Informasjonssikkerhet ved bruk av private leverandører Tillegg til tildelingsbrev nr. 4

Like dokumenter
Tillegg til tildelingsbrev nr 4 - Informasjonssikkerhet ved bruk av private leverandører

Informasjonssikkerhet ved bruk av private leverandører i helse- og omsorgstjenesten

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Arkivsystemer med skyløsninger

Styret Helse Sør-Øst RHF 14. desember 2017

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

STYRESAK. DATO: SAKSBEHANDLER: Brad Folsom SAKEN GJELDER: Informasjonssikkerhet i Helse Stavanger HF ARKIVSAK: 18/2 STYRESAK: 52/18

Nye personvernregler

Databehandleravtaler. Tommy Tranvik Unit

Hva gjør så KiNS og KS med GDPR?

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

Helse- og omsorgsdepartementet St.meld. nr Samhandlingsreformen

KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Har du kontroll på verdiene dine

EUs nye forordning for personvern

Styret Sykehuspartner HF 6. desember 2017 OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31. MAI 2017

Nytt fra Helse- og omsorgsdepartementet

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

Nye personvernregler

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

Ny styringsmodell for informasjonssikkerhet og personvern

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Perspektiver og planer ved Universitetet i Oslo

HVEM ER JEG OG HVOR «BOR» JEG?

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

Digital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Ny sikkerhetslov og forskrifter

Standarder for risikostyring av informasjonssikkerhet

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Personvernforordningen og utfordringer i dagens helsetjeneste

Sikkerhet og personvern i skole og klasserom

Norm for informasjonssikkerhet i helse og omsorgstjenesten

Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern

Nasjonal strategi for ehelse. Christine Bergland Divisjonsdirektør ehelse og IT Helsedirektoratet

Notat. Til Dato Saksnr. Nærings- og fiskeridepartementet / Direktorat for e-helse Mona Holsve Ofigsbø Christine Bergland

Strategi for Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten

Sammendrag - Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie

Prosjektmandat. IT i nye Moss kommune. Delprosjektleder: Skal rekrutteres. Planlagt startdato: Planlagt sluttdato:

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

EUs nye forordning for personvern

Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10.

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Advokat Arve Føyen Advokatfirmaet FØYEN Torkildsen

Norm for Informasjonssikkerhet i Helsesektoren. Tor Ottersen

Noen utvalgte faktaark og veiledere, og medisinsk avstandsoppfølging

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Databehandleravtaler m.m. etter GDPR

Om fem år er hele NAV i skyen. 18. juni 2019 // Petter Hafskjold, sjefarkitekt IT

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Saksframlegg Referanse

Styret Sykehuspartner HF 15. november 2017 OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31. MAI 2017

Informasjonssikkerhet i Norge digitalt Teknologiforum

IKT-infrastrukturmodernisering i Helse Sør-Øst Styresak september 2016 Cathrine M. Lofthus

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Lysneutvalget

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Felles grunnmur for digitale tjenester. Sikkerhetsinfrastruktur Normkonferansen 2017

GDPR-status fra en kommune

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Strategi for Informasjonssikkerhet

Nytt i Normen Normkonferansen Aasta M. Hetland Jan Gunnar Broch Sekretariatet for Normen

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL. Åpent kurs oktober 2018

Regnskap- og oppdragssystemer

SIKKER SKY. Skyseminar Difi Lars Strand Dag Sandham NSM

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Saksframlegg Referanse

Digitaliseringsstrategi

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Forvaltningsrevisjon IKT sikkerhet og drift 2017

«Én innbygger en journal»

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Styret Helse Sør-Øst RHF 16. november 2017

Referansearkitektur sikkerhet

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Difis veiledningsmateriell, ISO og Normen

Styret Sykehuspartner HF 21. mars 2018 OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31. MAI 2017

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Digitaliseringsstrategi

Norm for Informasjonssikkerhet - Tor Ottersen

Tjenesteutsetting Dine data i andres hender. Ernst Unsgaard Seniorrådgiver, Strategisk Cybersikkerhet ikins,stavanger

HVORDAN FORANKRE ARBEIDET MED «ORDEN I EGET HUS» OG HVORDAN I PRAKSIS GJENNOMFØRE DET I KOMMUNENE?

Risikobasert arbeid med personvern

Spørreundersøkelse om informasjonssikkerhet

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø,

Digitalt førstevalg hvordan skape eierskap. Evry Insight 29. mai 2018 Kristin Weidemann Wieland, Kommunaldirektør

Nye personvernregler

Transkript:

Informasjonssikkerhet ved bruk av private leverandører Tillegg til tildelingsbrev nr. 4 Hvordan sikre at krav til informasjonssikkerhet etterleves ved bruk av private IKT-leverandører? IKT Norge 1. desember 2017

Oppdrag fra Helse- og omsorgsdepartementet (HOD) 1. Identifisere og foreslå gode rutiner for å sikre at de til enhver tid gjeldende krav til informasjonssikkerhet ved bruk av private leverandører etterleves. 2. Utarbeide en overordnet status for bruk av nasjonale og internasjonale leverandører av tjenester som kontinuerlig eller episodisk arbeider inn mot virksomhetens datasystemer og under hvilke betingelser dette skjer. 3. Utarbeide et sett med kriterier eller betingelser som bidrar til at denne formen for tjenester skjer på en ansvarlig måte og i tråd med de til enhver tid gjeldende krav. 4. Vurdere om det er tjenester som ikke bør overlates til private underleverandører. Dette omfatter å se på hvilke situasjoner og hvordan det eventuelt bør og kan skilles mellom norske, EØS-baserte og globale underleverandører, herunder behovet for å se på forholdet mellom helsetjenesten og sikkerhetsloven. Side 2

Prosjektgjennomføring Dialogseminar med ulike grupper Hovedaktørene Kompetansemiljøene IKT-næringen Fag- og pasientorganisasjoner. Informasjonsinnhenting Spørreskjema til hovedaktører Andre aktører bedt om relevante innspill Møter med utvalgte aktører i sektoren (NSM, Datatilsynet) Innspill fra andre sektorer (Telenor, Statoil, Finanstilsynet) Side 3

Følgende aktører har deltatt i prosessen Hovedaktørene RHFene inkludert HFer Andre helsetjenesteaktører som behandler pasientinformasjon FHI, Pasientreiser, HDO, NHN, Fastleger, samt Sykehusinnkjøp og Nasjonal IKT. Kompetansemiljøene NSM, Datatilsynet, DIFI, DSB, NKOM, Center for Cyber and Information Security (CCIS), IKT-næringen Bransjeforeninger: Abelia, IKT Norge, Medtek Norge IKT leverandører: Microsoft, IBM, DXC, Evry, Sopra Steria, Roche Diagnostic, Vingmed, B. Braun Medical, Medtronic, Philips, Alere Fag- og pasientorganisasjoner Legeforening, Tannlegeforeningen, Psykologforeningen, Sykepleierforeningen, Norsk Tjenestemanslag, Fagforbundet, Tekna, Nito, Diabetesforbundet Side 4

Prosjekt avgrensning tilgang pasientinformasjon Omfatter: Basisdrift Applikasjonsdrift Applikasjonsforvaltning Applikasjonsutvikling/innføring (der man kan få tilgang til pasientinformasjon) IT-løsninger og medisinsk-teknisk utstyr Både store tjenesteleveranser og mindre tidsavgrensete tjenesteleveranser Sikkerhetsvurderinger som følger av endret risikobilde ved bruk av private leverandører Omfatter ikke: Generell sikkerhet Intern tilgangsstyring Side 5

Bruk av private leverandører kort om kartlegging Basisdrift og applikasjonsdrift De fleste aktørene drifter sine egne løsninger, bortsett fra fastlegene som bruker private leverandører til de fleste IKT-oppgaver Applikasjonsforvaltning, -utvikling og -innføring De fleste aktørene i stor grad bistand fra private leverandører, med noen få unntak. Ikke total tjenesteutsetting Medisinsk-teknisk Leveres av private leverandører og disse utfører support og vedlikehold på utstyret via fjernaksess eller fysisk tilstedeværelse. Skytjenester Brukes i dag i veldig begrenset omfang, men det forventes at både tilbudet, behovet og ønsket om bruk av skyløsninger raskt vil øke. Private leverandørers ansatte vil i arbeidet få tjenestemessig nødvendig tilgang til pasientinformasjon. Side 6

Bruk av private leverandører virksomhetene må balansere: Sikre god og reell ledelsesforankring Tilstrekkelig kompetanse Gevinster: kapasitet og kompetanse bedre sikkerhet (gjennom profesjonelle aktører) mer stabile og tilgjengelige tjenester lavere og mer forutsigbare kostnader bidra til bedre prioritering Helhetlig risikostyring av virksomhetens kjerneområder. Basert på Stortingsmelding nr. 38 (2016 2017) IKT-sikkerhet Et felles ansvar Side 7

Juridiske vurderinger Ansvar for informasjonssikkerhet og behandling av personopplysninger Det er den databehandlingsansvarlige som må sørge for å ivareta forsvarlig informasjonssikkerhet. Databehandlingsansvaret ligger hos ledelsen av virksomheten. Om bruk av private leverandører I gjeldene rett er det ikke noe forbud mot at norske virksomheter benytter nasjonale eller utenlandske, private leverandører fra EU/EØS-området. Ved bruk av globale leverandører (utenfor EU/EØS) er det særskilte krav som må oppfylles. Anskaffelsesrettslige forhold Anskaffelsesregelverket legger ikke noen generelle begrensninger på hvor produkter og tjenester kan anskaffes fra. Anskaffelser skal som hovedregel kunngjøres til hele det indre marked (EU/EØS). Anskaffelsesregelverket er heller ikke til hinder for bruk av leverandører utenfor EU/EØS. Forhold mellom sikkerhetsloven og helsetjenesten. Forholdet mellom sikkerhetsloven og helsetjenesten er et område i bevegelse. Det er nylig innført endringer i sikkerhetsloven og forslag til ny sikkerhetslov er fremmet for Stortinget. Ny personopplysningslov og EUs personvernforordning (GDPR) Forordningen bidrar til harmonisering av personvernreglene i EU/EØS og vil gjelde som lov i Norge. Det er ett av formålene med forordningen å skape et felles regelverk for personvern i hele det indre marked. Side 8

Tjenester som ikke bør overlates til private leverandører Nasjonal sikkerhetsmyndigheters generelle innspill Tjenesteutsetting av IKT-tjenester til profesjonelle aktører vil kunne gi bedre sikkerhet og mer stabile og tilgjengelige tjenester, lavere og mer forutsigbare kostnader og i større grad bidra til bedre fokus om virksomhetens kjerneaktivitet. Tjenesteutsetting medfører økt sikkerhetsrisiko på grunn av redusert kontroll på stadig mer komplekse verdikjeder. Virksomheter må aktivt etablere organisatoriske, prosessuelle, tekniske og juridiske sikringstiltak. Tjenesteutsetting krever gode risikovurderinger og høy bestillerkompetanse. Nasjonal sikkerhetsmyndighet er bekymret for at konsolidering av store mengder nasjonale data ikke gjennomføres med nødvendig verdi- og risikovurdering. En risikovurdering med hensyn på sikring bør bygge på en verdivurdering, en trusselvurdering og en sårbarhetsvurdering. Side 9

.. Tjenester som ikke bør overlates til private leverandører Direktoratet for e-helses vurdering Direktoratet for e-helse mener at det ikke er grunnlag for å konkludere med at noen typer tjenester aldri kan overlates til private leverandører Det må i hvert tilfelle foretas en risikovurdering av alle tjenester som kan gi tilgang til pasientinformasjon. Direktoratet for e-helse mener at helse- og omsorgssektoren i en slik vurdering må ha en relativt lav risikoappetitt Ved vurdering av land skal må man gjøre en grundig landrisikovurdering, og spesielt gjelder dette for land utenfor EU/EØS-området hvor særskilte krav må oppfylles. Det anbefales at landrisikovurderingen dekker forhold som er relevante for den enkelte sak og at den også omfatter forhold som for eksempel det konkrete miljøet og kulturen hos tjenesteyter. Risikovurdering og varsling etter sikkerhetsloven 29 a om kritisk infrastruktur må gjennomføres der det er relevant, og må i alle tilfeller vurderes ved større IKT-prosjekter. Side 10

Viktige tiltak og forbedringsområder Virksomhetene i sektoren God og reell ledelsesforankring og styring Virksomheten må ha en helhetlig styringsmodell med klarhet i ansvar- og roller knyttet til informasjonssikkerhet, herunder forholdet til private leverandører Helhetlig risikovurdering Når tjenester overlates til private leverandører må det foretas en helhetlig risikovurdering slik at den totale risikoen kommer frem og rapporteres til ledelsen. Risikovurdering og tiltak må ta høyde for de begrensinger som finnes i nåværende eldre og komplekse tekniske løsninger. Behov for kompetanse Virksomheten må ha tilstrekkelig kompetanse for å ivareta sitt ansvar for informasjonssikkerhet og personvern når private leverandører benyttes. Bestillerkompetansen må være god i alle faser Side 11

Ledelse og forankring Kriterier: Virksomheten må ha en helhetlig styringsmodell med klarhet i ansvar og roller knyttet til informasjonssikkerhet som også dekker bruk av private leverandører. Styringsmodellen må ta høyde for nye behov og krav som oppstår ved bruk av private leverandører. Styringsmodellen må dekke leverandørstyring fra anskaffelse til avtalen er avsluttet. Ved bruk av store og internasjonale leverandører stiller dette andre krav til leverandørstyring. Disse har også sine egne styringsmodeller som man må forholde seg til og som må kontraktfestes. Virksomhetens styre og ledelse skal jevnlig oppdateres på status for informasjonssikkerhet og personvern. Som hovedregel bør styret og ledelse involveres i tilfeller som gjelder bruk av private leverandører og/eller utkontraktering av et visst omfang Side 12

Risikostyring Kriterier: Risikostyring må omfatte alle faser fra anskaffelse til avtalen er avsluttet, og må startes på et tidlig stadium. Risikovurderinger må revideres og oppdateres ved endringer. De som utfører risikovurderingene må ha riktig kompetanseprofil og ha en tydelig eskaleringsvei til ledelsen/styret. Risikovurderingen har et mandat/omfang som er dekkende nok Virksomheten har oversikt og dokumentasjon på hvordan de ulike komponentene som inngår i verdikjeden henger sammen fra egen infrastruktur til underleverandører. Man må forstå hvilke deler som vil berøres av de tjenestene som den private leverandøren skal utføre. Etter at risikovurderingen er foretatt, foreligger det en formelt godkjent plan for risikohåndtering/risikoaksept og oppfølging av tiltak. Resultater fra risikovurderingen, risikohåndteringsplan og plan for oppfølging av tiltak er kommunisert på rett detaljnivå til overordnet ledelse og styret. Side 13

Momenter som bør besvares i risikovurderingen Vil leverandøren kunne få tilgang til pasientinformasjon? Hvilken type pasientinformasjon gjelder det (sensitive/ikke-sensitive opplysninger) Omfang på tilgang og i hvilke situasjoner? Hvordan begrense tilgang til kun de områder som er nødvendig og for angitt formål og tidsperiode? Hvordan er tilgangsstyringen sikret for tidsperioden hvor tilgang må gis? Hvordan er pasientinformasjon sikret (For eksempel kryptering og signering, anonymisering, aggregering og pseudonymisering)? Hvordan kan man spore hva leverandøren har utført og hatt tilgang til? Hvordan oppdage eventuelle avvik (For eksempel logging av tilganger til tekniske løsninger, dataelementer og verktøystøtte for håndtering av hendelser og endringer, samt konfigurasjonsstyring)? Hvor gode er leverandørens interne kontrollrutiner? Hvor komplekst er aktørbildet (løsninger, produkter, aktører, underleverandører, verdikjeder)? Jurisdiksjon hvilke land befinner personer i, som kan komme til å få tilgang til pasientinformasjon eller hvor lagres disse data? Hvordan håndteres driftsavbrudd og kriseberedskap? (Spesielt relevante tema dersom leverandøren har ansvaret for en tjeneste av viss kritikalitet) Side 14

Viktige tiltak og forbedringsområder Virksomhetene i sektoren Side 15

Viktige tiltak og forbedringsområder Gjennomføres sentralt (1) Avklaring av databehandlingsansvar mellom regionale helseforetak og helseforetak Databehandlingsansvaret ligger i dag på den enkelte virksomhet, som for eksempel et helseforetak. Dette skaper uklarhet i styring og ansvar ved anskaffelser og innføring av regionale løsninger i et helseforetak eller løsninger på tvers av sektoren. Det må utredes om databehandlingsansvaret slik det er i dag er forenlig med strategier for etablering av fellesløsninger i helse- og omsorgssektoren. Det er viktig å få gjennomført dette arbeidet så raskt som mulig, da dagens kompliserte ansvarsforhold påvirker og forsinker arbeidet med digitalisering i helsesektoren. Side 16

Viktige tiltak og forbedringsområder Gjennomføres sentralt (2) Oppdatering av Normen Følgende oppdateringer av Norm for informasjonssikkerhet i helse- og omsorgssektoren må prioriteres for at Normen kan bli et bedre verktøy tilpasset alle brukergruppene: Forenkling Tilpasning til GDPR (igangsatt) Oppdatere rutiner og maler for å understøtte komplekse leverandørstrukturer og leveransmodeller (erfaring andre sektorer) Rutiner for helthetlig risikostyring Standardiserte databehandleravtaler Kompetanseheving innen IKT-sikkerhet og risikovurdering på styre og ledelsesnivå Det anbefales etablering av et forum for å etablere beste praksis i bransjen for kompetanseheving og sikkerhetskultur. Side 17

Viktige funn, tiltak og forbedringsområder Øvrige funn: Veiledningsmateriale rundt Sikkerhetsloven 29 a, som omhandler varslingsplikt og myndighet til å fatte vedtak ved anskaffelser til kritisk infrastruktur Økt bruk av velferdsteknologi Behov for vurdering av sertifisering, selvdeklarering og attestasjon av leverandører, løsninger eller MTU Avklare omfang av særnorske krav rundt behandling av pasientinformasjon Vurdere om en kartlegging skal gjøres for kommunesektoren Side 18

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding