v4-29.07.2015 Adresseinformasjon fylles inn ved ekspedering. Se mottakerliste nedenfor. Adresseinformasjon fylles inn ved ekspedering. Se mottakerliste nedenfor. Deres ref.: 17/1131 Vår ref.: 16/1114-19 Saksbehandler: Robert Nystuen Dato: 19.06.2017 Tillegg til tildelingsbrev nr 4 - Informasjonssikkerhet ved bruk av private leverandører Det vises til Tillegg til tildelingsbrev nr 4. - informasjonssikkerhet ved bruk av private leverandører av 9. juni 2017. Her gis Direktoratet for e-helse i oppdrag å gjennomgå informasjonssikkerhet ved bruk av private underleverandører i helse- og omsorgssektoren. Oppdraget vil få høy prioritet i Direktoratet for e-helse. Direktoratet for e-helse skal oversende en plan for gjennomføring av oppdraget innen tirsdag 27. juni. Forståelse av oppdrag Direktoratet for e-helse forstår at dette oppdraget skal bidra til at personvern og informasjonssikkerhet ivaretas for behandling av helseopplysninger. Å ivareta personvern og informasjonssikkerhet skaper tillit til løsningene, og er en forutsetning for digitalisering. Samtidig er helsesektoren helt avhengig av leverandører nasjonalt og internasjonalt for å sikre oppdatert teknologi, tilstrekkelig kompetanse og kapasitet på stadig mer komplekse og høyteknologiske løsninger som understøtter pasientbehandling. Oppdraget skal bidra til at begge disse hensynene forenes. Dette oppdraget vurderes som viktig underlag til videreutvikling av leverandørsamarbeid, samt øke trygghet i leverandørdialogen med utgangspunkt i de juridiske, tekniske og avtalemessige forhold Vi oppfatter videre at oppdraget skal fremme læring og utvikling i sektoren. Ansvaret for informasjonssikkerhet ligger hos hver enkelt virksomhet som databehandlingsansvarlig, men Direktoratet for e-helse skal understøtte sektoren gjennom vår kompetanse på området. Bl.a ser vi for oss å dra nytte av både kompetanse og nettverk vi har tilegnet oss gjennom sekretariatsfunksjonen for Normen, og pågående relevante nasjonale prosjekter. Vi vil legge funn og erfaringer fra PWC-rapporten som leveres til Helse Sør-Øst til grunn i arbeidet. Videre vil det være helt nødvendig med et tett samarbeid med relevante virksomheter og pågående prosjekter i sektoren, eksempelvis helseplattformen, for å kunne identifisere og foreslå gode rutiner. Leveranser og sluttprodukter Vi oppfatter at oppdraget omfatter følgende: (vår nummerering, videre referert til som delleveranser): Direktoratet for e-helse E-helse Avdeling utredning Robert Nystuen, tlf.: Postboks 6737 St. Olavs plass, 0130 OSLO Besøksadresse: Verkstedveien 1 Tlf.: 21 49 50 70 Org.nr.: 915 933 149 postmottak@ehelse.no www.ehelse.no
1. Identifisere og foreslå gode rutiner for å sikre at de til enhver tid gjeldende krav til informasjonssikkerhet ved bruk av private leverandører etterleves. 2. Utarbeide en overordnet status for bruk av nasjonale og internasjonale leverandører av tjenester som kontinuerlig eller episodisk arbeider inn mot virksomhetens datasystemer og under hvilke betingelser dette skjer. 3. Utarbeide et sett med kriterier eller betingelser som bidrar til at denne formen for tjenester skjer på en ansvarlig måte og i tråd med de til enhver tid gjeldende krav. 4. Vurdere om det er tjenester som ikke bør overlates til private underleverandører. Dette omfatter å se på hvilke situasjoner og hvordan det eventuelt bør og kan skilles mellom norske, EØS-baserte og globale underleverandører, herunder behovet for å se på forholdet mellom helsetjenesten og sikkerhetsloven. Delleveransene vil inngå i rapport som oversendes Helse- og omsorgsdepartementet innen fristen 1.11.2017. I tillegg vil eventuelle skriftlige innspill fra fagorganisasjoner, tillitsvalgte og brukerorganisasjoner legges ved. Disse vil i tillegg oppsummeres i rapporten. Plan for gjennomføring Det er gjort en foreløpig vurdering av hvordan oppdraget kan løses. Det vil innhentes eksterne konsulenter med kompetanse og kapasitet for gjennomføring av arbeidet. De eksterne konsulentene er blitt bedt om innspill til utdypende og alternative løsningsforslag. Det vil derfor kunne komme endringer i gjennomføringsplanen basert på dette. Dersom endringene er av større art, vil dette avstemmes med HOD. Basert på den foreløpige vurderingen er det skissert at oppdraget kan løses gjennom tre spor: A Informasjonssikkerhet. Sporet omfatter aktiviteter som fører fram til delleveransene 1, 2 og 3. o Gjennomføre innhenting av informasjon fra sektor som grunnlag for overordnet status bruk av nasjonale og internasjonale leverandører. Situasjonsbeskrivelsen skal danne grunnlag for gjennomføring av alle deler av oppdraget. Delleveransen vil inngå i rapporten som en situasjonsbeskrivelse pr. høsten 2017. o Rutiner, kriterier og betingelser. Aktivitetene skal gi grunnlag for å kunne identifisere og foreslå gode rutiner for å sikre at de til enhver tid gjeldende krav til informasjonssikkerhet ved bruk av private leverandører etterleves. Det skal utarbeides et sett med kriterier eller betingelser som bidrar til at bruk av private underleverandører skjer på en ansvarlig måte og i tråd med de til enhver tid gjeldende krav. Norm for informasjonssikkerhet i helse- og omsorgssektoren legges til grunn som baseline. Det gjøres en avsjekk om disse kravene må suppleres / utvides, f.eks. ved å vise til aktuelle standarder. Innhenting av gode rutiner og løsninger fra sektoren og andre områder, vil være vesentlig med tanke på etablering av beste praksis. Delleveransen vil inngå i rapporten med anbefalinger om prinsipper, rutiner, kriterier og krav av normerende karakter. B Bruk av private underleverandører Sporet omfatter aktiviteter som fører fram til delleveranse 4. Det gjøres en vurdering av om det - 2 -
er relevant å vurdere om det er tjenester som ikke bør overlates til private underleverandører. Det skal vurderes om det kan og bør skilles etter hvilke land tjenestene lokaliseres til (Norge, EØS, øvrige land). Dette arbeidssporet vil belyse forholdet mellom helsetjenesten og sikkerhetsloven opp mot bruk av private leverandører. Delleveransen vil inngå som et eller flere kapitler i rapporten. C Innspill fra aktørgruppene. Innspill fra aktørgruppene som departementet har identifisert skal innhentes. Arbeidsformen her kan bli dialogseminar og møter der foreløpige resultater fra spor A og B presenteres og drøftes, samt ev. skriftlige innspillsrunder. Innspillene som vurderes som relevante og viktige innarbeides i rapporten. Tidsplan for gjennomføringen: Oppstart Etablere prosjekt Invitere sektorrepresentanter Konsulentanskaffelse, avrop Juni Juli August September Oktober A Informasjonssikkerhet Kartlegging overordnet status Rutiner, kriterier, betingelser B Bruk av private underleverandører Vurdering C Innspill fra aktørgruppene Invitere Innspillsrunde / dialogseminarer Ferdigstilling Sammenstille og sluttføre rapport Deltakelse og involvering Deltakere: I oppdraget er vi bedt om å invitere representanter fra spesialisthelsetjenesten, andre relevante helsetjenesteaktører og helseforvaltningsorganer som behandler pasientinformasjon til å delta i arbeidet. Utvalgene i nasjonal styringsmodell for e-helse, Nasjonalt e-helsestyre NUIT (Prioriteringsutvalget) og NUFA (Fagutvalget) vil bli involvert. Videre ser vi for oss konkret å invitere til deltakelse fra følgende virksomheter: - 3 -
Kommuner KS vil koordinere deltakelse fra kommunene. Spesialisthelsetjenesten Her er det ønskelig med deltakere fra både RHF og HF, regionale IKT-driftsenheter (f.eks. Sykehuspartner), Sykehusinnkjøp, HDO og NIKT. NHN FHI Helsedirektoratet Nasjonalt senter for e-helseforskning. Vi vil etterspørre deltakere med ulike funksjoner og kompetanseprofiler: IKT Medisinsk teknologi Informasjonssikkerhet Personvern Leverandøroppfølging og anskaffelse Både utførende fageksperter og ledere er aktuelle deltakere. For leveranse 4 er det i tillegg aktuelt å involvere deltakere fra høyere ledelsesnivå, helsepersonell, beredskap og kommunikasjon. Vi ser for oss at invitasjon til deltakelse går ut i uke 27. Invitasjon til å gi innspill: Departementet har i oppdraget bedt oss invitere følgende aktørgrupper til å gi innspill: andre sentrale kompetansemiljøer, herunder Nasjonal sikkerhetsmyndighet fagorganisasjoner, tillitsvalgte og brukerorganisasjoner representanter for IKT-næringen Det vil bli gitt mulighet til å gi innspill gjennom deltakelse i dialogseminarer og skriftlige innspill. Konkret vil vi invitere følgende til å gi innspill: Kompetansemiljøer: Nasjonal sikkerhetsmyndighet Datatilsynet Helsetilsynet Pasient- og brukerombudene DIFI NKOM DSB Legemiddelverket Fagorganisasjoner, tillitsvalgte og brukerorganisasjoner: Det vil i det videre arbeid etableres en detaljert liste før utsending i august Representanter for IKT-næringen vil inviteres gjennom bransjeorganisasjonene: IKT-Norge Abelia Med tek Norge - 4 -
Involvering av Helse- og omsorgsdepartementet Helse- og omsorgsdepartementet vil bli holdt oppdatert om fremdriften i oppdraget. Vi ber om å få en kontaktperson i departementet som kan kontaktes i forbindelse med rapportering underveis og behov for avklaringer. HOD vil holdes orientert om dato for større workshops og møter, i tilfelle det er ønske om å stille som observatør. Tema for dialog Oppdraget er et arbeid som vil følges tett av mange interessenter. Det er viktig med dialog om behov for kommunikasjon underveis og hvem som kommuniserer. Underveis i prosjektet kan det være behov for ytterligere avklaringer eller avgrensninger som bør avklares. Vennlig hilsen Norunn Elin Saure e.f. divisjonsdirektør Robert Nystuen avdelingsdirektør Dokumentet er godkjent elektronisk - 5 -