Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde UNINETT-konferansen 2017 24.10.17 Jan Gunnar Broch Direktoratet for e-helse, sekretariatet for Normen Side 1
Myndighet Sørge for nasjonal styring og koordinering Nasjonale e-helseløsninger Få på plass og forvalte digitale løsninger som forbedrer og forenkler
Informasjonssikkerhet i helse- og omsorgssektoren 3
Informasjonssikkerhet/ IT-sikkerhet Helse - K I T Tilgjengelighet Integritet Konfidensialitet Fra vår «Spørsmål og svar»-tjeneste Undertegnede er pårørende til pasient med alvorlige kognitive svekkelser. ( ) på sykehjem. Det er kommet forespørsel fra avdelingen om tillatelse til å legge ut bilder på institusjonens «Hva er det verste som kan skje? Det kan skje verre ting med journalen din enn at at uvedkommende får innsyn i den. Det mener kronikkforfatteren, som til daglig arbeider i Nasjonal sikkerhetsmyndighet.» Roar Thon, Fagbladet Journalen facebookside. ( ) usikker på hvordan vi som pårørende skal forholde oss til at kommunehelsetjenesten bruker en åpen facebookside for en gruppe svært sårbare mennesker som ikke selv kan gi samtykke til, eller avslå, at det legges ut bilder av dem, og ikke vurdere om taushetsplikten brytes. ( ) 4
Norm for informasjonssikkerhet i helseog omsorgssektoren 5
Utvikling og styring Bransjenorm Utviklet og vedlikeholdes av styringsgruppe fra sektoren Sekretariat fra Direktoratet for e-helse og Norsk Helsenett Referansegrupper med deltakere fra sektoren og utenfor som har relevant input Myndigheter Profesjonsorganisasjoner Offentlig tjenesteyting Lovtolkende myndigheter 6
Styringsgruppen Nasjonalt nivå Andre helsemyndigheter 428 Kommuner Lokalt/ regionalt nivå Avtalespesialister og institusjoner Avtalespesialister og institusjoner Avtalespesialister og institusjoner Avtalespesialister og institusjoner 4.200 Fastleger Kommunale og interkommunale IKT funksjoner Profesjonsorganisasjone r Leverandørmarkedet KommIT 7
Norm for informasjonssikkerhet Bindende gjennom tilknytningsavtale med NHN Styrende del Gjennomførende del Kontrollerende del Veiledere Faktaark Ikke bindende Normen ( Code of conduct ) og en del faktaark / veiledere er oversatt til engelsk 8
Eksempler veiledere og faktaark Veileder for informasjonssikkerhet og personvern medisinsk utstyr Veileder for legekontor Veileder for sosiale media Veileder for skytjenester Faktaark 6b - Sikkerhetsrevisjon Faktaark 10 - Bruk av databehandler Faktaark 29 - Hjemmekontor Faktaark 38 - Sikkerhetskrav for systemer 9
Suksessfaktorer og utfordringer Suksessfaktorer Bindende ved kontrakt Timingen var rett Alle interessenter er representert Praktiske beste-praksis råd Sektor-spesifik veiledning En arena for sikkerhets- og personvernspørsmål Utfordringer Fragmentert og uensartet sektor forskjellige behov Mange dokumenter må oppdateres og revideres Lese-/brukervennlighet Strengere enn loven? I partnerskap med lovgivende myndigheter Forenkler, og gjør komplisert lovverk tilgjengelig Side 11
Andre aktiviteter i regi av Normen November 2017 Scandic Fornebu Nyhetsbrev 4 ganger årlig Påmelding www.normen.no Q&A epost sikkerhetsnormen@ehelse.no Kurs og foredrag Kurs Konferanser Foredrag www.normen.no Alle dokumentene Nyheter Om Normen Sosiale medier Normen på FB @Normen_no
13
Normen og GDPR Artikkel 32 Sikkerhet ved behandlingen Idet det tas hensyn til det tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene «Overholdelse av varierende av godkjente sannsynlighets- og alvorlighetsgrad atferdsnormer for fysiske som nevnt personers i artikkel rettigheter 40 og friheter, eller en skal godkjent den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske sertifiseringsmekanisme tiltak for å oppnå som et sikkerhetsnivå nevnt i som er egnet artikkel i forhold 42 kan til risikoen, brukes herunder som en blant faktor annet, for alt etter hva som er relevant, ( ) å påvise at kravene i nr. 1 i denne artikkel er oppfylt» 25. mai 2018 Personopplysningsforskriften oppheves Side 14
Normen og forordningen Større fokus på atferdsnormer i GDPR Etterlevelse av atferdsnorm som virkemiddel for å vise at man følger kravene i GDPR Normens innhold Normens «organisering» og rolle som rettskilde Vil bli endringer i Normens krav Forordningen legger ikke føringer på Normens innhold Eks. på spørsmål av særlig betydning: Personopplysningsforskriften blir borte hvor mye av POF skal vi ta inn i Normen? Kommer det ny sektorregulering av informasjonssikkerhetskrav? Bransjenormer under forordningen skal gi fordeler for virksomhetene som tilslutter seg bransjenormen Bransjenormer under forordningen må ha mekanismer for oppfølging av etterlevelse Normen skal godkjennes av Datatilsynet (og kanskje av EU) 15
To måter Normen bidrar til å håndtere trusselbildet i sektoren på Sikkerhetsmål og akseptkriterier i Normen («baseline») Konfidensialitet Integritet Tilgjengelighet Tiltak rettet mot målgrupper / informasjonsbehandlinger der det er identifisert høy risiko Side 16
Målrettede tiltak mot spesifikke målgrupper Eksempel: Slik Normen har arbeidet mot de medisinsk-tekniske miljøene Definere målgruppe Ut fra behov og risiko Bestemme virkemidler Utarbeide veiledningsmateriell Faktaark Veileder Kompetansespredning Lanseringsseminar? Kurs? Presentere i bransjefora / konferanser Referansegruppe / ressursnettverk Side 17
«GE-saken» 28.11.2017 18 Side 18
Riksrevisjonens selskapskontroll 2014 Sak 3: Helseforetakenes ivaretakelse av informasjonssikkerhet i medisinsk-teknisk utstyr Hovedfunn: Helseforetakene stiller ikke tilstrekkelige krav om informasjonssikkerhet i avtaler med leverandører av medisinsk-teknisk utstyr og har mangelfull oppfølging av leverandører. Helseforetakene har mangelfull oversikt over risiko knyttet til informasjonssikkerhet i medisinsk-teknisk utstyr. Det er uklare ansvarslinjer for informasjonssikkerhet i medisinsk-teknisk utstyr internt i helseforetakene og mellom helseforetakene og de regionale it-enhetene. Side 20
Normens arbeid med informasjonssikkerhet og medisinsk utstyr Utviklet egen veileder for informasjonssikkerhet og medsinsk utstyr i 2015 Kurs basert på Normens veileder i alle regioner i 2017 Samarbeid med med.tek avdelinger, Normsekretariatet og HelseCERT Flere regioner arbeider med risikovurderinger av MTU, standardiserte kravsett og databehandleravtaler Side 21
Takk for meg! jan.gunnar.broch@ehelse.no Normen www.normen.no/ www.ehelse.no