Informasjonsstrategi med overordnet handlingsplan for Normen i perioden 2015 til 2017 Utarbeidet med støtte av: Versjon 2.0 www.normen.no 1
INNHOLD 1 INNLEDNING... 3 2 BAKGRUNN... 3 2.1 FORMÅL... 3 2.2 BUDSKAPET... 3 2.3 MÅLGRUPPER... 3 2.4 VIRKEMIDLER... 4 3 INFORMASJONSSTRATEGI... 4 3.1 FORBEREDENDE TILTAK... 4 3.1.1 Temperaturmåling... 4 3.1.2 Budskapsplattform... 4 3.2 PUBLISERINGSKANALER... 5 3.2.1 Normens nettsted... 5 3.2.2 Bruk av fagorganisasjonenes hjemmesider... 5 3.2.3 Bruk av helseforetakenes hjemmesider... 5 3.2.4 Nyhetsbrev om Normen... 5 3.3 DIALOGKANALER... 6 3.3.1 Fagkurs (tidligere instruktøropplæring)... 6 3.3.2 Normkonferansen... 6 3.3.3 Pasient- og brukerombud... 7 3.3.4 Foredragsvirksomhet på IT-, sikkerhets-, helse- og sosialfaglige konferanser og samlinger. 7 3.3.5 Undervisningsinstitusjoner... 7 3.3.6 E-læring... 7 3.3.7 Kurs / seminarer i Normen... 8 2
1 INNLEDNING Styringsgruppen for Norm for informasjonssikkerhet besluttet i møte av 5. juni 2014 at det skal utarbeides en informasjonsstrategi for Normen. Denne versjonen av informasjonsstrategien tar utgangspunkt i «Strategi for Normen 2013 2020», vedtatt av styringsgruppen i desember 2013, og gjelder for perioden 2015-2017. I tillegg til informasjonsstrategien er det utarbeidet en overordnet handlingsplan. Denne foreslås tatt inn i den generelle årlige handlingsplanen for Normen, i tråd med styringsgruppens mandat. Med Normen forstås Norm for informasjonssikkerhet med støttedokumenter og kursmateriell. 2 BAKGRUNN 2.1 Formål Formålet med dette strategidokumentet er å beskrive hvordan de definerte målgruppene for Normen skal nås med informasjon. Målet er å gi informasjon og bidra til økt kompetanse om Normen til definerte målgrupper i perioden 2015 til 2017. Målgruppene er fastsatt ut fra hva som er aktuelt og realistisk for det enkelte tiltak. Sekretariatet for Normen er ansvarlig for å gjennomføre strategien. 2.2 Budskapet Normen stiller krav til hvordan virksomhetene i sektoren sikrer helse- og personopplysninger (inkludert opplysninger om egne ansatte). Strategien skal bidra til at målgruppene får et aktivt forhold til og kan ta i bruk Normen som et verktøy for å ivareta sikkerhetskravene som gjelder for sektoren. For å etablere en tilfredsstillende informasjonssikkerhet basert på Normens krav, må virksomhetene ha kunnskap om Normen og hvordan kravene kan oppfylles, avhengig av virksomhetens art og størrelse. 2.3 Målgrupper Målgrupper for Normen er fastsatt til: Normen gjelder for enhver virksomhet i sektoren som ved avtale har forpliktet seg til å følge Normen, herunder legevirksomheter, helseforetak, Arbeids- og 3
velferdsforvaltningen (NAV), tannklinikker, sykehus, apotek, apotekkjeder, kommuner, fylkeskommuner, frittstående laboratorier, røntgeninstitutter, psykologpraksis, fysioterapiinstitutter, bandasjistvirksomheter, rehabiliteringsinstitusjoner, o.a., samt de nevnte virksomheters leverandører og andre i den grad de behandler helse- og personopplysninger. Informasjonsstrategien har varighet frem til 2017 og målgruppen er primært: a) Ledelsen i mellomstore og store virksomheter i sektoren b) Sikkerhetsleder/-koordinator og IKT-ansvarlig c) Ansvarlig i mindre virksomheter d) Leverandører e) Pasient- og brukerombudene f) Helsepersonell/den enkelte yrkesgruppe g) Øvrig befolkning 2.4 Virkemidler Virkemidler i informasjonsstrategien er bruk av: publiseringskanaler (for eksempel normen.no og media), hvor siktemålet er å informere om Normen dialogkanaler (for eksempel konferanser og kurs), der siktemålet er å ha interaksjon med mottakerne av budskapet 3 INFORMASJONSSTRATEGI 3.1 Forberedende tiltak Det gjennomføres tiltak som supplerer denne informasjonsstrategien, med leveranser som gir større effekt av tiltakene som er beskrevet under. 3.1.1 Temperaturmåling Det utarbeides en enkel temperaturmåling blant sentrale/utvalgte målgrupper, for å kartlegge kjennskap og holdning til Normen. 3.1.2 Budskapsplattform Det utarbeides en oversikt, basert på temperaturmålingen, over hvilke budskap, fordelt på målgrupper, som er viktig å nå ut med i informasjonstiltakene. 4
3.2 Publiseringskanaler Publiseringskanaler er en enveiskommunikasjon hvor budskapet må være tydelig og konkret for å gi leseren oversikt og innsikt i personvern og informasjonssikkerhet. 3.2.1 Normens nettsted - Løpende forbedre normen.no slik at den forblir aktuell og lett tilgjengelig for relevante målgrupper. - Normen.no er en del av ehelse.no fra desember 2014. Når man har tilstrekkelig erfaringsgrunnlag, bør det foretas en evaluering av dette. - Oppdatere normen.no ved endringer i etterkant av styringsgruppevedtak - Hele målgruppen 3.2.2 Bruk av fagorganisasjonenes hjemmesider - Omtale Normen på fagorganisasjonenes hjemmeside - Opprette lenke til normen.no fra fagorganisasjonenes hjemmeside - Den enkelte yrkesgruppe 3.2.3 Bruk av helseforetakenes hjemmesider - Omtale Normen på Helseforetakenes og RHF enes hjemmesider - Opprette lenke til normen.no fra Helseforetakenes og RHF enes hjemmesider - Innbyggerne, inkludert pasienter / brukere - Ansatte i helseforetakene 3.2.4 Nyhetsbrev om Normen - Utarbeide og publisere elektronisk nyhetsbrev med informasjon om o Kommende og avholdte kurs og konferanser o Nye/endrede dokumenter o Nyttige råd og tilleggs-/bakgrunnsstoff o Svar på ofte stilte spørsmål 5
- Hele målgruppen 3.3 Dialogkanaler Dialogkanaler medfører interaksjon med mottaker av budskapet og skal benyttes for å gi detaljkunnskap om personvern og sikkerhet. Normen brukes som et verktøy for å oppfylle kravene til sikkerhet. 3.3.1 Fagkurs (tidligere instruktøropplæring) - Gjennomføre fagkurs i Normen slik at deltakerne blir ressurspersoner innen Normen i egen virksomhet. Målet er at kompetansen de tilføres spres videre i delsektorene, f.eks ved avholdelse av kurs og temamøter, dialog med aktører og ledelse, deltakelse i prosjekter osv. Kursene gjennomføres i samarbeid med vertskommuner, regionale helseforetak, fagorganisasjoner (f.eks NTF) og andre interessenter - Deltakere som har gjennomført fagkurs bør følges opp, og man bør være bevisst at disse kan være en «kompetansebase» for informasjonssikkerhet i delsektorene. Personell som har roller innen bl.a følgende områder: - Databehandlingsansvarlig ledergruppen (deltakere i Ledelsens gjennomgang) - Helsepersonell/administrativt personell i mellomlederstillinger - IKT - Informasjonssikkerhet - Personvernombud - Juridisk - Innkjøp - Medisinsk teknikk - Kvalitet - Internrevisjon - EPJ-systemeierskap og forvaltning - Opplæring 3.3.2 Normkonferansen - Etablere en møteplass - - for erfaringsbasert videreutvikling av Normen. - Norm-konferansen avholdes årlig. 6
- Målgruppe tilpasses avhengig av tema som behandles, men skal bestå av brukere, leverandører og myndigheter 3.3.3 Pasient- og brukerombud - Avholde kurs for pasient- og brukerombudene som har en direkte rolle i å arbeide for gode vilkår for pasienter og brukere av helse- og sosialtjenester. Av denne grunn bør ombudene ha kompetanse om Normen. - Pasient- og brukerombudene 3.3.4 Foredragsvirksomhet på IT-, sikkerhets-, helse- og sosialfaglige konferanser og samlinger - Avholde innlegg på etablerte konferanser - Avholde innlegg på nettverkssamlinger, møter osv. - Ledelsen i mellomstore og store virksomheter i sektoren - Sikkerhetsleder/-koordinator og IKT-ansvarlig - Ansvarlig i mindre virksomheter - Helsepersonell - Leverandør 3.3.5 Undervisningsinstitusjoner - Få Normen inn som tema/fag i etablerte studier på høyskoler og universiteter - Det antas hele Normen er relevant i opplæringen - Helsepersonell - IKT-faglig personell 3.3.6 E-læring - Etablere e-læring for å spre kunnskap om Normen. Tiltaket skal skje i samarbeid med organisasjoner i sektoren, f.eks profesjonsorganisasjonene. - Helsepersonell/fagarbeider - Ledere av virksomheter, databehandlingsansvarlige 7
3.3.7 Kurs / seminarer i Normen - Avholde temaspesifikke kurs (for eksempel tilgangsstyring i EPJ, fjernaksess, hendelsesregistrering {logging}) - Avholde temaspesifikke seminarer, f.eks lanseringsseminarer for nye dokumenter eller om relevante tema (f.eks helseopplysninger i skyen, informasjonssikkerhet ved velferdsteknologi osv) o Seminarer kan være åpne, eller etter invitasjon - Sikkerhetsleder/-koordinator og IKT-ansvarlig - Leverandør 8