Akkumulert risikovurdering oktober 2014 Sannsynlighet

Like dokumenter
Akkumulert risikovurdering oktober 2015

Akkumulert risikovurdering oktober 2017

Akkumulert risikovurdering oktober 2016

Akkumulert risikovurdering april 2017

Hvilke risikoer er vurdert?

Saksframlegg Referanse

Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet

Styret Helseforetakenes senter for pasientreiser ANS 21/10/2015

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

Saksframlegg Referanse

Oppfølgingsansvar iht internrevisjonen. Tiltak nr i rapport 1/2013. Internrevisjonens anbefaling

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Styret Helseforetakenes senter for pasientreiser ANS 08/12/10. SAK NR Gjennomgang av internkontrollen ved pasientreisekontorer 2.

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

Saksframlegg. Styret Pasientreiser HF 30/10/2017. SAK NR Halvårlig risikovurdering, Pasientreiser HF per oktober 2017

Styret Helseforetakenes senter for pasientreiser ANS 27/10/11

Vedtatte tiltak/handlingspunkter i Pasientreiser ANS (sak nr 08/2014, 23. januar)

Forslag til oppfølgingsansvar

Årsrapport 2012 Internrevisjon Pasientreiser ANS

Status personvern Hedmark og Oppland fylkeskommuner

Mikrolæring med aktuelle tema fungerer godt i hverdagen de tar kort tid, er praktiske og relevante.

Opplæringsportalen finner du på intranettet på

Internkontroll og informasjonssikkerhet lover og standarder

Styret Helseforetakenes senter for pasientreiser ANS 15/06/11

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Deltjenestene som inngår i tjenesteleveranseavtalen: Del 1: Reiser med rekvisisjon. Nasjonale nettverk Tjeneste Mål Innhold KPI

Rapport informasjonssikkerhet Helgelandssykehuset 2015

OPPLÆRINGSPLAN. Opplæringsportalen finner du på intranettet til

Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt.

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Helseforetakenes senter for pasientreiser ANS 1/2016

Saksframlegg. Styret Pasientreiser HF 24/04/2017

Det bør vurderes fastsatt et entydig mål for saksbehandlingstid i enkeltoppgjør og etableres tiltak for å

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 10/06/15. SAK NR Godkjenning av protokoll fra styremøtene

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Styret Helse Sør-Øst RHF 21. juni 2012 SAK NR ORIENTERINGSSAK - STRATEGIPLAN FOR HELSEFORETAKENES SENTER FOR PASIENTREISER ANS

helseforetakenes håndtering av bierverv, oppfølging av anbefalte tiltak

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 10/03/14

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Endelig kontrollrapport

NASJONALE BRUKER- UNDERSØKELSER 2017

Personvern - sjekkliste for databehandleravtale

Saksframlegg Referanse

Styret Helseforetakenes senter for pasientreiser ANS 23/10/13

Styresak Oppfølging av Internrevisjonsrapport 01/2013:

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren april 2015

Sikkerhetskrav for systemer

Opplæringsplan Tilbudet består av e-læringskurs, opplæring i klasserom og fagsamlinger.

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Saksframlegg Referanse

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Bilag 14 Databehandleravtale

Sikkerhetskrav for systemer

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 16/01/2013

Saksframlegg. etterretning. 1. Styret tar fremlagt sak om kontrollstrategi for reiser uten rekvisisjon til

Styret Helseforetakenes senter for pasientreiser ANS 26/06/2014

Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette.

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Styremøte i Helse Finnmark HF

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 16/01/13

Avtale om bruk av Modia Arbeidsrettet Oppfølging for deltakere i Kvalifiseringsprogrammet

Risikostyring i Helse Sør-Øst. Oppdatert etter møte i revisjonskomiteen og i LG

Evaluering av SLA-avtalen med RHFene august 2010 Innspill fra RHFene:

Opplæringsplan Tilbud ut i fra behov Opplæringsplanen vil bli revidert årlig etter innspill fra pasientreisekontorene i de fire helseregionene.

Kvalitetssikring av arkivene

Helseforetakenes senter for Pasientreiser ANS 2/2014

Årsrapport 2011 Internrevisjon Pasientreiser ANS

KF Brukerkonferanse 2013

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Kommunens Internkontroll

OPPLÆRINGSPLAN. Opplæringsportalen finner du på intranettet til

Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010

Risikoanalysemetodikk

Databehandleravtale for NLF-medlemmer

Databehandleravtale etter personopplysningsloven

1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2

Saksframlegg Referanse

Styresak Orienteringssak - Informasjonssikkerhet

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Styringssystem i et rettslig perspektiv

Sikkerhetskrav for systemer

Styresak Orienteringssak - Informasjonssikkerhet

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 28/01/16. SAK NR Styringsindikatorer 2016

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering

Kan du legge personopplysninger i skyen?

Policy for personvern

Føretaket vil stille personell til å delta i arbeidet, og vil ta felles mål inn i lokale planar og rapporteringssystem for oppfølging.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Styresak Oppfølging av Internrevisjonsrapport 01/2013:

Status Riksrevisjonens undersøkelser om helseforetakenes ivaretakelse av elektroniske pasientjournaler (EPJ) vedlegg til styresak

Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt.

Transkript:

Akkumulert risikovurdering oktober 01 Sannsynlighet 1 Risiko for driftsstans i PRO og NISSY som følge av svakheter i løsning levert fra NHN (6) (NY) Konsekvens Risiko for uautorisert rekvirering forårsaket av begrenset tilgangsstyring i NISSY () Risiko for forsinkede og manglende leveranser som følge av manglende ressurser til prosjektgjennomføring () Risiko for feil håndtering av personopplysninger (1) Risiko for forskjellsbehandling av pasienter/brukere som følge av ulik praksis () Risiko for manglende etterlevelse av krav i databehandleravtalen () (NY) 1

Akkumulert risikovurdering Risikoelement Beskrivelse av konsekvens Tiltak Sannsynlighet Konsekvens 1 Risiko for feil håndtering av person- og helseopplysninger Personopplysninger kan komme på avveie, eks. via post, e-post, offentlig journal og stort innslag av manuelle prosesser Kan føre til brudd på gjeldende lovverk Kan medføre svekket omdømme Feil håndtering av personopplysninger som følge av manglende forståelse og etterlevelse av regelverk. Videreføre arbeidet med å jevnlig publisere saker på intranett og sende e-post til databehandlere med info om problemstillingen. Jevnlig påminnelser i avdelingsmøter og allmøter i selskapet. Intern opplæring om personopplysninger ble gitt til nøkkelpersoner i selskapet i september Planlagt tiltak: Utvikling av opplæring om riktig bruk av personopplysninger høsten 01 som alle medarbeidere skal gjennomføre Risiko for manglende etterlevelse av krav i databehandleravtalen Kan føre til brudd på gjeldende lovverk Kan medføre svekket omdømme Feil håndtering av personopplysninger som følge av manglende forståelse og etterlevelse av regelverk. Det er gjennomført en nasjonal kartlegging av bruk av personopplysninger ved pasientreisekontorene og selskapet. Denne viser at Direkteoppgjørsregisteret og Enkeltoppgjørsregisteret brukes på måter og til formål som ikke er avtaleregulert eller i samsvar med regelverk. Gjennomført kurs 1. mai om databehandleravtalen, herunder kompetanseheving om ansvar og plikter forbundet med bruk av personopplysninger. Målgruppen for kurset var ledere ved pasientreisekontorene og superbrukere PRO/NISSY. Planlagt tiltak: Prosess med nye bilag til databehandleravtalene sluttføres og presenteres for styret.10.1. Oppfølging av databehandlere i etterkant for å kartlegge og avtale all bruk av personopplysninger knyttet til Direkteoppgjørsregisteret og Enkeltoppgjørsregisteret Opplæring om syketransportregisterforskriften, databehandleravtaler og internkontroll høsten 01 Gjennomgang av effekt av oppfølging av tiltakene etter revisjonen av tverrgående prosessene (1/01) i 01 Gjennomgang av bruk av personopplysninger ved PRK 01

Risiko for uautorisert rekvirering forårsaket av begrenset tilgangsstyring i NISSY Manglende unik identifisering av rekvirent i NISSY gjør det vanskelig å følge opp ved mistanke om misligheter Økonomisk mislighold Gjennomførte/igangsatte tiltak I samsvar med styresak nr 9-01 har det blitt gjennomført en rekke tiltak: I NISSY. fjernes knapp for ny rekvirent og kun administrator kan opprette bruker, leverert i produksjon 9. mai. Registrering av e-post og telefonnummer er i obligatoriske felter ved nyregistrering av bruker i NISSY., slik oppfølgingen av brukerne forenkles. Prosedyrer for informering og opplæring av rekvirenter er en del av oppdatert kurs for superbruker og administrator i NISSY Tilgangene er deaktivert for alle rekvirenter som ikke har rekvirert siste 6 måneder. Planlagte tiltak har fungert etter planen og medfører at sannsynligheten nå er redusert. Det planlegges likevel en prosedyre for jevnlig deaktivering av ubrukte rekvirenttilganger for å holde tilgangene oppdatert i fremtiden. Tilgangsstyringen vurderes derfor nå som godt ivaretatt og risikoen er i grønn sone. Når rekvirentmodulen skal revideres i fremtiden, vil ytterligere forbedringstiltak ifm tilgangsstyring vurderes og implementeres. 1

Risiko for forskjellsbehandling av pasienter/brukere som følge av ulik praksis Pasienter/brukere kan i noen tilfeller ikke få oppfylt sine rettigheter Økonomiske hensyn overstyrer pasienters/brukeres rettigheter Ulik bruk av fagsystemene PRO og NISSY Det er etter hvert mange ulike informasjonskilder Utvalgte kontorer har fått opplæring i intranett (på forespørsel) Nasjonal veileder er oppdatert og har fått forenklet brukerfunksjonalitet, Opplæring av regelverk med egne fagdager ved pasientreisekontorene er gjennomført. FA-regelverk kartlegger bruk av regelverk og resultatene viser at variasjonen i praktisering av regelverket er redusert. Igangsatt kartlegging av behov for å vurdere muligheten for én informasjonskilde. Nye tiltak Etablert praksis med tiltak overfor og oppfølging av PRK videreføres. Risiko for forsinkede og manglende leveranser som følge av manglende ressurser til prosjektgjennomføring Kan påvirke selskapets grad av leveransedyktighet av både kjerneoppgaver og i prosjekter Leverandører kan ikke stille med tilstrekkelig kompetanse i prosjekt. Manglende prioritering og oppfølging ved enkelte PRK der det kreves deltakelse og bidrag i prosesser ledet av Pasientreiser ANS Forsinkede eller mangelfulle leveranser til oppdragsgiver (styret, eiere) Manglende måloppnåelse Gjennomførte/igangsatte tiltak Selskapet har styrket prosjektkompetanse ved å rekruttere prosjektledere og har dermed redusert sannsynligheten fra forrige risikovurdering. Opprettet en egen avdeling i Pasientreiser ANS for å sikre god kunde og tjenesteutvikling, herunder: Sørge for gjensidig forpliktelse for oppdrag gitt av eier og styret, samt vedtak i samarbeidsforum. Styrke selskapets legitimitet i oppdrag gitt av eier (i oppdragsdokument) og styret (strategiplanvedtak). Planlagte tiltak har fungert etter planen og medfører at sannsynligheten nå er redusert og området vurderes i grønn sone. Det vil fortsatt være fokus på ressursstyring for balansere behov i kjerneoppgaver og i prosjekter Styret involveres som tidligere tett i oppfølgingsarbeidet. Spesielt ved avvik eller uforutsette hendelser som vil ha konsekvenser for prosjektgjennomføring. 1

6 Risiko for driftsstans i PRO og NISSY som følge av svakheter i løsning levert fra NHN Langvarig driftsstans av PRO og NISSY ved en brann eller at applikasjonene på annen måte blir helt utilgjengelig Potensiell fare for liv og død ved manglende transport av kritiske planlagte medisinske behandlinger Svært svekket omdømme NHN drifter fagsystemene og har derfor gjennomført en risikovurdering av den fysiske sikkerheten knyttet til PRO og NISSY. Den viser en svakhet i den fysiske sikringen av datarommet hvor data og applikasjonene er plassert. Dette skyldes at data og applikasjon er samlokalisert og det er en tidkrevende back-up løsning per i dag. Nye tiltak NHN har planlagt endringer i driftsstrukturen for å fjerne denne svakheten. Pasientreiser ANS følger opp NHN gjennom tett dialog for å påse at denne risikoen følges opp med skisserte tiltak innen gitte frister. 1

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding