Innsatsområder nasjonalt nivå i helsetjenesten Nasjonalt meldingsløft Kjernejournal Helsepolitiske mål E-resept Helseportal Helseregistre EPJ Velferds

Like dokumenter
HVEM ER JEG OG HVOR «BOR» JEG?

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Ot.prp. nr. 51 ( )

Sikkerhetskulturarbeidet i helsesektoren. Seniorrådgiver Jan Gunnar Broch, Helsedirektoratet

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Formidling av pasientinformasjon ny lovgivning (i forbindelse med pasientbehandling) NSH

Endelig kontrollrapport

EPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE. Informasjonssikkerhet Jan Gunnar Broch PMU 2018

Krav til elektronisk meldingsutveksling

Bruk av databehandler (ekstern driftsenhet)

Tilgangskontroll i fugleperspektiv Tilgangskontroll i IT-systemer de fire A-er Administrasjon Autentisering Autorisasjon Audit (etterhåndskontroll) Av

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Normkonferansen 15. oktober Nytt i Normen

IT i helse- og omsorgssektoren Stortingsmelding om ehelse

Tjenesteavtale nr. 9. mellom. Alta kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt

Tjenesteavtale nr. 9. mellom. Berlevåg kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt

Databehandleravtaler

Endelig kontrollrapport

Fagkurs for kommuner Personvern og taushetsplikt (75 minutter)

Bruk av databehandler (ekstern driftsenhet)

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Norm for Informasjonssikkerhet - Tor Ottersen

INFORMASJONSSIKKERHET

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

Strategi for Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten

Sikkerhetskrav for systemer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

STRATEGI. for. Norm for informasjonssikkerhet

Sikkerhetskrav for systemer

Etablering av nasjonal kjernejournal

Pasientjournalloven - endringer og muligheter

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Endelig kontrollrapport

Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10.

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Oversiktstabell for faktaark, veiledere og kurs til Normen

Endelig kontrollrapport

Tjenesteavtale nr 9. mellom. Bardu kommune. Universitetssykehuset Nord-Norge HF. Samarbeid om IKT-Iøsninger lokalt

Samhandlingsreformen IKT i helse- og omsorgssektoren

Kan du legge personopplysninger i skyen?

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Endelig kontrollrapport

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Strategi for informasjonssikkerhet i helse- og omsorgssektoren

Hvis helseregisterloven 13 ikke fantes hva så?: Tilgang til journalopplysninger. trengs

Samhandlingsreformen IKT i helse- og omsorgssektoren

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

LÆRINGS- og GJENNOMFØRINGSPLAN

Avtale om samhandling mellom Dønna kommune og Helgelandssykehuset HF. Tjenesteavtale 9. Samarbeid om IKT-løsninger lokalt

Nytt i Normen Normkonferansen Aasta M. Hetland Jan Gunnar Broch Sekretariatet for Normen

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Tjenesteavtale 9 Samarbeid om IKT-løsninger lokalt

Velkommen. Trondheim, 27. september 2011

Noen utvalgte faktaark og veiledere. Åpent kurs

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Internkontroll og informasjonssikkerhet lover og standarder

Ansvar og organisering

Normens krav og anbefalinger fra kravspek til innføringsprosjekt. 31. oktober 2018

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Sikkerhetskrav for systemer

Databehandleravtale etter personopplysningsloven

Ny pasientjournallov endringer og muligheter

LÆRINGS- og GJENNOMFØRINGSPLAN

PACS IT-sikkerhet i foretakene - ansvar og roller. Trondheim. Helse Nord-Trøndelag HF. Helge Gundersen. IKT-rådgiver / IT-sikkerhetsansvarlig

Samhandlingsreformen og elektronisk samhandling

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato:

Hvordan få tilgang til journalopplysning fra andre virksomheter

LÆRINGS- og GJENNOMFØRINGSPLAN

S WI p2./(s. II 41")-86/ )0 ffi9m. Avtale om samhandling mellom Herøy kommune og Helgelandssykehuset HF

Digital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland

REGIONALT KURS I INFORMASJONSSIKKERHET BASERT PÅ NORMEN FOR MEDISINSK-TEKNISK PERSONELL. Åpent kurs mars 2018

KF Brukerkonferanse 2013

Retningslinjer for pasientrelatert elektronisk meldingsutveksling mellom Oslo kommune og sektorsykehusene Ahus, Diakonhjemmet, Lovisenberg og OUS

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

LÆRINGS- og GJENNOMFØRINGSPLAN

Informasjonsstrategi med overordnet handlingsplan. for Normen. i perioden 2015 til 2017

Retningslinjer for databehandleravtaler

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

FORSLAG TIL FORSKRIFT OM VERKSEMDOVERGRIPANDE, BEHANDLINGSRETTA HELSEREGISTRE I FORMALISERTE ARBEIDSFELLESSKAP - HØYRING

Grunnlaget for elektronisk samhandling og hvordan KITH kan bistå sektoren

Omgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Endelig kontrollrapport

Det skal ikke være lett! Elektronisk sårjournal: Liten brikke i stort spill

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Helsenorge.no. Pia Braathen Schønfeldt, Seniorrådgiver avdeling helseportal, divisjon e-helse og IT

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Samarbeid om IKT- løsninger og elektronisk samhandling

Rutiner for pasientrelatert elektronisk meldingsutveksling mellom kommunene på Romerike, i Follo, Rømskog kommune og Ahus

Ny lov nye muligheter for deling av pasientopplysninger

Lovvedtak 75. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( )

Norm for informasjonssikkerhet

Transkript:

Informasjonsdeling og nettsky-teknologi i helsesektoren Felix konferansesenter, 28. oktober 2011 Norm for informasjonssikkerhet i helse, omsorgs- og sosialsektoren om utveksling av informasjon Jan Gunnar Broch, Helsedirektoratet E-helse hvor er vi? Kort om Normen Normen om utveksling av informasjon 27.10.2011 Normen om utveksling av informasjon 2

Innsatsområder nasjonalt nivå i helsetjenesten Nasjonalt meldingsløft Kjernejournal Helsepolitiske mål E-resept Helseportal Helseregistre EPJ Velferds- og omsorgsteknologi Standardisering og sertifisering Personvern og Informasjonssikkerhet Samhandlingsarkitektur / Felleskomponenter Sikret helsenett 27.10.2011 Normen om utveksling av informasjon 3 27.10.2011 Normen om utveksling av informasjon 4

Hvorfor skal opplysningene sikres? Forholdet mellom helsetjenesten og borgeren - Bygger på tillit - Skaper forventninger - Krever profesjonalitet Det er et lovkrav Vi sikrer helseopplysninger også fordi vi kan bli stilt til ansvar Alminnelige kvalitetskrav Også: Negativ omtale / omdømme 27.10.2011 Normen om utveksling av informasjon 5 27.10.2011 Normen om utveksling av informasjon 6

Hva gir Normen? Verktøy for å etablere tilfredsstillende informasjonssikkerhet Ett regelsett å forholde seg til Tilgjengeliggjør bestemmelser om informasjonssikkerhet og personvern Detaljerer og supplerer gjeldende regelverk Sektorens oppfatning at oppfylles Normens krav, oppfylles gjeldende regelverk vedrørende tilfredsstillende informasjonssikkerhet Skaper tillit Til sektoren Mellom samhandlingspartnere Harmonisering av sikkerhet, vesentlig del av samhandlingsarkitekturen 27.10.2011 Normen om utveksling av informasjon 7 Normen med støttedokumenter Juridisk bindende ved avtale: Normen: Normen ( Code of conduct ) og en del faktaark / veiledere er oversatt til engelsk Veiledende: Støttedokumenter: : Kursmateriell: Veiledere / malverk Faktaark www.normen.no 27.10.2011 Normen om utveksling av informasjon 8

Forvaltning av Normen Styringsgruppen for Normen er bredt sammensatt Sekretariat i Helsedirektoratet Pågående arbeid Selvdeklarering Nye faktaark / veiledere Kravdokument meldingsutveksling sikkerhetsnormen@helsedir.no 27.10.2011 Normen om utveksling av informasjon 9 Kurs og konferanser Vi utvikler kursmateriell rettet mot delsektorer: Kommuner Tannleger Planlagt: apotek, HF Vi utdanner instruktører: Tannhelse (21 instr. har kurset ca 3000 tannleger) Kommunesektoren (ca 600) Årlig Normkonferanse 27.10.2011 Normen om utveksling av informasjon 10

Hva sier Normen om utveksling av informasjon? Meldingsutveksling Helseopplysninger i skyen Bruk av databehandler Normen og nytt lovverk Tilgang på tvers Formaliserte arbeidsfellesskap Kjernejournal Vi slipper å bruke timer i telefonen og vi kan sende av gårde meldinger uansett tid på døgnet Tromsø ligger i landstoppen når det gjelder å ta i bruk elektronisk meldingsutveksling i Helsetjenesten 27.10.2011 Normen om utveksling av informasjon 11 Krav til datakommunikasjon ved meldingsutveksling Definerer ansvar og plikter for Avsender Meldingsformidler Mottaker Hindre utilsiktet utlevering, inntrengning eller skadelig kode Ende- ende kryptering Rett adressering Uavviselighet ved behov Avviksrapportering ved feilsending Avtalt format Kun avlevering til adressat Melding skal ikke endres/ destrueres under transport Melding skal kun kunne leses av avsender og mottaker Avlevering innen avtalte tidsfrister Avviksrapportering Hindre utilsiktet utlevering, inntrengning Ende- ende kryptering Uavviselighet ved behov Avviksrapportering ved feil mottak Avtalt format 27.10.2011 Normen om utveksling av informasjon 12

Minstekrav til meldingsutveksling ` Fagsystem Aktør A 1. Melding 7. Applikasjonskvittering Meldingstjener Helsenettet 2. Melding 3. Transportkvittering 6. Applikasjonskvittering Meldingstjener Aktør B 4. Melding 5. Applikasjonskvittering Initiert av Nasjonalt meldingsløft Blir kravdokument under Normen I overkant av 20 krav innen følgende områder: Grunnkrav Krav til mottak Krav til brukerstøtte Krav til opplæring Krav til risikovurdering Se www.normen.no ` Fagsystem Sertifikater Adressering Kommunikasjonsstandard Innholdsstandarder og forløpstesting Kvitteringsmekanismer 27.10.2011 Normen om utveksling av informasjon 13 Helseopplysninger i nettskyen Behandling av helseopplysninger i nettskyen må anses som bruk av databehandler Normen definerer databehandler som den som behandler helse- og personopplysninger på vegne av den databehandlingsansvarlige. Helseregisterlovens 18 Helseregisterlovens 16 Den En ( ) databehandler dokumentere databehandlingsansvarlige kan ikke og informasjonssystemet behandle databehandleren helseopplysninger skal og på gjennom sikkerhetstiltakene. annen måte planlagte enn det og som er systematiske Dokumentasjonen skriftlig avtalt tiltak med den skal sørge være for tilfredsstillende tilgjengelig databehandlingsansvarlige. for medarbeiderne hos informasjonssikkerhet Opplysningene den databehandling- kan heller med ikke hensyn uten sansvarlige slik til avtale konfidensialitet, ( ) overlates til integritet, En noen databehandlingsansvarlig andre kvalitet for lagring og eller tilgjengelighet bearbeidelse. som lar andre I få ved avtalen tilgang behandling med til den av helseopplysninger, helseopplysninger. databehandlingsansvarlige ( ) skal skal påse det at disse også gå oppfyller frem at kravene i databehandleren første og annet ledd. plikter å gjennomføre ( ) slike sikringstiltak som følger av 16. 27.10.2011 Normen om utveksling av informasjon 14

Normen om bruk av databehandler Krav til risikovurdering Taushetsplikt / Tilgangskontroll tjenstlig behov Prosedyre ved bruk av databehandlere Oversikt over databehandlere Knyttet opp mot oversikt over behandlinger av helse- og personopplysninger Krav til konfigurasjonskontroll skal reguleres gjennom avtale ved bruk av databehandler Risikovurdering, test, implementering som sikrer mot uforutsette hendelser, dokumentasjon, godkjenning av endringer Sikkerhetsrevisjon skal omfatte vurderinger av ivaretakelse av informasjonssikkerhet hos databehandlere 27.10.2011 Normen om utveksling av informasjon 15 Normen om bruk av databehandler (2) Databehandlerens selvstendige plikt til å etterleve helseregisterloven 16 og personopplysningsforskriften kap. 2 presiseres Kriterier for akseptabel risiko hos databehandleren Databehandlingsansvarlig skal sikres innsynsrett for å forsikre seg om at kravene etterleves Databehandler skal tilfredsstille kravene i Normen. Databehandler skal ikke behandle helse- og personopplysninger på annen måte enn det som er avtalt med databehandlingsansvarlig. 27.10.2011 Normen om utveksling av informasjon 16

Normen om bruk av databehandler (3) Dersom databehandler behandler helse- og personopplysninger fra flere virksomheter skal databehandler ved hjelp av tekniske tiltak som ikke kan overstyres av brukerne ivareta at: det er etablert skiller mellom virksomhetene i henhold til gjennomført risikovurdering. ingen andre enn databehandleren, de som arbeider under databehandlerens instruksjonsmyndighet og virksomhetene selv har tilgang til opplysningene. Se faktaark 10 for mer om databehandleravtale Behandling av data innenfor / utenfor EU/EØS-området er kort omtalt i malverket til veilederne for tannhelse, legekontor og apotek 27.10.2011 Normen om utveksling av informasjon 17 Meldingsbasert kommunikasjon vs tilgang på tvers Helseregisterlovens 13, 1. ledd har begrenset tilgang til informasjon (utover utlevering / meldingsutveksling) på tvers av virksomhetsgrenser En tilføyelse til loven i 2009 gir hjemmel for forskrifter som åpner opp for tilgang på tvers Helseinformasjonssikkerhetsforskriften For behandlingsrettede registre Bl.a Tilgang på tvers Vedtatt, men ikke trådt i kraft Flere Normkrav blir gjennom dette forskriftskrav Forskrift om formaliserte arbeidsfellesskap Under utarbeidelse Kjernejournal Lovendring for å åpne for nasjonal kjernejournal Kjernejournalforskrift 27.10.2011 Normen om utveksling av informasjon 18

13 13 13 13 13 13 Normen 3.0 vil ta inn sentrale endringer i lovverket Helseinformasjonssikkerhetsforskriften Supplering av Normen Veileder m/malverk: Etablering av avtaler og prosedyrer ved tilgang på tvers Forskrift om formaliserte arbeidsfellesskap Supplering av Normen Veileder m/malverk og avtaler: Etablering av behandlingsrettet helseregister i formalisert arbeidsfelleskap 13 Tilgang på tvers Tilgang på Tilgang på tvers tvers 27.10.2011 Normen om utveksling av informasjon 19 www.normen.no sikkerhetsnormen@helsedir.no 27.10.2011 Normen om utveksling av informasjon 20

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding