NHN anbefales. o Norsk Helsenett SF har gjennom sin tekniske kompetanse og kjennskap til trusselbildet i sektoren gjennom HelseCSIRT og partsrevisjoner. NHN er derfor en naturlig samarbeidspartner innen både forvaltning og nyutvikling av støttedokumenter og materiell av mer teknisk art, samt utvikling og gjennomføring av kurs. Arbeidet som pågår med å utvikle en strategi for Normen vil kunne benyttes for å beskrive hvordan samarbeidet med aktørene i sektoren om Normen kan styrkes og videreutvikles. o Yrkes- og interesseorganisasjonene, KS og RHF ene har god kjennskap til spesielle problemstillinger innenfor informasjonssikkerhet og personvern i den kliniske hverdagen i delsektor, og kan dermed gi verdifulle bidrag i utviklingen av Normen og støttedokumenter. Sekretariatet må sikres en stabil finansiering både i form av øremerkede faste stillinger og midler til innleie av spesiell kompetanse, avholdelse av kurs, konferanser og seminarer og andre driftsmidler. Finansieringen må også være tilstrekkelig til å opprettholde både krevende forvaltning og nyutvikling i tråd med sektorens behov og forventninger. strategi for normen v1 side 7 av 7