Krav til sikkerhet og personvern hos tjenestesteder som skal koble seg opp til en felles elektronisk pasientjournal



Like dokumenter
ISO-standarderfor informasjonssikkerhet

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

ISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning

Standarder med relevans til skytjenester

Den europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo,

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013

Måling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,

Oppdatert NORSOK N-005

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

Presentation on Technological Aspects of. National Informatics Centre

Hva er et styringssystem?

Invitation to Tender FSP FLO-IKT /2013/001 MILS OS

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Endringer i revidert ISO 50001

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK

ISOs styringssystemstandarder et verktøy for forenkling

Kontinuitetsplanlegging teori og praksis. Arve Sandve Scandpower AS ESRA,

Cyberspace og implikasjoner for sikkerhet

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Erfaringer fra en Prosjektleder som fikk «overflow»

Vurdering av risiko og sikkerhet i skytjenester. Håvard Reknes

RS402 Revisjon i foretak som benytter serviceorganisasjon

Elektroniske pasientjournaler

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016

En praktisk anvendelse av ITIL rammeverket

ISO serien Asset management

Referansemodell for applikasjonsfunksjonalitet i spesialisthelsetjenesten

DecisionMaker Frequent error codes (valid from version 7.x and up)

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Fremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder

Rollebasert tilgang til pasientjournaler på tvers av journalsystemene nødvendige forutsetninger. Lillian Røstad SINTEF IKT/NTNU 1.

ISO/DIS 45001, INNHOLD OG STRUKTUR. Berit Sørset, komiteleder, Norsk Industri

Company Presentation. (sfi) 2 karrieredag. 31 October Knut T. Smerud Founder, Chairman and CEO SMERUD MEDICAL RESEARCH GROUP

Independent audit av kvalitetssystemet, teknisk seminar november 2014

Stordata og offentlige tjenester personvernutfordringer?

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

Veien til ISO sertifisering

IKT løsninger for fremtiden? Smartgridkonferansen september 2014

Information search for the research protocol in IIC/IID

Hybrid Cloud and Datacenter Monitoring with Operations Management Suite (OMS)

Hvordan komme i kontakt med de store

Blokkering av innhold på internett

Samfunnssikkerhet - hvordan påvirke internasjonale standarder innenfor samfunnssikkerhet?

Nytt EU-direktiv om forebygging av stikkskader, betydning for oss? Dorthea Hagen Oma Smittevernlege Helse Bergen

Nåværende EU-rett Dir 96/3/EC

Mobil IT (MDM, MAM, MCM) sikring og administrasjon av nye plattformer

ISO27001 som del av forvaltningen

Innebygd personvern og personvern som standard. 27. februar 2019

HONSEL process monitoring

Trust in the Personal Data Economy. Nina Chung Mathiesen Digital Consulting


Hva må til for utviklingen av arketyper med klinisk god kvalitet?

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Autentiske data hva er det og hvordan sikres det?

Referansearkitektur use cases. Kjell Sand SINTEF Energi AS NTNU Institutt for elkraftteknikk

NS-EN ISO/IEC

Microsoft Dynamics C5 Version 2008 Oversigt over Microsoft Reporting Services rapporter

Public roadmap for information management, governance and exchange SINTEF

Oversikt over standarder for. Kvalitetsstyring

AKKREDITERINGSDAG MEDISINSKE LABORATORIER

EU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling?

Samsvargodkjenning av SP-17 og SP-17M midtrekkverk

Kampanje Event EU GDPR Advokat Rune Opdahl

NTNU Forskningsprogram for informasjonssikkerhet. Stig F. Mjølsnes

Funksjonalitetsmodell: en modell for å kartlegge nåværende og fremtidige løsninger og applikasjonsporteføljer. HelsIT 2016 Elin Kindingstad

Uke 4. Magnus Li INF /

Hewlett Packard og helse i Norge

Jarle Langeland. Mellom IT-sikkerhet og personvern 2

Likhet i helsetjenesten

Hvilken standard angår oss i arkivdanningen?

GDPR. Advokat Kari Gimmingsrud

Hvordan komme i gang med ArchiMate? Det første modelleringsspråket som gjør TOGAF Praktisk

C L O U D S E C U R I T Y A L L I A N C E

Internkontroll og informasjonssikkerhet lover og standarder

Oversikt over standarder for. Kvalitetsstyring

Hvorfor hente kapital nå? En forklaring. Oslo 25. mai 2010

DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015

ISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland

Utviklingen i finansmarkedene

Hva er cyberrisiko? Bjørnar Solhaug. Seminar om cyberrisk, SINTEF, Technology for a better society 1

HMS og IKT-sikkerhet i integrerte operasjoner

Verktøy for å håndtere siteringer og referanser i masteroppgaven. Citation and reference tools for your master thesis. Citations and references

Forbedringsmodellen er viktig, men hva med alt det andre?

Hva kreves av en god byggherre? «Store utbyggingsprosjekter», 23. okt 2014

REVISJON AV COMPLIANCE-PROGRAMMER

Company name: Åkrehamn Trålbøteri AS

Hvor går veien videre nasjonalt Standard Morgen

Unit Relational Algebra 1 1. Relational Algebra 1. Unit 3.3

Når er GCP-opplæring god nok? 26 februar 2009 GCP DISKUSJONSFORUM Ragna Strømman

UNIT LOG (For local use)

Fellestrekk og forskjeller i de ulike akkrediteringsstandardene

Metodisk kvalitetsvurdering av systematisk oversikt. Rigmor C Berg Kurs H, mars 2019

Oversikt over standarder for. Kvalitetsstyring

Resesjonsrisiko? Trondheim 7. mars 2019

EU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling?

EKSAMENSOPPGAVE I TTM4135 INFORMASJONSSIKKERHET

Aldring av konstruksjoner og betydning av robusthet

Fingeravtrykk til autentisering. hvor gode er dagens løsninger?

Transkript:

Krav til sikkerhet og personvern hos tjenestesteder som skal koble seg opp til en felles elektronisk pasientjournal Seniorrådgiver Knut Lindelien, Standard Norge

Bakgrunn Stort informasjonsbehov mye informasjon (26 000 ++) Ulikhet i arkitektur, kommunikasjon, begreper. Hinder i regelverk Tvil om sikkerhet og personvern Alle interessert i sikkerhet og personvern

Innhold her En teknisk spesifikasjon, ISO/TS 14441, Health Informatics Security and privacy requirements of EHR Systems for use in conformity assessment Ideen; å lage et opplegg som sikrer informasjonsressursene og gir mulighet for å vurdere samsvaret mellom ønsket og oppnådd sikring Opplegget er ikke endelig. Hva nå?; - a) inviterer til deltakelse for forbedring og - b) prioritere innsats

Samsvarsvurderinger (etter ISO 17000) Samsvarsvurderinger er enkelt nok; - At en stiller krav, måler om disse kravene er oppfylt og erklærer samsvar. I noen tilfelle er det nødvendig med tilsyn for å sikre at samsvaret består. For den som bestiller, den som leverer, de som arbeider med informasjonen og pasienten, for de som berøres av dette (subject of care) Førstepartsvurdering typisk selger/tilvirker Andre parts vurdering typisk kjøper Tredjepartsvurdering - (ekstern)

Hvilke krav bør settes? Innen ISO/IEC har en arbeidet med styringssystemer for informasjonssikring (såkalte ISMSer) Hele 27000-serien av standarder gir et opplegg for prosesser som skal sikre informasjonsressursene. 27000 gir oversikt og definerer begreper 27001 gir krav til styringssystemer for informasjonssikring 27002 gir eksempler på god praksis for å ivareta styringssystemer for informasjonssikring 27003 beskriver hvordan en kan ta i bruk (implementere) styringssystemer for informasjonssikring 27004 beskriver hvordan en kan måle nivået på informasjonssikringen 27005 beskriver risikostyring i forhold til informasjonssikring

Krav forts 2 27001 stiller krav, øvrige dokumenter veileder, eksemplifiser og gir støtteverktøy. En egen spesifikasjon ISO 27799 beskriver hvordan 27002 kan benyttes i helsesektoren TS 14441 ser på samsvarsvurderinger i fire ulike land. (Brazil, UK, US og Canada) Hvilke krav kan en så si at blir de viktige?

Krav forts 3 P-D-C-A Under 27001 ligger en Plan Do Check Act - tankegang. (el. Plan Do Check Implement) Egentlig en lang rekke P-D-C-A sirkler i en organisasjon som skal benytte 27001? Noen standarder er spesielt viktige. Det er normative referanser ISO/TS 14441 benytter. Krav ved å se på fokus i de fire eksempellandene

Lest eller format på kravene Time synchronization and time/date formatting Core requirements: Time format: POS clinical systems should adopt a uniform presentation of time for control and audit. Clock synchronization: POS clinical systems shall support time synchronization using NTP/SNTP, and use this synchronized time in all security records of time. Detailed requirements: Time format in exported records: All time data for control and audit found in exported data (other than time stamp requests to, or responses from, a Time Stamping Authority) shall be represented in the ISO 8601:2004 format, indicating the difference between local time and UTC

Lest eller format forts 2 Time source: POS clinical systems shall use a consistent and secure time source. POS clinical systems shall support time synchronization using IET Network Time Protocol (NTP) or Simple Network Time Protocol (SNTP). Rationale: Accurate audit logging requires accurate and consistent time stamps. As well, the date and time at which data such as lab results were accessed may have clinical significance. Such time stamps may be heavily relied upon during investigations of medical malpractice. Reference: ISO 27799, ISO 15408, ISO 18308, ISO 27789, ISO 8601

Ulike standarder har ulike krav Krav Omfang og opplegg for hva som er viktig varierer i referansestandardene. Mens en i 27001 har sin gruppering har Common Criteria sin inndeling. (CC el. ISO/IEC 15408 Information technology Security techniques Evaluation criteria for IT security )

Mapping 27001 og CC Core requirement Common criteria category 1. Data subject's consent to collect, use or disclose personal health information No direct mapping to privacy (not considered in CC) 2. Limiting use and disclosure No direct mapping to privacy (not considered in CC) 3. Data subject access to personal information and correction of inaccurate information No direct mapping to privacy (not considered in CC) 4. Data accuracy a User data protection: Stored data integrity 5. User identification and a identification and authentication authentication 6. Access Control a Access: access control policy, access control functions 7. Acceptable Use No direct mapping to privacy (not considered in CC) 8. Session security and timeout a Access: session locking and termination 9. Maintaining data availability a Security management 10. Protecting data during transmission a Cryptographic support: cryptographic operation 11. Protecting data in storage a User data protection 12. Data integrity a User data protection: Stored data integrity 13. Record retention No direct mapping to a CC category 14. Data Labelling a TOE access 15. Audit a Security audit? 16. Software version control and documentation 17. Time synchronization and time/date formatting 18. Privacy and security incident management 19. Digital certificates and digital signatures a a a Security managementa Security Management No direct mapping to a CC category Cryptographic support

Dypdykk i sammenligningen Core requirements Common Criteria Category 15. Audit Security Audit 16 Software version control Security Management and documentation 17 Time synchronization Security Management and time/date 18 Privacy and security No direct mapping to a - incident management CC-category

Hva er problemet med ISO/TS 14441?: Det er ingen standard Det gjenstår relativt mye arbeid (konsensusbygging) for å komme fram til en standard Eksempelbasen er mest fra land med sentrale journaler Er alle begrepene egentlig definert? (PIA som eksempel) Har det vært med mange nok? Er det riktig type ekspertise som deltar? Er underliggende standarder modne nok? Er dette operasjonelt nok?

Hva er fordelene med ISO/TS 14441? et løft for å drøfte en journal -utfordringene et godt utgangspunkt i en-journals miljø krav til hvor konkrete ISMS-standardene må være (gjelder også 27799) personvernstandarder mindre utviklet tilleggene, med eksempler på ulike lands samsvarsvurderingsopplegg er interessante metodikken, med definering av ToE, og kontinuerlige innføringsprosesser, P-D-C-A kan ha overføringsverdi på andre områder.

kli@standard.no Takk for meg!

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding