Sikkerhetskrav for systemer

Like dokumenter
Sikkerhetskrav for systemer

Sikkerhetskrav for systemer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

HVEM ER JEG OG HVOR «BOR» JEG?

Krav til informasjonssikkerhet

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Videokonsultasjon - sjekkliste

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Bruk av databehandler (ekstern driftsenhet)

Veileder for tilgangsstyring

MTU - Krav til informasjonssikkerhet

Bruk av databehandler (ekstern driftsenhet)

Introduksjonskurs til Normen Normens krav. Jan Henriksen Sekretariatet for Normen

Sikkerhetsrevisjon Sjekkliste for å ivareta kravene i Normen

Noen utvalgte faktaark og veiledere. Åpent kurs

Pasientjournalloven - endringer og muligheter

Veileder i personvern og informasjonssikkerhet ved tilgang til helseopplysninger mellom virksomheter

Plikt- og rettssubjekter. Den som har krav på noe, den som har rett på noe. Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Ansvar og organisering

Innholdsfortegnelse. Veiledning i selvdeklarering av programvare

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Behandling av helse- og personopplysninger ved legekontoret

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Pasientjournalloven og helseregisterloven

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

mellom leverandør og virksomhet

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Ny pasientjournallov endringer og muligheter

Norm for informasjonssikkerhet i helsesektoren

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Behov for oppdatering av EPJ standard som følge av regelverksendringer mv

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Norm for informasjonssikkerhet

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Deres ref. Deres dato Vår ref. Vår dato /ASD /10ToNy

Veiledende merknader til helseregisterloven 13 og helseinformasjonssikkerhetsforskriften

Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner

Noen utvalgte faktaark og veiledere. Åpent kurs 15. mars 2018

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato:

Norm for informasjonssikkerhet Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren

Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

IS-7/2006. Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler

Saksbehandler: Toril Løberg Arkiv: H01 &13 Arkivsaksnr.: 13/ Dato: HØRING - FORSLAG TIL FORSKRIFT OM NASJONAL KJERNEJOURNAL

Ny pasientjournallov - endringer og muligheter

LÆRINGS- og GJENNOMFØRINGSPLAN

Samarbeid mellom virksomheter om felles journal

LÆRINGS- og GJENNOMFØRINGSPLAN

Høringsuttalelse - Forslag til forskrift om informasjonssikkerhet, tilgangsstyring og tilgang til helseopplysninger i behandlingsrettede helseregistre

Høringsuttalelse - Forslag til ny kommunal helse- og omsorgslov

Samarbeid mellom virksomheter om felles journal

Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten

Bransjenorm. for informasjonssikkerhet og personvern i helse- og omsorgstjenesten

LÆRINGS- og GJENNOMFØRINGSPLAN

Oversiktstabell for faktaark, veiledere og kurs til Normen

innhente taushetsbelagte helseopplysninger. Setningen burde derfor omformuleres.

Sertifisering av funksjonalitet i EPJ-system

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Endelig kontrollrapport

Kontroll av oppslag i elektronisk pasientjournal

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Ny lov nye muligheter for deling av pasientopplysninger

Ot.prp. nr. 51 ( )

Personvernerklæring Stendi

Rettslig regulering av helseregistre

Kunngjort 28. august 2017 kl PDF-versjon 30. august 2017

Norm for behandling av personopplysninger og informasjonssikkerhet i idretten

Lovvedtak 75. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( )

Innsatsområder nasjonalt nivå i helsetjenesten Nasjonalt meldingsløft Kjernejournal Helsepolitiske mål E-resept Helseportal Helseregistre EPJ Velferds

Lovlig journalbruk Oppslag i og bruk av Pasientjournalen

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten

Veileder for behandling av personopplysninger og informasjonssikkerhet i idretten

HØRINGSUTTALELSE - FORSKRIFT OM INFORMASJONSSIKKERHET, TILGANGSSTYRING OG TILGANG TIL HELSEOPPLYSNINGER

Høring av forslag til forskrift om informasjonssikkerhet, tilgangsstyring og tilgang til helseopplysninger i behandlingsrettede helseregistre

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten

Tilgangskontroll i fugleperspektiv Tilgangskontroll i IT-systemer de fire A-er Administrasjon Autentisering Autorisasjon Audit (etterhåndskontroll) Av

Hvordan kan personvernet ivaretas i helsesektoren?

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Anbefalt ehelsekompetanse

LÆRINGS- og GJENNOMFØRINGSPLAN

Høringsutkast til EPJ standard del 2: Tilgangsstyring, redigering, retting og sletting

Datasikkerhet internt på sykehuset

Informasjonssikkerhet

Fagkurs for kommuner Personvern og taushetsplikt (75 minutter)

Databehandleravtaler

DRAMMEN KOMMUNE. Postmottak HOD

Databehandleravtale etter personopplysningsloven

Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger mellom virksomheter

Transkript:

Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.1 Dato: 17.08.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt for: Gi innkjøper av systemer i helse- og omsorgstjenesten et hjelpemiddel for å sikre at systemene inneholder løsninger iht kravene i. Faktaarket skal benyttes som grunnlag for selvdeklareringsordningen for programvare i helse- og omsorgstjenesten, hvor det er utarbeidet detaljerte beskrivelser av hvordan leverandøren kan oppfylle kravene. Virksomhetens leder er ansvarlig for at systemer som tas i bruk for behandling av helse- og personopplysninger inneholder nødvendige sikkerhetsløsninger. Ved anskaffelse av systemer i helse- og omsorgstjenesten skal leverandøren dokumentere at nødvendige sikkerhetsløsninger er etablert. Innkjøper kan benytte sjekklisten i faktaarket som grunnlag for dokumentasjonen. Gjelder alle fagsystemer som benyttes til behandling av helse- og personopplysninger i helse- og omsorgstjenesten. For eksempel elektronisk pasientjournal, pasientadministrasjon, laboratoriesystem, rekvisisjon og svar og elektromedisinsk utstyr som inneholder helse- og personopplysninger Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder Ansatt / medarbeider Forsker Personvernombud Hjemmel ene i faktaarket er hjemlet i lov og forskrift (jf. kapittel 1.2). Enkelte tilleggskrav er fastsatt i Referanser Faktaark 14 - Tilgangsstyring Faktaark 15 - Hendelsesregistrering og oppfølging Faktaark 31 - Passord og passordhåndtering Sikkerhetskrav som skal ivaretas i systemer som behandler helse- og personopplysninger. Faktaarket er à jour med 5. utgave av. IKT-ansvarlig Databehandler Leverandør ene nedenfor følger av. For enkelte krav er det angitt en utdypning av kravet som ikke direkte kan leses ut av. Disse er angitt som Utdypning av kravet:. Nr Autorisering 1. Tilgangsstyring skal etableres for alle behandlingsrettede 5.2 helseregistre (inkl elektronisk pasientjournal (EPJ)) og fagsystemer 2. Autorisering skal skje selvstendig for hver enkelt rolle 3. Ulike ansettelsesforhold skal identifiseres 4. All tildeling av autorisasjon skal registreres i et autorisasjonsregister ivaretatt Faktaark 38 - Sikkerhetskrav for systemer Side 1 av 5

5. Databehandlingsansvarlig skal sørge for at det opprettes et autorisasjonsregister. Registeret skal som minimum inneholde: informasjon om hvem som er tildelt autorisasjon til hvilken rolle autorisasjonen er tildelt formålet med autorisasjonen tidspunkt for når autorisasjonen ble gitt og eventuelt tilbakekalt informasjon om hvilken virksomhet den autoriserte er knyttet til helsepersonells autorisasjon for tilgang til helseopplysninger i annen virksomhet (kun om tilgang til helseopplysninger i annen virksomhet er tatt i bruk) Utdypning av kravet: Det skal også registreres hvem (fysisk identifiserbar person) som har opprettet (registrert) autorisasjonen 6. Ved tilgang til helseopplysninger mellom virksomheter skal autorisasjonen tidsbegrenses 7. 5 års lagring minimum fra det tidspunkt dokumentet ble tatt ut av bruk: Oversikt over tildelte autorisasjoner og tilganger til helse- og personopplysninger (autorisasjonsregister) 8. Tildelt autorisasjon skal sikre at den enkelte kan få tilgang til e og nødvendige helse- og personopplysninger i samsvar med personellets ansvar og oppgaver Utdypning av kravet: Tildelt autorisasjon skal kunne tidsavgrenses 9. For personer som har ulike roller i virksomheten, skal autorisering skje for hver rolle uavhengig av vedkommendes øvrige roller 10. Autorisasjon for å lese, registrere, redigere, rette, slette og/eller sperre helse- og personopplysninger skal gis til dem som har tjenstlig behov 11. Kun teknisk personell med særskilt behov for tilgang, kan autoriseres for større mengder helse- og personopplysninger 12. Tilgang til behandlingsrettede helseregistre skal gis etter en konkret beslutning basert på at det er iverksatt eller skal iverksettes tiltak for medisinsk behandling av pasienten 13. Systemet som administrerer autorisasjon skal skille mellom rettigheter til å lese, registrere, redigere, rette, slette og/eller sperre helse- og personopplysninger 3.3.4 5.2.3 ivaretatt Faktaark 38 - Sikkerhetskrav for systemer Side 2 av 5

14. Hendelsesregistrene, autorisasjonsregister og tilstedeværelsesregister skal sikres mot endring og sletting av uautorisert personell Hendelsesregistrene skal sikres mot endring og sletting av uautorisert personell 15. Dersom det er åpnet for nødrettstilgang, skal tekniske tiltak etableres på en slik måte at helsepersonell i nødrettssituasjoner, kan få tilgang til nødvendige helse- og personopplysninger. Slik tilgang skal grunngis og registreres i behandlingsrettede helseregistre (inkl elektronisk pasientjournal (EPJ)) 16. Nødrettstilgang kan etableres som en mulighet for autoriserte brukere til å gi seg selv tilgang uten å følge fastsatte prinsipper for å få tilgang til helse- og personopplysninger 17. Begrunnelsen for nødrettstilgang skal dokumenteres og hvert enkelt tilfelle skal følges opp som et avvik. 18. Virksomhetens ledelse skal påse at det jevnlig gjennomføres kontroll av hvem som har hatt elektronisk tilgang til helseopplysninger i et behandlingsrettet helseregister (inkl elektronisk pasientjournal (EPJ)) eller i et fagsystem. Ved tilgang til helseopplysninger mellom virksomheter skal det i tillegg kontrolleres hvorfor tilgangen er benyttet og tidsperioden helseopplysningene er hentet fram. Utdypning av kravet: Behandlingsrettet helseregister inkl elektronisk pasientjournal (EPJ) eller fagsystem må ha funksjonalitet slik at kontrollen kan gjennomføres effektivt. Autentisering 19. Autentisering må sikre identifisering i korrekt rolle i hvert enkelt tilfelle. 20. Ulike roller skal identifiseres og ved behov gis ulike 21. Ved tilgang til behandlingsrettede helseregistre (inkl elektronisk pasientjournal (EPJ)) og fagsystemer skal ulike ansettelsesforhold identifiseres og gis ulike 22. Flere personer skal ikke benytte samme Utdypning av kravet der det ikke benyttes PKI: Passordet skal kunne byttes enkelt av bruker Tvunget skifte av passord skal være teknisk mulig Passordets kvalitet og varighet skal kunne konfigureres 5.2.6 4.4.3 4.4.3 6.5 ivaretatt Faktaark 38 - Sikkerhetskrav for systemer Side 3 av 5

23. Tekniske tiltak skal iverksettes slik at personer i eller utenfor virksomheten uansett ressurser og kunnskap ikke skal kunne endre opplysninger uten at det registreres i behandlingsrettede helseregistre (inkl elektronisk pasientjournal (EPJ)) og fagsystem hvem som har endret og hva som er endret. Utdypning av kravet der det ikke benyttes PKI: Passordfil skal krypteres 24. Alle systemer skal ha mekanismer som hindrer uautoriserte endringer av helse- og personopplysninger Hendelsesregistrering 25. Hendelsesregistre med sikkerhetsmessig betydning, herunder registrering av autorisert bruk og forsøk på uautorisert bruk av informasjonssystemene, skal tas vare på til det av helsehjelpens karakter ikke lenger antas å bli bruk for. 26. Det skal registreres i hendelsesregistre i behandlingsrettede helseregistre (inkl elektronisk pasientjournal (EPJ)) og fagsystem hvem som har hatt tilgang. Det skal registreres i det behandlingsrettede helseregisteret (inkl elektronisk pasientjournal (EPJ)) eller fagsystemet når autorisasjonen benyttes. 27. 28. Det skal registreres i behandlingsrettede helseregistre (inkl elektronisk pasientjournal (EPJ)) og fagsystemer hvem som har foretatt registrering, endring, retting og sletting 29. For å oppdage brudd eller forsøk på å bryte regelverket skal det som minimum føres hendelsesregistre over følgende: - Autorisert bruk av informasjonssystemene skal registreres. - Alle informasjonssystemer skal registrere alle forsøk på uautorisert bruk. - Bruk av nødrettstilgang til behandlingsrettet helseregister skal registreres. 30. Følgende skal som minimum registreres i hendelsesregistre: - entydig identifikator for den autoriserte brukeren - rollen den autoriserte brukeren har ved tilgangen - virksomhetstilhørighet - organisatorisk tilhørighet til den som er autorisert - hvilke type opplysninger det er gitt tilgang til - hvem som har fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer - grunnlaget for tilgangen - tidspunkt og varighet for tilgangen 3.3.4 5.2.8 4.4.1 ivaretatt Faktaark 38 - Sikkerhetskrav for systemer Side 4 av 5

31. Ved tilgang til helseopplysninger mellom virksomheter skal i tillegg følgende hendelsesregistreres: - hvorfor helseopplysningene er hentet fram - hvilke tidsperioder vedkommende har hentet fram helseopplysningene 32. Alle hendelsesregistre skal kunne analyseres ved hjelp av egnet verktøy og ved behov sammenholdes med autorisasjonsregister og tilstedeværelsesregister. Pasientrettigheter 33. Ved tilgang til helseopplysninger mellom virksomheter skal det være en funksjon for å sperre tilgang til helseopplysninger for helsepersonell fra andre virksomheter Med sperring menes en teknisk løsning der hele eller deler av journalen gjøres utilgjengelige for helsepersonell. Opplysningene skal kunne sperres overfor både enkeltpersoner, grupper av helsepersonell og virksomheter. 34. Det skal etableres prosedyrer for å sikre at den registrertes rettigheter for innsyn i hendelsesregistre blir ivaretatt. Prosedyrene skal som et minimum sikre at den registrerte får informasjon om: - Hvem som har hatt tilgang eller fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer eller på noen annen måte direkte eller indirekte kan knyttes til pasienten eller brukeren - Hvor ofte tilgangen er benyttet. 35. Ved tilgang til helseopplysninger mellom virksomheter skal i tillegg den registrerte få informasjon om: - Person og organisatorisk tilhørighet til den som har hentet fram opplysningene - Hvorfor helseopplysningene er hentet fram - Hvilke tidsperioder vedkommende har hentet fram helseopplysningene 36. Det skal etableres prosedyrer og gjennomføres tiltak for å sikre at: - Pasienten/brukeren får informasjon om virksomhetens behandling av helse- og personopplysninger, og sine rettigheter til innsyn i, retting, sletting og sperring av registrerte opplysninger om seg selv. Integritet 37. Helse- og personopplysninger skal henføres til rett identifisert person 38. Helse- og personopplysninger skal føres i henhold til kodeverket 5.3.4 5.3.4 5.3.3 ivaretatt Faktaark 38 - Sikkerhetskrav for systemer Side 5 av 5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding