Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

Like dokumenter
INFORMASJONSSIKKERHET

KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL. Åpent kurs oktober 2018

KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL

REGIONALT KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL. Åpent kurs mars 2018

Nytt i Normen Normkonferansen Aasta M. Hetland Jan Gunnar Broch Sekretariatet for Normen

Frist for innspill: 1. november Mottaker etter liste

Strategi for Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Nytt fra departementet

EPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE. Informasjonssikkerhet Jan Gunnar Broch PMU 2018

Digital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland

Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Normkonferansen 15. oktober Nytt i Normen

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Krav til informasjonssikkerhet i nytt personvernregelverk

Noen utvalgte faktaark og veiledere. Åpent kurs

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

LÆRINGS- og GJENNOMFØRINGSPLAN

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Innsatsområder nasjonalt nivå i helsetjenesten Nasjonalt meldingsløft Kjernejournal Helsepolitiske mål E-resept Helseportal Helseregistre EPJ Velferds

Norm for Informasjonssikkerhet - Tor Ottersen

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

STRATEGI. for. Norm for informasjonssikkerhet

Hacking av MU - hva kan Normen bidra med?

Normens krav og anbefalinger fra kravspek til innføringsprosjekt. 31. oktober 2018

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Personopplysningsvern med ProFundo som databehandler

Noen utvalgte faktaark og veiledere. Åpent kurs 15. mars 2018

Risikobasert etterlevelse av pvf

Bruk av databehandler (ekstern driftsenhet)

Sikkerhetskulturarbeidet i helsesektoren. Seniorrådgiver Jan Gunnar Broch, Helsedirektoratet

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Strategi for informasjonssikkerhet i helse- og omsorgssektoren

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

HVEM ER JEG OG HVOR «BOR» JEG?

Internkontroll og informasjonssikkerhet lover og standarder

Kan du legge personopplysninger i skyen?

STRATEGI FOR NORMENS KURS- OG KOMPETANSEVIRKSOMHET

Norm for informasjonssikkerhet i helsesektoren

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

Noen utvalgte faktaark og veiledere, og medisinsk avstandsoppfølging

Norm for informasjonssikkerhet i helse og omsorgstjenesten

Personvernforordningen og utfordringer i dagens helsetjeneste

Retningslinjer for databehandleravtaler

Oversiktstabell for faktaark, veiledere og kurs til Normen

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

HVORDAN SØRGE FOR ETTERLEVELSE AV SIKKERHETSKRAVENE I GDPR?

Informasjonsstrategi med overordnet handlingsplan. for Normen. i perioden 2015 til 2017

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Sundheds- og Ældreudvalget SUU Alm.del Bilag 406 Offentligt. Velkommen! Roar Olsen, divisjonsdirektør Strategi

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Databehandleravtale. Charlotte Lindberg Difi

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10.

Ansvar og organisering

Databehandleravtale for NLF-medlemmer

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

LÆRINGS- og GJENNOMFØRINGSPLAN

Styret Helse Sør-Øst RHF 14. desember 2017

Kommunens Internkontroll

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

Databehandleravtaler og GDPR. Kristin Lyng Kategorileder Anskaffelser / Delprosjektleder i Skatteetatens GDPR-prosjekt 6 september 2018

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Bruk av databehandler (ekstern driftsenhet)

Normens veileder for Informasjonssikkerhet og personvern - medisinsk utstyr. Åpent med.tek. kurs 30. oktober 2018

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo

Nytt fra Helse- og omsorgsdepartementet

Norm for Informasjonssikkerhet i Helsesektoren. Tor Ottersen

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Nye personvernregler (GDPR)

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Bilag 14 Databehandleravtale

Har du kontroll på verdiene dine

Krav til informasjonssikkerhet

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Databehandleravtaler. Tommy Tranvik Unit

Veileder i bruk av sosiale medier

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren

Informasjonssikkerhet - Innføring velferdsteknologi Agder. KiNS-konferanse Stavanger juni 2019

Norm for informasjonssikkerhet Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Transkript:

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde UNINETT-konferansen 2017 24.10.17 Jan Gunnar Broch Direktoratet for e-helse, sekretariatet for Normen Side 1

Myndighet Sørge for nasjonal styring og koordinering Nasjonale e-helseløsninger Få på plass og forvalte digitale løsninger som forbedrer og forenkler

Informasjonssikkerhet i helse- og omsorgssektoren 3

Informasjonssikkerhet/ IT-sikkerhet Helse - K I T Tilgjengelighet Integritet Konfidensialitet Fra vår «Spørsmål og svar»-tjeneste Undertegnede er pårørende til pasient med alvorlige kognitive svekkelser. ( ) på sykehjem. Det er kommet forespørsel fra avdelingen om tillatelse til å legge ut bilder på institusjonens «Hva er det verste som kan skje? Det kan skje verre ting med journalen din enn at at uvedkommende får innsyn i den. Det mener kronikkforfatteren, som til daglig arbeider i Nasjonal sikkerhetsmyndighet.» Roar Thon, Fagbladet Journalen facebookside. ( ) usikker på hvordan vi som pårørende skal forholde oss til at kommunehelsetjenesten bruker en åpen facebookside for en gruppe svært sårbare mennesker som ikke selv kan gi samtykke til, eller avslå, at det legges ut bilder av dem, og ikke vurdere om taushetsplikten brytes. ( ) 4

Norm for informasjonssikkerhet i helseog omsorgssektoren 5

Utvikling og styring Bransjenorm Utviklet og vedlikeholdes av styringsgruppe fra sektoren Sekretariat fra Direktoratet for e-helse og Norsk Helsenett Referansegrupper med deltakere fra sektoren og utenfor som har relevant input Myndigheter Profesjonsorganisasjoner Offentlig tjenesteyting Lovtolkende myndigheter 6

Styringsgruppen Nasjonalt nivå Andre helsemyndigheter 428 Kommuner Lokalt/ regionalt nivå Avtalespesialister og institusjoner Avtalespesialister og institusjoner Avtalespesialister og institusjoner Avtalespesialister og institusjoner 4.200 Fastleger Kommunale og interkommunale IKT funksjoner Profesjonsorganisasjone r Leverandørmarkedet KommIT 7

Norm for informasjonssikkerhet Bindende gjennom tilknytningsavtale med NHN Styrende del Gjennomførende del Kontrollerende del Veiledere Faktaark Ikke bindende Normen ( Code of conduct ) og en del faktaark / veiledere er oversatt til engelsk 8

Eksempler veiledere og faktaark Veileder for informasjonssikkerhet og personvern medisinsk utstyr Veileder for legekontor Veileder for sosiale media Veileder for skytjenester Faktaark 6b - Sikkerhetsrevisjon Faktaark 10 - Bruk av databehandler Faktaark 29 - Hjemmekontor Faktaark 38 - Sikkerhetskrav for systemer 9

Suksessfaktorer og utfordringer Suksessfaktorer Bindende ved kontrakt Timingen var rett Alle interessenter er representert Praktiske beste-praksis råd Sektor-spesifik veiledning En arena for sikkerhets- og personvernspørsmål Utfordringer Fragmentert og uensartet sektor forskjellige behov Mange dokumenter må oppdateres og revideres Lese-/brukervennlighet Strengere enn loven? I partnerskap med lovgivende myndigheter Forenkler, og gjør komplisert lovverk tilgjengelig Side 11

Andre aktiviteter i regi av Normen November 2017 Scandic Fornebu Nyhetsbrev 4 ganger årlig Påmelding www.normen.no Q&A epost sikkerhetsnormen@ehelse.no Kurs og foredrag Kurs Konferanser Foredrag www.normen.no Alle dokumentene Nyheter Om Normen Sosiale medier Normen på FB @Normen_no

13

Normen og GDPR Artikkel 32 Sikkerhet ved behandlingen Idet det tas hensyn til det tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene «Overholdelse av varierende av godkjente sannsynlighets- og alvorlighetsgrad atferdsnormer for fysiske som nevnt personers i artikkel rettigheter 40 og friheter, eller en skal godkjent den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske sertifiseringsmekanisme tiltak for å oppnå som et sikkerhetsnivå nevnt i som er egnet artikkel i forhold 42 kan til risikoen, brukes herunder som en blant faktor annet, for alt etter hva som er relevant, ( ) å påvise at kravene i nr. 1 i denne artikkel er oppfylt» 25. mai 2018 Personopplysningsforskriften oppheves Side 14

Normen og forordningen Større fokus på atferdsnormer i GDPR Etterlevelse av atferdsnorm som virkemiddel for å vise at man følger kravene i GDPR Normens innhold Normens «organisering» og rolle som rettskilde Vil bli endringer i Normens krav Forordningen legger ikke føringer på Normens innhold Eks. på spørsmål av særlig betydning: Personopplysningsforskriften blir borte hvor mye av POF skal vi ta inn i Normen? Kommer det ny sektorregulering av informasjonssikkerhetskrav? Bransjenormer under forordningen skal gi fordeler for virksomhetene som tilslutter seg bransjenormen Bransjenormer under forordningen må ha mekanismer for oppfølging av etterlevelse Normen skal godkjennes av Datatilsynet (og kanskje av EU) 15

To måter Normen bidrar til å håndtere trusselbildet i sektoren på Sikkerhetsmål og akseptkriterier i Normen («baseline») Konfidensialitet Integritet Tilgjengelighet Tiltak rettet mot målgrupper / informasjonsbehandlinger der det er identifisert høy risiko Side 16

Målrettede tiltak mot spesifikke målgrupper Eksempel: Slik Normen har arbeidet mot de medisinsk-tekniske miljøene Definere målgruppe Ut fra behov og risiko Bestemme virkemidler Utarbeide veiledningsmateriell Faktaark Veileder Kompetansespredning Lanseringsseminar? Kurs? Presentere i bransjefora / konferanser Referansegruppe / ressursnettverk Side 17

«GE-saken» 28.11.2017 18 Side 18

Riksrevisjonens selskapskontroll 2014 Sak 3: Helseforetakenes ivaretakelse av informasjonssikkerhet i medisinsk-teknisk utstyr Hovedfunn: Helseforetakene stiller ikke tilstrekkelige krav om informasjonssikkerhet i avtaler med leverandører av medisinsk-teknisk utstyr og har mangelfull oppfølging av leverandører. Helseforetakene har mangelfull oversikt over risiko knyttet til informasjonssikkerhet i medisinsk-teknisk utstyr. Det er uklare ansvarslinjer for informasjonssikkerhet i medisinsk-teknisk utstyr internt i helseforetakene og mellom helseforetakene og de regionale it-enhetene. Side 20

Normens arbeid med informasjonssikkerhet og medisinsk utstyr Utviklet egen veileder for informasjonssikkerhet og medsinsk utstyr i 2015 Kurs basert på Normens veileder i alle regioner i 2017 Samarbeid med med.tek avdelinger, Normsekretariatet og HelseCERT Flere regioner arbeider med risikovurderinger av MTU, standardiserte kravsett og databehandleravtaler Side 21

Takk for meg! jan.gunnar.broch@ehelse.no Normen www.normen.no/ www.ehelse.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding