Hvilke risikoer er vurdert?

Like dokumenter
Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet

Akkumulert risikovurdering oktober 2014 Sannsynlighet

Det bør vurderes fastsatt et entydig mål for saksbehandlingstid i enkeltoppgjør og etableres tiltak for å

Forslag til oppfølgingsansvar

Oppfølgingsansvar iht internrevisjonen. Tiltak nr i rapport 1/2013. Internrevisjonens anbefaling

Akkumulert risikovurdering oktober 2015

Saksframlegg Referanse

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Styresak Oppfølging av Internrevisjonsrapport 01/2013:

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

NASJONALE BRUKER- UNDERSØKELSER 2017

Systemkartlegging. Hvorfor gjennomføre? Hva skal det brukes til? Hvordan går vi videre? Noen resultater fra kartleggingen på USIT

Saksframlegg Referanse

Databehandleravtaler

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Opplæringsportalen finner du på intranettet på

Status og oppfølging av styrevedtak t.o.m

Nasjonal plan Tilbud ut i fra behov Sertifisering Kom i gang

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Opplæringsplan Tilbudet består av e-læringskurs, opplæring i klasserom og fagsamlinger.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Bilag 14 Databehandleravtale

Status og oppfølging av styrevedtak t.o.m

Føretaket vil stille personell til å delta i arbeidet, og vil ta felles mål inn i lokale planar og rapporteringssystem for oppfølging.

Mikrolæring med aktuelle tema fungerer godt i hverdagen de tar kort tid, er praktiske og relevante.

Personvern - sjekkliste for databehandleravtale

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

AVTALE OM TJENESTELEVERANSE. mellom HELSEFORETAKENES SENTER FOR PASIENTREISER ANS. HELSE [navn] RHF Organisasjonsnummer: Vedlegg en

Internkontroll og informasjonssikkerhet lover og standarder

Styret Helse Sør-Øst RHF

Notat til AD-møtet. Saken legges frem av (navn/tittel)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Sikkerhetskrav for systemer

Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt.

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Revisjonsplan 2012 Internrevisjon Pasientreiser ANS

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

OPPLÆRINGSPLAN. Opplæringsportalen finner du på intranettet til

Plan for virksomhetsoverdragelse Reiser uten rekvisjon

Styret Helseforetakenes senter for pasientreiser ANS 08/12/10. SAK NR Gjennomgang av internkontrollen ved pasientreisekontorer 2.

Helseforetakenes senter for pasientreiser ANS 1/2016

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

... Viktige momenter for strategidokumentet

Databehandleravtale for NLF-medlemmer

Rapport fra gjennomgang av internkontroll 2. halvår 2014 og plan for

GDPR - Personvern

SAKSUTREDNING: Pasientreiser - Status overtakelse av enkeltoppgjør fra NAV og status elektronisk rapportering av egenandelsinformasjon

Sikkerhetskrav for systemer

Styresak Reisepolicy for pasientreiser i Helse Nord gjennomgang og evaluering, oppfølging av styresak

Kommunens Internkontroll

Sikkerhetskrav for systemer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Personvern i praksis, GDPR personvernforordningen erfaringer

Styret Helseforetakenes senter for pasientreiser ANS 27/10/11

Kvalitetssikring av feideforvaltningen. Senter for IKT i Utdanningen 24.April 2013 Harald Torbjørnsen

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Utkast Revisjonsplan Internrevisjon Pasientreiser HF

Skytjenester i skolen

Helseforetakenes senter for Pasientreiser ANS 2/2014

Transkript:

Hvilke risikoer er vurdert? Sikkerhet : Risiko for uautorisert tilgang til personopplysninger som følge av mangelfull fysisk adgangskontroll : Risiko for uautorisert tilgang til personopplysninger som følge av mangelfulle prosedyrer for dokumenthåndtering : Risiko for uautorisert tilgang til personopplysninger som følge av mangelfull kontroll av systemtilgang : Risiko for uautorisert tilgang til personopplysninger som følge av mangelfulle prosedyrer for tilgangsstyring : Risiko for feil bruk av systemene som følge av manglende kunnskap om bruk av systemet Bruk av og kunnskap om personopplysninger 6: Risiko for uautorisert tilgang til personopplysninger som følge av fysisk lagring utenfor PRO og NISSY 7: Risiko for uautorisert tilgang til personopplysninger som følge av lagring i elektroniske system utenfor PRO og NISSY 8: Risiko for feil i saksbehandling som følge av utdatert/feilaktig informasjon i lokale systemer 9: Risiko for brudd på regelverk (lov, forskrift avtale) som følge av sammenstilling av informasjon mellom PRO/NISSY og andre systemer 0: Risiko for personopplysninger på avveie som følge av at personopplysninger blir utlevert til feil eller uautoriserte personer : Risiko for personopplysninger på avveie som følge av bruk av ukryptert e-post : Risiko for brudd på regelverk (lov, forskrift avtale) som følge av manglende kunnskap internt : Risiko for brudd på regelverk (lov, forskrift avtale) som følge av manglende kunnskap hos rekvirenter Eksterne avtaleparter : Risiko for feil håndtering av personopplysninger som følge av manglende/mangelfull avtale med underleverandør og deres eventuelle underleverandør(er : Risiko for feil håndtering av personopplysninger som følge av manglende/mangelfull oppfølging av underleverandør og deres eventuelle underleverandør(er) 6: Risiko for feil håndtering av personopplysninger som følge av manglende/mangelfull opplæring av underleverandør og deres eventuelle underleverandør(er) Økonomiske misligheter 7: Risiko for økonomiske misligheter som følge av misbruk på saksbehandlernivå 8: Risiko for økonomiske misligheter som følge av misbruk på rekvirentnivå Annet 9: Risiko for ukorrekt saksbehandling og utbetaling som følge av utilstrekkelige kontrolltiltak

Samlet risikobilde av pasientreiseområdet 06 7 7 6 6 0 8 9 8 9

Risikobilde vurdert av PRK i Helse Nord 06 0 9 7 6 7 8 8 9 6

Risikobilde vurdert av PRK i Helse Midt-Norge 0 6 7 9 9 0 6 8 8 Risiko er ikke vurdert av Helse Midt-Norge i 06 7

Risikobilde vurdert av PRK i Helse Vest 06 7 0 6 8 9 7 6 9 8

Risikobilde vurdert av PRK i Helse Sør-Øst 06 8 6 6 7 9 7 9 0 8

Risikobilde vurdert av Pasientreiser 06 7 6 7 6 8 9 0 9 8

Risikopunkt S K Risiko Risikoreduserende tiltak Ansvar Frister Sikkerhet Risiko for feil bruk av systemene som følge av manglende kunnskap om bruk av systemet (for eksempel at saksbehandler/rekvirent skriver personopplysninger i feil felt) Gjennomførte tiltak: Kontinuerlig opplæring, oppfølgning og informasjon til rekvirenter. Opplæring fra Pasientreiser om håndtering av personopplysninger vinter 0 Skriftlig rutine for bruk av fritekstfelt Ser over tilnærmet alle turer som inneholder merknad til transportør, og sletter eventuelle sensitive opplysninger. Nye tiltak: Systematisk bruk av rapporter fra Radar og avvik som grunnlag for videre oppfølging Ha dialog med PRK for å avklare bruk og informere om riktig praksis. Oppdatere brukerdokumentasjon PRO.0 «Mine Pasientreiser» standardiserer kommunikasjon og reduserer sannsynligheten for feil input PRK Fortløpende.0.6.0.6 0.0.6 Avviksfører og følger opp behandlere som legger inn sensitive opplysninger i merknadsfelt Opplæring og prosedyrer for å sikre riktig håndtering av personopplysninger og bruk av systemene Eget e-læringskurs om personvern Eget e-læringskurs om e- rekvirering (lovverk og praktisk veileder)

Risikopunkt S K Risiko Risikoreduserende tiltak Ansvar Frister Bruk av og kunnskap om personopplysninger Risiko for brudd på regelverk (lov, forskrift avtale) som følge av manglende kunnskap hos rekvirenter Gjennomførte tiltak: Kontinuerlig opplæring av rekvirenter i alle kommuner og alle avdelinger i helseforetaket. Jevnlige samarbeidsmøter med transportører Kontinuerlig og tett oppfølging av rekvirenter som gjør feil (bruk av RADAR som informasjonsgrunnlag). Nye tiltak: Fortløpende dialog og opplæring av rekvirenter gjennom oppfølging av registrerte avvik I samsvar med strategiplan.., skal det vurderes konkrete tiltak mot rekvirentleddet PRK Fortløpende..7 Redigering av rekvisisjoner i NISSY før sending til transportør. E-læringskurs om e-rekvirering (lovverk og praktisk veileder) dette er et krav ved noen PRK Fokus på lovverket i dialog med rekvirentene

Risikopunkt S K Risiko Risikoreduserende tiltak Ansvar Frister Eksterne avtaleparter Risiko for feil håndtering av personopplysninger som følge av manglende/mangelfull oppfølging av underleverandør og deres eventuelle underleverandør(er) Gjennomførte tiltak: Noen PRK har i sin avtale at alle leverandører og deres underleverandører skal ha gjennomført e- læringskurs for transportører. Jevnlig gjennomgang av databehandleravtalene mellom pasientreisekontorene og Pasientreiser Gjennomgang av effekt av oppfølging av tiltakene etter revisjonen av tverrgående prosessene (/0) Nye tiltak: Fortsatt gjennomgang av veileder for sjåfører Utforme utkast til standardkrav (eksempelvis miljø, personven og e-læring) som kan tas inn i oppdaterte databehandleravtaler og benyttes på andre områder ved behov og ønsker fra det enkelte helseforetak. PRK Fortløpende..6 6 Risiko for feil håndtering av personopplysninger som følge av manglende/mangelfull opplæring av underleverandør og deres eventuelle underleverandør(er) Gjennomførte tiltak: Noen PRK har avtalt at alle leverandører og deres underleverandører skal ha gjennomført elæringskurs for transportører. Løpende oppfølging av avvik. Dialogmøte med leverandør. Nytt e-læringskurs om e-rekvirering (lovverk og praktisk veileder) Nye tiltak: Fortsatt fokus på lovverket i dialog med rekvirentene Fortløpende vurdering av nye tiltak for å redusere muligheten til å legge inn personopplysninger i direkte- og /enkeltoppgjørsregisteret PRK Fortløpende Fortløpende Nasjonal kartlegging og oppfølging av bruk av personopplysninger i direkte-/ og enkeltoppgjørs-registeret

Oppfølging Tiltak og oppfølging av risikoene skal skje i linjen iht ansvar. Eksempelvis må det enkelte foretak følge opp egne risikoer i rødt og gult selv om det akkumulerte er i grønt. Områder i rødt krever strakstiltak og skal prioriteres. For områder i gult bør det iverksettes tiltak med plan for oppfølging. Områder i grønt ansees som godt ivaretatt og krever ikke ytterligere tiltak.

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding