JAN HENRIKSEN Seniorrådgiver informasjonssikkerhet og personvern Jan har opparbeidet erfaring fra sikkerhetsprosjekter innen bank, domstoler, eiendomsforetak, forsikring, forsvaret, forvaltningen, handel, helse, industri, kraftproduksjon og -distribusjon, luftfart, olje og gass, pensjonsfond, politi, shipping og universitet. Han har betydelig kunnskap om innhold og erfaring med tolkning, forståelse og bruk av lover og forskrifter som regulerer informasjonssikkerhet og personvern. Jan sitt spesialfelt er helseinformatikk og sikkerhet i helse og omsorgssektoren. Han har bl.a. utarbeidet samtlige dokumenter som utgjør Norm for informasjonssikkerhet, helse- og omsorgstjenesten (se www.normen.no). Jan har vært foreleser ved Handelshøyskolen BI i faget informasjons- og datasikkerhet på bachelorstudiet Økonomi og IT-ledelse. Faget gir studentene innføring i informasjonssikkerhet og risikostyring bl.a. basert på ISO 27002. Han er valgt som medlem av den lovpålagte kontrollkomitéen i Verdipapirsentralen (VPS) for å dekke fagområdene informasjonssikkerhet og personvern. Oppgaven er å påse at styret i selskapet utfører sine oppgaver iht lov, forskrift og interne styrende dokumenter. VPS forvalter eierskap til finansielle instrumenter til en verdi av ca 5.000 milliarder norske kroner. Kontrollkomitéen rapporterer til generalforsamlingen og Finanstilsynet. Han har også vært medlem av kontrollkomitéen i Oslo Clearing ASA. KARRIERE KONTAKTINFORMASJON Jan Henriksen Født: 11. november 1957 jan@infosec.no +47 95 77 12 95 Skype: jan_henriksen1 INFOSEC Norge AS Hagajordet 10 1940 Bjørkelangen 2011 - Verdipapirsentralen ASA Valgt av generalforsamlingen som medlem av kontrollkomiteen i selskapet 2007 - Den norske Legeforening Foreleser i informasjonssikkerhet og personvern på obligatorisk kurs for allmennleger 1994 - INFOSEC Norge AS Daglig leder og seniorrådgiver informasjonssikkerhet og personvern 1/9 CV JAN HENRIKSEN, SIST OPPDATERT 2015/11
2011-2015 Oslo Clearing ASA Valgt av generalforsamlingen som medlem av kontrollkomiteen i selskapet 2005-2011 Handelshøyskolen BI Ansvarlig for oppbygging av faget og gjennomføring av samtlige forelesninger i informasjons- og datasikkerhet på bachelorstudiet Økonomi og IT-ledelse 1992 1994 Romeriksbussene / Schøyens Bilcentraler Forretningsutvikler 1990 1992 KPMG Senior sikkerhetsrådgiver 1987 1990 INFOSEC og PC Kompetanse Senior sikkerhetsrådgiver og systemutvikler 1986 PA International AS Senior sikkerhetsrådgiver 1985 1986 KDØ INFOSEC AS Senior sikkerhetsrådgiver 1981 1984 Arthur Andersen & Co (Accenture) Senior konsulent 1980 1981 Oslo Business School / Handelsakademiet Faglig assistent for faglærere i kvantitative fag (matematikk, statistikk og operasjonanalyse) UTDANNING 1986 Sikkerhetsleder Infosec-PROSAB AB, Stockholm 1981 Master business and administration Oslo Business School / Handelsakademiet PERSONLIGE REFERANSER Akershus fylkeskommune: direktør/fylkestannlege Kirsten Ahlsen, tlf 22 05 53 32 Helsedirektoratet: seniorrådgiver Tor Ottersen, tlf 906 65 592 Oslo kommune, Helseetaten: assisterende avdelingsdirektør Morten Skognes, tlf 916 17 209 Statens vegvesen: avdelingsdirektør Anne-Cecilie Riiser, tlf 905 02 813 Volvat Medisinske Senter: adm.dir/sjeflege Christian Loennecken, tlf 22 95 75 00 2/9 CV JAN HENRIKSEN, SIST OPPDATERT 2015/11
KOMPETANSE I INFORMASJONSSIKKERHET OG PERSONVERN - Etablere beredskapsplaner - Helseinformatikk - Internkontroll ift gjeldende lover og forskrifter - Norm for informasjonssikkerhet i helse- og omsorgstjenesten - Opplæring og kurs i informasjonssikkerhet og personvern - Organisering av sikkerhetsarbeidet - Prosjektledelse - Prosjektvurdering (organisering, teknologivalg, implementering) - Risikovurderinger / RoS-analyser (administrativ sikkerhet, fysisk, drift, nøkkelpersonell, organisering, teknisk, utvikling) - Selvdeklarering av programvare innenfor informasjonssikkerhet (Normen) - Sikkerhetsrevisjon (ISO 27002, lover og forskrifter, Normen, tekniske løsninger) - Sikkerhetsstrategi - Styringssystem for informasjonssikkerhet iht ISO 27000-familien - utarbeide og implementere - System design - Systemtesting - Teknisk design ELEKTRONISK SAMHANDLING/HELSEINFORMATIKK - Implementering av nasjonale standarder under ebxml rammeverket (lab., røntgen, henvising, epikrise, dialog, sykemelding og behandlerkrav) - Implementering av eresept i journal/fagsystemer - PKI - Informatikk i primærhelsetjenesten og spesialisthelsetjenesten BRANSJEKUNNSKAP - Departementer og direktorater - Domstoler - Eiendom - Finans/bank - Forsvaret - Fylker - Handel - Helse - Industri - Kommuner - Kraftproduksjon og -distribusjon - Luftfart - Offentlig transport - Olje og gass - Pensjonsfond - Politiet - Samferdsel - Shipping IT-KUNNSKAP - Database design - Datamodellering - Systemarkitektur / systemutforming - Systemprogrammering - Teknisk design 3/9 CV JAN HENRIKSEN, SIST OPPDATERT 2015/11
ANNEN ERFARING - Styreleder i Ekelunden boligsameie, Lillestrøm - Glad i fiske og turer i fjellet fra hytta i Ål i Hallingdal - Hobbysnekker - Spilt fiolin hos Stephan Barrat Due senior PROSJEKTER Jan har bistått bl.a. følgende virksomheter med informasjonssikkerhet og personvern: - Akershus fylkeskommune - NEMKO - Akershus universitetssykehus HF - NOKUT - Asker og Bærum sykehus HF - Norges tannteknikerforbund - Aon Norway - Norsk Eiendomsinformasjon - Apotek 1 - Norsk Hydro - Apotekforeningen - OPEL Norge - Barne-, ungdoms- og familiedirektoratet - Orion Securities - Color Line - Oslo Børs - Compugroup Medical Norge - Oslo kommune Barne- og familieetaten - Den norske legeforening - Oslo kommune - Helseetaten - Den norske tannlegeforening - Oslo kommune Utviklings og - Diakonhjemmet sykehus kompetanseetaten - Domstolsadministrasjonen - Oslo Lufthavn Gardermoen (OSL) - Domstolsnett / Høyesterett - Oslo Pensjonsforsikring - Eiendomsverdi - Politiets data- og materielltjeneste - Energiselskapet Asker og Bærum - Posten Norge BA - Energiselskapet Buskerud - Radiumhospitalet - ErgoGroup - Rikstrygdeverket - Evry - Ringerikskraft - Finansdepartementet - SAS - Finansnæringens Fellesorganisasjon - Siemens - Folkehelseinstituttet - Siemens Business Services - Fransiskushjelpen - Skan-Kontroll - Fylkesjukehuset i Haugesund - Skanska - Fylkesnemdene - Skattedirektoratet - Generaladvokaten - Sparebank 1 (14 SAMSPAR banker) - Gjensidige NOR Sparebank - St. Olavs Hospital HF - Grieg Holding AS - Statens kartverk - Handelshøyskolen BI - Statens legemiddelverk - Helse Midt Norge RHF - Statens vegvesen - Helse Midt-Norge IT (HEMIT) - Sunnaas Sykehus - Helse Nord Norge - Sykehusapotekene HF - Helse Nordmøre og Romsdal - Sykehuset Innlandet HF - Helse Sør-Øst - Tannhelsetjenesten i Akershus - Helsedirektoratet - Tannlegeforeningen - Hydro Polymers AS - Telenor Objects - INCITA AS - Toll- og avgiftsdirektoratet - Integrerings- og mangfoldsdirektoratet - Torvald Klaveness Gruppen - Justisdepartementet - Ullevål universitetssykehus HF - Kriminalomsorgen (KITT) - Uni Research - Kommunenes sentralforbund - Universitetet i Bergen - Kværner Engineering - Universitetet i Oslo - Studenthelsetjenesten - Lovisenberg Diakonale sykehus - Universitetssykehuset Aker HF - Luftfartstilsynet - Viken Energinett - Medix - Vinmonopolet - Modum Bad - Visma - NAF-Data - Visma Software Labs - Narvesen - Volvat Medisinske Senter - Nasjonalt kompetansesenter for - Volvo Aero Norge helsetjenesten - Værnesregionen IKT-samarbeid - Nasjonalt pasientregister (NPR) 4/9 CV JAN HENRIKSEN, SIST OPPDATERT 2015/11
REFERANSEOPPDRAG NR 1. Akershus fylkeskommune Delprosjektleder for ELIN-T etablering av elektronisk samhandling i tannhelsetjenesten - Trinn 1 og Trinn 2. Prosjektledelse av journalsystemleverandør og tilhørende pilotklinikker for utvikling av meldinger (ebxml) hos leverandøren og pilotering av private tannklinikker, fylkeskommuner (den offentlige tannhelsetjenesten) og kjeveortopeder med bruk av meldingsstandarder (henvisninger, epikrise, dialogmelding, e-resept, sykemelding og behandlerkrav) og PKI. Ledelse av KITH-sertifisering for meldingsformidling. Bruk av Visma-levert kommunikasjonsprogramvare og Buypass virksomhetssertifikater og personlige sertifikater. Rapportert status til styringsgruppen for ELIN-T med representanter fra Akershus fylkeskommune (ved fylkestannlegen), Helsedirektoratet, Tannlegeforeningen, KS og Innovasjon Norge 2. Akershus fylkeskommune Periode: 2009 - pågående Utarbeidet kravspesifikasjon for meldingsformidling i tannhelsesektorene. Kravspesifikasjonen inneholder elementer som xbxml rammeverket, PKI, innholdsstandarder basert på XML, kodeverk og informasjonssikkerhet. Periode: 2012 3. Apotek 1 - Sikkerhetsrevisjon av fagsystemet Nagara ift krav fastsatt i Norm for informasjonssikkerhet, helse- og omsorgssektoren - Sikkerhetsgjennomgang av integrasjonsplattform ift Normen - Sikkerhetsgjennomgang av nettapotekløsning 4. Barne- ungdoms og familiedirektoratet (Bufetat) Periode: 2012 - pågående - Bistand i det løpende sikkerhetsarbeidet for direktoratet og underliggende etater - Sikkerhetsrevisjon av IKT Drift og brukerstøtte ift ivaretakelse av regulatoriske krav og ISO 27002 - Risikovurdering av BIRK - Bistand ved etablering av ny teknisk plattform for behandling av sensitive personopplysninger - Risikovurdering av løsning med bruk av CheckWare Periode: 2012 - pågående 5. Folkehelseinstituttet - Sikkerhetsrevisjon av teknisk løsning som benyttes til behandling av nasjonale helseregistre. Revisjonen er gjennomført ift kravene fastsatt i Norm for 5/9 CV JAN HENRIKSEN, SIST OPPDATERT 2015/11
NR informasjonssikkerhet og ISO 27002:2013 - Risikovurderinger av flere systemer Periode: 2015 6. Helsedirektoratet Utarbeidet Norm for informasjonssikkerhet (Normen), versjon 2.0 i 2010, versjon 2.1 i 2012, versjon 3.0 i 2013, versjon 4.0 i 2014 og versjon 5.0 i 2015. Normen er basert på gjeldende regulatoriske krav og stiller krav til styringssystem for informasjonssikkerhet (ISO 27000-familien). Utarbeidet samtlige faktaark og veiledere til Normen. Se www.normen.no for samtlige dokumenter. Gjennomført kurs i Normen for tannleger og kommunalt ansatte (ca 800 personer). Etablert selvdeklareringsordning for programvare som benyttes i helse- og omsorgssektoren (etablert under Normen). Prosjektleder for etablering av teknisk løsning for Nasjonalt pasientregister (NPR) ifm overføring av NPR til Helsedirektoratet. Risikovurdering av: - 8 behandlervirksomheter i ELIN-B (kiropraktor, psykiater, psykolog, fysioterapeut, manuellterapeut) - E-Reseptløsningen - Internt nettverk og teknisk løsning - IPLOS (kommunenes rapportering av pleie- og omsorgstjenester) - Hjerte- og karregister i NPR - Nødnett - Pasient- og brukerombudet - Den offentlige tannhelsetjenesten i Akershus (OpusDental) - Teknisk løsning for Norsk Pasientregister (NPR) ifm overføring av registeret fra SINTEF til Helsedir Gjennomført sikkerhetsvurdering av fagsystemene for tannhelsetjenesten (OpusDental og Nextsys) for å verifisere at systemene oppfyller kravene til sikkerhet fastsatt i Normen. Sikkerhetsrevisjon av Nasjonalt Kunnskapssenter for helsesektoren. Etablering av Nasjonalt pandemi intensiv register (NOPIR) ifm svineinfluensaepidemien. Sikkerhetsrevisjon av intern IT i direktoratet. 6/9 CV JAN HENRIKSEN, SIST OPPDATERT 2015/11
NR Sikkerhetsrevisjon av NAVs leveranse til Helsedir. Sikkerhetsrevisjon av NPR nasjonalt pasientregister. Sikkerhetsrevisjon av HELFO nasjonal løsning for refusjon til helsepersonell med refusjonsrett. Sikkerhetsrevisjon av E-resept nasjonal løsning for resepter. 7. HEMIT (Helse Midt- Norge IT) 8. Nasjonalt organ for kvalitet i utdanningen (NOKUT) Periode: 2003 - pågående Risikovurdering av: - Akuttmedisinsk kommunikasjonssentral (AMK), drift av løsningen - Ambulanseløsning med kommunikasjon til helseforetak (corpuls) - AMK i helseregionen med teknisk sikkerhet og all kommunikasjon ut fra sentralen, fysisk sikkerhet og kommunikasjonssikkerhet (bl.a. AMIS) - Barne- og ungdomspsykiatrisksystem (BUP) - Datasenter LAN - Digital diktering - DocuLive, drift av løsningen - Drift av applikasjoner i utlandet - HMN-LØ logistikk- og økonomisystem for helseregionen - Hjemmekontor og fjernaksess - Hjerteinfarktregister - MRS - Kjernesvitsjer Ritro1 og Ritro 2 - Kriseløsning for nettverk - Kurve-medisiniering-forordning (KMF) - Medisinsk sentralt register - Nasjonalt folkeregister i Norsk Helsenett SF - Overtakelse av PRS-drift - Sentrale IT-løsninger for regionen basert på personlige kvalifiserte sertifikater (PKI) - Talegjenkjenning - Video i helsehjelpen - Virtuelt driftsmiljø - PAS/EPJ i et 10-års perspektiv Periode: 2001 pågående - Kvalitetssikring av krav til driftsleverandør av ny IKTplattform - Risiko- og sårbarhetsanalyse for hele virksomheten i NOKUT, men med hovedfokus på innføring av ny samhandlingsløsning og ny IKT-plattform fra ny driftsleverandør - Risiko- og sårbarhetsanalyse for hele virksomheten i NOKUT med fokus på å avdekke avvik som må sikres i en kriseplan for samfunnssikkerhet og beredskap - Rådgivning/bistand til etablering av et rammeverk for å ivareta samfunnssikkerhet og beredskap, - Verdivurdering av samtlige IT-systemer - Etablere styringssystem informasjonssikkerheten 7/9 CV JAN HENRIKSEN, SIST OPPDATERT 2015/11
NR - Bistand ved etablering av teknisk løsning for fjernaksess 9. Oslo kommune, Helseetaten Periode: 2014 pågående - Prosjektleder for etablering av løsning for bruk av elektronisk behandlerkravmelding til HELFO ved Allmennlegevakten og Legevakten Aker - Prosjektleder for integrasjon av journalsystemet Profdoc Vision med betalingsautomater ved Allmennlegevakten og Legevakten Aker Periode: 2014-2015 10. St. Olavs Hospital Risikovurdering av: - Akuttmedisinsk kommunikasjonssentral (AMK) - Digital diktering - Elektronisk pasientjournal (EPJ), rekvisisjon og svar mot laboratoriesystemer (Sympathy, NSL og NSML) og EPJ - Fremtidens operasjonsstue - Hjemmekontor - Klinisk farmakologi - Spinalskaderegister - Tilgang for 3. part til sykehusets nettverk - WLAN Etterforskning og bevissikring ved sikkerhetsbrudd. 11. Statens legemiddelverk Periode: 2001-2011 Bistand med vurdering av regulatoriske krav i kravspesifikasjon ved tjenesteutsetting av IKT-tjenester. Vurdering av bruk av skytjenester ift regulatoriske krav (personopplysningsloven, personopplysningsforskriften, legemiddelloven og forvaltningsloven) Periode: 2014 - pågående 12. Statens vegvesen Bistand med verdivurdering og risikovurdering av systemer som benyttes i hele etaten. Systemene er både av nasjonal betydning og nye løsninger for fremtidens informasjon til alle typer trafikanter. Periode: 2015 13. Tannlegeforeningen Utvikling av e-læring i informasjonssikkerhet. Kurset er to-delt med en del for helsepersonell ved klinikken og en del for ansvarlig leder. 14. Universitetet i Bergen (UiB) Periode: 2013 Risikovurdering av - Elektronisk pasientjournal ved Institutt for klinisk odontologi - Løsning for lagring og bearbeiding av helsedata ifm forskning (Institutt for global helse og samfunnsmedisin (IGS)) - Revisjon av nettløsning for ivaretakelse av regulatoriske krav 8/9 CV JAN HENRIKSEN, SIST OPPDATERT 2015/11
NR ved forskningsprosjekter Periode: 2013 - pågående 15. Volvat Medisinske Senter Risikovurdering av teknisk løsning. Etablert styringssystem for informasjonssikkerhet iht ISO 27001/2. Ifm revisjon av styringssystemet (gjennomført av Norsk Helsenett SF) desember 2011 ble styringssystemet og implementering karakterisert som svært vellykket og forbilledlig. Bistår i det løpende sikkerhetsarbeid. Prosjektleder for tilgangsstyring i DIPS. Periode: 2000 - pågående 9/9 CV JAN HENRIKSEN, SIST OPPDATERT 2015/11