Ansvar og organisering



Like dokumenter
Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Sikkerhetskrav for systemer

Norm for informasjonssikkerhet Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet)

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Internkontroll og informasjonssikkerhet lover og standarder

Norm for informasjonssikkerhet Personvernombud

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

ekommune 2017 Prosessplan for god praksis om personvern

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Styresak Orienteringssak - Informasjonssikkerhet

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Varsel om vedtak fra Datatilsynet - Overtredelsesgebyr

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Rapport informasjonssikkerhet Helgelandssykehuset 2015

HVEM ER JEG OG HVOR «BOR» JEG?

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Endelig kontrollrapport

Endelig Kontrollrapport

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Endelig kontrollrapport

Informasjonsstrategi med overordnet handlingsplan. for Normen. i perioden 2015 til 2017

LÆRINGS- og GJENNOMFØRINGSPLAN

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

VIRKE. 12. mars 2015

Oversiktstabell for faktaark, veiledere og kurs til Normen

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

Styret Helse Sør-Øst RHF 14. desember 2017

Saksframlegg Referanse

Styringssystem i et rettslig perspektiv

Endelig kontrollrapport

Noen utvalgte faktaark og veiledere. Åpent kurs

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Bilag 14 Databehandleravtale

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

LÆRINGS- og GJENNOMFØRINGSPLAN

Status personvern Hedmark og Oppland fylkeskommuner

SAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET

LÆRINGS- og GJENNOMFØRINGSPLAN

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Helseforskningsloven konsekvenser for ansvarsdeling mellom UNN og UiT

Databehandleravtaler

Rollefordeling og begrepsforståelse ved UiO etter nytt personvernregelverk

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Hva er et styringssystem?

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

PACS IT-sikkerhet i foretakene - ansvar og roller. Trondheim. Helse Nord-Trøndelag HF. Helge Gundersen. IKT-rådgiver / IT-sikkerhetsansvarlig

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Endelig kontrollrapport

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Endelig kontrollrapport

Endelig kontrollrapport

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Endelig kontrollrapport

Databehandleravtale etter personopplysningsloven

Kan du legge personopplysninger i skyen?

Forslag til oppfølgingsansvar

Endelig kontrollrapport

TRUST-IKT: Først i Norge med felles pasientjournal Hva har vi gjort? Erling Høyem Leder prosjekt og rådgiving

Retningslinjer for databehandleravtaler

Transkript:

Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant for: Beskrive organisering av arbeidet med slik at det tydelig kommer frem hvem som er ansvarlig på ulike nivåer, og hva de er ansvarlig for. Databehandlingsansvarlig skal påse at behandlingen av helse- og og en organiseres slik at det er tydelig hvem som har ansvar for de ulike deler av behandlingen. Ansvaret for innebærer både et overordnet ansvar for at har tilfredsstillende og dekkende iht Normen, og et ansvar for at ledere på alle nivåer, ansatte/medarbeidere, innleid personell og leverandører følger de spesifikke krav og plikter som gjelder i. Databehandler har et selvstendig ansvar for at Normen følges slik det er regulert i avtale med eller Norsk Helsenett. Ansvar og organisering skal dokumenteres før helse- og begynner. Enhver virksomhet i helse- og omsorgstjenesten skal dokumentere ansvar og organisering av arbeidet med. Virksomhetens leder/ledelse Ansatt / medarbeider IKT-ansvarlig Forskningsansvarlig Forsker Databehandler Prosjektleder forskning Personvernombud Leverandør Sikkerhetsleder Hjemmel Personopplysningsforskriften 2-3 Helseforskningsloven 6 Pasientjournalloven 22 Referanser Norm for, kap. 3.1 Databehandlingsansvarlig er ansvarlig for en i og skal påse at nødvendige tiltak er iverksatt for å ivareta denne. Nr. Ansvar i 1 Ansvar for i store virksomheter (f.eks. sykehus, kommune mv.) Virksomhetens leder 1 - Fastsette mål og strategi for - Beskrive ansvar og myndighetsforhold (se vedlagt eksempel med hvilke sikkerhetsfunksjoner/-roller som skal finnes i organisasjonen) - Fastsette hvilke behandlinger av helse- og som skal utføres i - Følge opp og kontrollere en Leder - Følge opp virksomhetsleders ansvar i egen avdeling - Følge opp og kontrollere en - Prioritere og gjennomføre tiltak 1 I en kommune er ordfører formelt ansvarlig, mens rådmann vil være utførende ansvarlig Faktaark 01 - Ansvar og organisering Side 1 av 5

Nr. Ansvar i IKT-ansvarlig - Sørge for at driftes og sikres iht fastsatte krav - Etablere beredskapsløsning - Følge opp leverandører og databehandler Ansatt/medarbeider - Følge s sikkerhetsprosedyrer 2 Ansvar for i mindre virksomheter (f.eks. rehabilitering- og opptreningsvirksomheter) Virksomhetens leder - Definere mål og strategi for - Beskrive ansvar og myndighetsforhold (se vedlagt eksempel med hvilke sikkerhetsfunksjoner/-roller som finnes i organisasjonen) - Fastsette hvilke behandlinger av helse- og som skal utføres i - Følge opp og kontrollere en - Prioritere og gjennomføre tiltak Leder - Videreføre virksomhetsleders ansvar IKT-ansvarlig - Sørge for at driftes og sikres iht fastsatte krav - Følge opp leverandører og databehandler Ansatt / medarbeider - Følge s sikkerhetsprosedyrer 3 Ansvar for i små virksomheter (f.eks. apotek, bedriftshelsetjeneste, fysioterapiinstitutt, legekontor, psykologfellesskap tannlegekontor, mv.) Virksomhetens leder - Definere mål og strategi for - Beskrive ansvar og myndighetsforhold (benytt vedlagte eksempel til å definere ansvarsområder) - Fastsette hvilke behandlinger av helse- og som skal utføres i Faktaark 01 - Ansvar og organisering Side 2 av 5

Nr. Ansvar i - Følge opp og kontrollere en (inklusive databehandler) - Prioritere tiltak Eksempler på de neste sidene Eksemplene er hentet fra helseforetak og gir en oversikt over mulige roller og ansvarsområder. Eksemplene er ment til inspirasjon slik at ansvarsområder blir vurdert og ansvaret plassert. Matrisen må tilpasses lokale forhold og for eksempel utvides med: personvernombud, forskningsansvarlig, forsker og prosjektleder. Faktaark 01 - Ansvar og organisering Side 3 av 5

Eksempel 1 på sikkerhetsansvar, -roller og -oppgaver internt i Matrisen må tilpasses lokale forhold <Virksomhet> Funksjon: Virksomhetens leder Leder Ansatt/Medarbeider IKT-ansvarlig Sikkerhetsleder Systemeier Ansvar det er etablert et Styringssystem for og at dette vedlikeholdes en er tilfredsstillende Bestemme formålet med behandlingen av Bestemme hvilke hjelpemidler som skal brukes Sørge for opplæring av ansatte Beredskap Tildele, vedlikeholde og inndra roller/ tilgang Rapportere avvik i samsvar med s prosedyrer for dette Følge opp forskningsprosjekt Gjøre seg kjent med og følge lover, regler og prosedyrer Melde avvik er tilgjengelig oppfyller Normens krav fungerer som besluttet Etablere ansvarskart for Overvåke at benyttes i samsvar med bestemmelser og prosedyrer Rapportere til databehandlingsansvarlig sitt informasjonssystem er tilgjengelig sitt informasjonssystem oppfyller Normens krav fungerer som besluttet Definere tilgangsroller Rapportere til IKT-ansvarlig Rolle Databehandlingsansvarlig Leder med personalansvar Systembruker Bestiller Informasjonssikkerhetsleder Systemeier for et system Oppgaver Vedta, implementere, vedlikeholde og følge opp bruken av styringssystem for Gjennomføre ledelsens gjennomgang Melde og eventuelt søke konsesjon for behandlinger til Datatilsynet Lese og følge gjeldende regler Gjøre seg kjent med styringssystem for det gis opplæring i nødvendige systemer og i Lage og teste beredskapsprosedyrer for systemsvikt Sørge for risikovurderinger og Tildele den enkelte medarbeider korrekt rolle og bestille tilgang til nettverk og system Vedlikeholde medarbeidernes tilgangsnivå Inndra tilgang ved opphør av arbeidsforhold forskningsprosjekt blir meldt til den regionale etiske komité (REK) Følge opp at forskningsprosjekt følger meldt plan eller tildelt konsesjon Behandle avvik Etablere og følge opp avtaler om tilgang på tvers Kontrollere tilgang på tvers Utarbeide og vedlikeholde prosedyrer rundt egen funksjon Utarbeide og inngå serviceavtale om drift og vedlikehold av Utarbeide beredskapsplan Ivareta konfigurasjonskontroll ved endringer av Sørge for risikovurderinger og Vurdere eventuell løsning for fjernaksess opp mot veileder for fjernaksess Følge opp partnere, leverandør og Håndtere meldte avvik Rådgiving det blir utpekt systemeier for det enkelte system og holde oversikt over disse Utarbeide og vedlikeholde prosedyrer rundt egen funksjon Utforming av styrende, utførende og kontrollerende dokument i styringssystemet for Forberede ledelsens gjennomgang Følge opp iverksetting av tiltak som er besluttet gjennomført Samordne og gjennomføre sikkerhetsrevisjoner Vurdere rapporterte avvik Forestå risikovurderinger Godkjenne dokument til styringssystemet for Erverve og vedlikeholde kunnskap om trusler, sårbarhet, sikkerhetstiltak og teknikker, sikkerhetskrav Opplæring Rådgiving Utarbeide og vedlikeholde prosedyrer rundt egen funksjon Bistå IKT-ansvarlig i å utarbeide vedlegg til serviceavtale Bistå IKT-ansvarlig i å utarbeide avtaler om endringer av sitt systems konfigurasjon Definere tilgangsroller for sitt system og gjøre disse kjent Sørge for risikovurderinger og Følge opp partnere, leverandør og Håndtere meldte avvik Følge opp tilgang på tvers Faktaark 01 - Ansvar og organisering Side 4 av 5

Eksempel 2 på sikkerhetsansvar, -roller og -oppgaver internt i Matrisen må tilpasses lokale forhold <Virksomhet> Seksjon Dok nr. Versjon Tittel Nivå Side Organisasjon Sikkerhetsansvar, -roller og -oppgaver internt i 1 1/1 Funksjon: Ansvar og oppgaver Daglig leder (Databehandlingsansvarlig) Bestemme formålet med behandlingen av Etablere funksjon for IKT sikkerhet i (IKT sikkerhetsleder) Styringssystem for IKT-sikkerhet er etablert og overholdt i egen virksomhet en er i samsvar med vedtatt sikkerhetsstrategi Årlig gjennomgang av IKT sikkerhet (ledelsens gjennomgang) Avdelingsleder (Personalansvar) Sørge for: at eget personell har riktige tilganger/ autorisasjoner/roller i egen avdeling er meldt til rette instanser at det er gjennomført obligatorisk sikkerhetsopplæring og at sikkerhetskrav blir overholdt å gjøre seg kjent med og implementere beredskapsplaner for bortfall av IKT i egen avdeling at avvik blir behandlet i samsvar med s rutiner Bruker (av IKT system) Gjøre seg kjent med og overholde IKT sikkerhetsinstruksen og IKT rutiner gjennomføre obligatorisk opplæring i gjøre seg kjent med og overholde IKT avviksrutiner IKT - leder Sørge for: at informasjonssystemene oppfyller lovbestemte og andre krav at informasjonssystemene er tilgjengelig, herunder å utarbeide, inngå og følge opp tjenesteavtale (SLA) om drift og vedlikehold av informasjonssystemene å etablere ansvarskart for informasjonssystemene å utarbeide og implementere overordnede beredskapsplaner for IKT at risikovurderinger blir utført at risiko overvåkes å følge opp partnere, leverandør og sikkerhet IKT sikkerhetsleder (tilsyns- og rådgiverfunksjon) Overvåke risiko (vurdere, handle, tiltak, varsle, osv..) og at benyttes i samsvar med bestemmelser og rutiner Følge opp IKT sikkerhetsavvik Utforming av styrende, utførende og kontrollerende IKT sikkerhetsdokument i foretakets Internkontrollsystem Delta i og kvalitetssikre risikovurderinger Forberede og følge opp ledergruppens årlige gjennomgang Gjennomføre sikkerhetsrevisjoner Delta i regionalt sikkerhetsutvalg Rapporterer til Databehandlingsansvarlig Systemeier (ett eller flere system) det er etablert drift og forvaltningsavtale (ref. SLA) oppfyller lovbestemte og andre krav og er meldt til pålagte instanser Definere og vedlikeholde tilgangsroller Sørge for risikovurderinger og Følge opp partnere, leverandører og databehandlere i forhold til sikkerhet Håndtere meldte IKT sikkerhetsavvik Utarbeide og implementere beredskapsrutiner for bortfall av systemet Personvernombud Gi råd og veiledning om Føre oversikt over all Motta meldinger om og vurdere om disse er melde- eller konsesjonspliktige Påse at meldinger/søknader i tilknytning til blir sendt til aktuelle instanser (unntatt i det som kommer inn under lov om medisinsk og helsefaglig forskning) Faktaark 01 - Ansvar og organisering Side 5 av 5

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding