Videokonsultasjon - sjekkliste

Like dokumenter
Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

Krav til informasjonssikkerhet

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

MTU - Krav til informasjonssikkerhet

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Bruk av databehandler (ekstern driftsenhet)

Veileder for tilgangsstyring

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

HVEM ER JEG OG HVOR «BOR» JEG?

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Behandling av helse- og personopplysninger ved legekontoret

Sikkerhetsrevisjon Sjekkliste for å ivareta kravene i Normen

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Tilgangskontroll i fugleperspektiv Tilgangskontroll i IT-systemer de fire A-er Administrasjon Autentisering Autorisasjon Audit (etterhåndskontroll) Av

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

Bruk av databehandler (ekstern driftsenhet)

Noen utvalgte faktaark og veiledere. Åpent kurs

Det skal ikke være lett! Elektronisk sårjournal: Liten brikke i stort spill

Databehandleravtale etter personopplysningsloven

Innholdsfortegnelse. Veiledning i selvdeklarering av programvare

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

mellom leverandør og virksomhet

Oversiktstabell for faktaark, veiledere og kurs til Normen

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren

Innføring av 2-faktor autentisering ved pålogging - for kunder som benytter Evolution -

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN

Noen utvalgte faktaark og veiledere. Åpent kurs 15. mars 2018

PERSONVERN Personopplysninger som lagres Hvilke personopplysninger behandler vi

Personvern - sjekkliste for databehandleravtale

Databehandleravtale for NLF-medlemmer

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Ny lovgivning nye muligheter. Normkonferansen 2014 Rica Holmenkollen Park Hotell, Oslo, 14. oktober 2014 Erik M. Hansen, adm. dir.

Diabetesforbundet. Personvernerklæring

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Veileder for behandling av personopplysninger og informasjonssikkerhet i idretten

Behov for oppdatering av EPJ standard som følge av regelverksendringer mv

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Veiledende merknader til helseregisterloven 13 og helseinformasjonssikkerhetsforskriften

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Prosedyre for personvern

Brukermanual. VPN tilgang til Norsk Helsenett

Krav til sikkerhetsarkitektur for tilgang på tvers av virksomheter (og systemer)

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Hvordan få tilgang til journalopplysning fra andre virksomheter

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Juridiske problemstillinger ved avskaffelsen av papirskjema

Tekniske krav til portal med publiseringsløsning (fase 1)

Datasikkerhet internt på sykehuset

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Denne personvernerklæringen forteller hvordan Pelimoo.no samler inn og behandler personopplysninger.

Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger mellom virksomheter

Nytt i Normen Normkonferansen Aasta M. Hetland Jan Gunnar Broch Sekretariatet for Normen

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner

Ny lov nye muligheter for deling av pasientopplysninger

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Registrerte og personopplysninger som behandles

Personvern og informasjonssikkerhet ved anskaffelser

Personvern og informasjonssikkerhet ved samhandling

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

Personvern og informasjonssikkerhet for apotek

Pasientjournalloven - endringer og muligheter

Samarbeid mellom virksomheter om felles journal

Transkript:

Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Videokonsultasjon - sjekkliste Støttedokument Faktaark nr. 54 Versjon: 1.0 Dato: 08.06.2017 Sjekkelisten inneholder krav som skal ivaretas før videokonsultasjon tas i bruk og krav som skal ivaretas ved bruk av videokonsultasjon. Sjekklisten må tilpasses til løsningen som skal benyttes. Merk at sjekklisten gjenspeiler at faktaarket ikke dekker lagring av videoopptak. Siste kolonne angir om kravet gjelder for eksempel 1 i Faktaark 54 Videokonsultasjon, med bruk av utstyr. Før videokonsultasjon tas i bruk Nr Databehandleravtale 1. Benyttes ekstern driftsleverandør for tjenesten skal det opprettes databehandleravtale mellom databehandler og virksomheten ekstern driftsleverandør Drift og teknisk løsning 2. Prosedyrer for drift og konfigurasjonsendringer av løsningen 3. Kryptering skal etableres ende-til-ende for kommunikasjon utenfor kontroll Når er kravet relevant: Når virksomheten ikke har fysisk kontroll på kommunikasjonslinjer og -utstyr 4. Kommunikasjonen mellom helsepersonell og pasient skal ha en styrke og nøkkellengde som oppfyller NSM Cryptographic Requirements (Moderate) 1 Når er kravet relevant: Når kryptering benyttes 5. Kommunikasjonen mellom virksomheten og pasienten stenges, og ny autentisering kreves, etter et fastsatt antall minutter ved inaktivitet og pasienten autentiseres for tilgang 1 https://www.nsm.stat.no/globalassets/dokumenter/veiledninger/systemteknisk-sikkerhet/ncr3.1.pdf (som er kravene Datatilsynet viser til)

6. All autorisert bruk og forsøk på uautorisert bruk av tjenesten skal logges Når er kravet relevant: Ved autentisering for tilgang 7. For helsepersonell skal logger som minimum inneholde: - entydig identifikator for den autoriserte brukeren - rollen den autoriserte brukeren har ved tilgangen - virksomhetstilhørighet - organisatorisk tilhørighet til den som er autorisert - hvem det ble kommunisert med - tidspunkt og varighet for kommunikasjonen autentiseres for tilgang 8. For pasient skal logger som minimum inneholde: - entydig identifikator for den autoriserte pasienten - hvem det ble kommunisert med - tidspunkt og varighet for kommunikasjonen Når er kravet relevant: Når pasient autentiseres for tilgang 9. Logger av bruk av tjenesten (autorisert bruk) skal oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem Når er kravet relevant: Når det logges 10. For forsøk på uautorisert bruk skal følgende logges (tilpasses type løsning) - Brukeridentiteten som ble benyttet - Tidspunkt (dato og klokkeslett) - IP-adresse eller annen identifikasjon av PC/ arbeidsstasjon som ble benyttet (for eksempel MAC-adresse eller NAT-adresse) og pasienten autentiseres for tilgang Opplæring 11. Opplæring av helsepersonell i bruk av løsningen Autorisering 12. Virksomheten må etablere autorisasjonsregister for helsepersonell Faktaark 54 - Videokonsultasjon - sjekkliste v1.0.doc Side 2 av 5

Kravet retter seg mot løsninger hvor helsepersonell har tilgang til et administrasjonsgrensesnitt med registrering av avtaler for, oversikt/plan over kommende, oversikt over egne pasienter i løsningen, gjennomførte, osv. 13. For helsepersonell skal autorisasjonsregisteret som minimum inneholde: - informasjon om hvem som er tildelt autorisasjon - til hvilken rolle (for eksempel lege, sykepleier) autorisasjonen er tildelt - formålet med autorisasjonen - tidspunkt for når autorisasjonen ble gitt og eventuelt tilbakekalt - informasjon om hvilken virksomhet den autoriserte er knyttet til 14. Etablere prosedyre og løsning slik at tildelte autorisasjoner lagres i autorisasjonsregisteret i 5 år fra det tidspunkt autorisasjonen ble tatt ut av bruk Annet 15. Prosedyre for journalføring av helseopplysninger fra. Prosedyren må fastsette at det ikke er lov til å lagre bilder av videosamtalen (fordi faktaarket ikke omhandler lagring av video eller stillbilder) 16. Risikovurdering av hele løsningen er gjennomført før den tas i bruk for ytelse av helsehjelp. 17. Oppdatert oversikt over behandlinger av helse- og personopplysninger i virksomheten. Faktaark 54 - Videokonsultasjon - sjekkliste v1.0.doc Side 3 av 5

Ved bruk av videokonsultasjon Nr Samtykke 18. Virksomheten skal innhente informert samtykke fra pasienten til å formidle helse- og personopplysninger elektronisk 19. Helsepersonell skal innhente samtykke fra pasienten til bruk av tolk tolk i 20. Samtykket med pasient må forutsette at tilganger og autentiseringsmekanismer er personlige og ikke skal lånes ut til andre Viktig at det informeres om dette til pasienten Når er kravet relevant: Når det benyttes autentiseringsmekanismer for å sikre at det er rett pasient som mottar helsehjelp 21. Informasjon til pasienten om behandlingen av helseopplysninger og pasientens rettigheter Opplæring 22. Opplæring av pasient i bruk av løsningen inkludert ivaretakelse av eget personvern 23. Bruksanvisning for pasienten Når er kravet relevant: Når pasienten skal bruke løsningen alene Autorisering 24. Pasienten skal gis tilgang enten av ansatte i virksomheten eller ved selvbetjening i løsningen. Ved selvbetjening må samtykke aksepteres eksplisitt i løsningen (for eksempel ved at pasient må huke av for å akseptere at det behandles personopplysninger) for hvordan kravet er ivaretatt Faktaark 54 - Videokonsultasjon - sjekkliste v1.0.doc Side 4 av 5

for hvordan kravet er ivaretatt 25. Helsepersonell skal autoriseres til løsningen iht til sin rolle og tjenstlig behov for tilgang Når er kravet relevant: Når løsningen har tilgangsstyring Autentisering 26. Autentisering for bruk av kun administrative funksjon for bestilling av time i -løsningen (uten helseopplysninger), gjøres med minimum sikkerhetsnivå 3 (for eksempel brukernavn, passord og kode på SMS) Når er kravet relevant: Når pasient kan bestille/avbestille time uten at grunnen for timebestilling oppgis 27. Autentisering for tilgang til og kommunikasjon av helseopplysninger (inklusive timebestilling der pasient oppgir grunnen for bestilling av time) gjøres med en sikker autentiseringsløsning. (For eksempel Bank-ID eller en annen løsning hvor risikovurdering viser at autentiseringen sikrer at pasienten entydig identifiseres). Alternativt kan autentiseringen gjelde utstyret som benyttes. Dette kan være bruk av kvalifiserte sertifikater mellom virksomheter og identifisering av utstyr med MAC-adresse Når er kravet relevant: Når det er behov for sikker identifisering av pasienten Faktaark 54 - Videokonsultasjon - sjekkliste v1.0.doc Side 5 av 5

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding