Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det? 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 1
Følger ikke råd fra Datatilsynet! To av ti kommuner følger ikke Datatilsynets retningslinjer for behandling og lagring av elektronisk informasjon 7 prosent har ikke slike sikkerhetsrutiner i det hele tatt Manglende fokus og kunnskap om informasjonssikkerhet utgjør en risiko tilknyttet sensitive personopplysninger. 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 2
trenger vi denne veilederen? Helsedirektoratet gjennomført i 2008 en stikkprøve av meldingsdatabasen til Datatilsynet for å se om kommunene har oppfylt sin meldeplikt. Dette med bakgrunn i at brukerorganisasjonene hadde reist spørsmål om sikkerheten er godt nok ivaretatt i kommunene. Tallene tyder på at mange virksomheter ikke overholder meldeplikten. Det betyr at mange kommuner bør gjennom sine internkontrollsystemer kontrollere at de oppfyller det regelverket som gjelder. 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 3
Tilbakemeldinger fra kommuner Ledelsen i vår kommune har ikke fokus på informasjonssikkerhet Tror ikke ledelsen skjønner dette og er klar over det ansvaret de har Ledelsen overlater ansvaret til it-personell og de har så mye å gjøre * Vi har ikke kompetanse og har ikke tid eller penger til kurs Vi må kjøpe IKT-tjenester og vi har begrenset budsjett 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 4
Personvern og informasjonssikkerhet En vesentlig del av informasjonen som følger pasient-/brukerforløpet er sensitiv. Denne informasjonen må sikres mot innsyn fra uvedkommende og mot uautoriserte endringer (sikring av informasjonens konfidensialitet og integritet). * Samtidig må fullstendig, oppdatert, korrekt og relevant informasjon være tilgjengelig for dem som har berettiget behov for informasjonen (sikring av informasjonens kvalitet og tilgjengelighet). 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 5
En stadig større del av kommunens håndtering av helse- og personopplysninger innenfor helseog sosialtjenesten skjer elektronisk. Stor dynamikk, høy endringstakt og høy grad av elektronisk registrering og bruk av fagsystemer og andre IT-systemer for tjenestedokumentasjon preger arbeidsdagen i kommunen, både på helseområdet og på sosialområdet. 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 6
Det er erfaring for at det er behov for retningslinjer for kommuneledelsen. Brukerne av kommunale helse- og sosialtjenester (dvs. dem som de registrerte opplysningene gjelder) har et stort behov for at det utarbeides et dokument som gir informasjon og som setter ansvar. 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 7
Hva er Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner? 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 8
et støttedokument til Normen dekker også personvern og informasjonssikkerhet i sosialtjenesten gir førende anbefalinger for personvern og informasjonssikkerhet i kommunenes helse- og sosialtjenester, herunder også i IPLOS-sammenheng. Dekker de samme områdene (tjenestene) som er omfattet av Helsedirektoratets håndbok* 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 9
Prosessen fremdrift i arbeidet med Veileder i personvern og informasjonssikkerhet..: Arbeidsgruppe med representanter fra KS, kommuner, datatilsynet, SAFO, FFO, KITH, Fylkesmann, Helsedirektoratet 01. april: avsluttende møte i arbeidsgruppen med gjennomgang av versjon 0.5 Versjon 0.6 ble klarstilt og kvalitetssikret hos juristene i Helsedirektoratet Styringsgruppen for Normen behandlet og godkjente Veilederen med faktaark i begynnelsen av juni i år. 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 10
Veilederen søker å være praktisk for de med ansvar Rådmenn / øverste administrative leder Kommunalsjef (helse- og sosialdirektør/etatsjef mv.) Avdelingsleder / enhetsleder Sikkerhetskoordinator IT-fagsystemansvarlig og for dem som i møte med de registrerte skal bruke systemene i det daglige 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 11
Oppbygging Kapittel 1: Innledning Kapittel 2: Redegjørelse for personvernet og informasjonssikkerheten i kommunene mer generelt Kapittel 3: En beskrivelse av krav kommunen må etterleve iht. Normen Kapittel 4: Sjekklister Kapittel 5: Vedlegg Faktaark 44 og 45 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 12
Kapittel 1: Innledning Bakgrunn Om Normen Om Veilederen Målgrupper Veilederens forhold til andre dokumenter og veiledere* Definisjoner 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 13
Kapittel 2: Redegjørelse for personvernet og informasjonssikkerheten i kommunene mer generelt Taushetsplikten Informasjonsplikten Informert samtykke Rett til reservasjon Rett til innsyn Rett til å kreve retting og sletting 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 14
Kapittel 3: En beskrivelse av krav kommunen må etterleve iht. Normen Informasjonssikkerhet i Fagsystemene Krav til informasjonssikkerhet FØR ETABLERING av fagsystem Krav til informasjonssikkerhet NÅR fagsystemet ER I BRUK Krav til informasjonssikkerhet VED UTFASING av Fagsystemet 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 15
Kap. 4 eks. på sjekkliste NÅR fagsystemet er i bruk Følge opp prosedyrene for sentrale rettigheter for den registrerte Taushetsplikt / informasjonsplikt/ rett til innsyn etc Følge opp autorisasjon og tilgangsstyring Revidere risikovurderinger Gjennomføre sikkerhetsrevisjoner Identifisere og håndtere sikkerhetshendelser (avvik) Sørge for nødvendig opplæring 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 16
Kap. 5 Vedlegg: Eksempler på behandlinger Viser oversikt over tjenester og behandlinger iht. Håndbok om helse- og sosialtjenesten i kommunen (Helsedirektoratet IS-1576) Kan være et utgangspunkt og vil gi oversikt over enkelte behandlinger og hjemler mv. 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 17
09.12.2009 v/ seniorrådgiver Elisabeth Vatten 18
09.12.2009 v/ seniorrådgiver Elisabeth Vatten 19
Relevant lenker www.helsedirektoratet.no www.normen.no www.datatilsynet.no www.lovdata.no 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 20
Takk for meg! 09.12.2009 v/ seniorrådgiver Elisabeth Vatten 21