Konseptrapport 28. mars 2014

Like dokumenter
Etablering av regionale datasentre i Helse Nord konseptfaserapport, oppfølging av styresak

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer

Kvalitetssikring av arkivene

Hitra Tlf

Sikkerhetskrav for systemer

pr. 31. desember 2014

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Risikoanalysemetodikk

PACS IT-sikkerhet i foretakene - ansvar og roller. Trondheim. Helse Nord-Trøndelag HF. Helge Gundersen. IKT-rådgiver / IT-sikkerhetsansvarlig

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Styresak Investeringsplan 2016/ , oppdatering

Risikovurdering Mai 2008

Møtedato: 18. desember 2013 Arkivnr.: Saksbeh/tlf: Sted/Dato: Lyshoel/Rolandsen, Bodø,

Ny lov nye muligheter for deling av pasientopplysninger

Styresak FIKS 1 -prosjekt: Tertialrapport pr. 31. august 2014

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Helse- og omsorgsdepartementet St.meld. nr Samhandlingsreformen

Informasjonssikkerhet

Kontroll av oppslagslogger i EPJ ved hjelp av mønstergjenkjenning

Personopplysninger og opplæring i kriminalomsorgen

Hvordan håndtere juridiske, teknologiske og sikkerhetsmessige utfordringer?

HVEM ER JEG OG HVOR «BOR» JEG?

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

STYRESAK. DATO: SAKSBEHANDLER: Brad Folsom SAKEN GJELDER: Informasjonssikkerhet i Helse Stavanger HF ARKIVSAK: 18/2 STYRESAK: 52/18

Ot.prp. nr. 51 ( )

De største utfordringene i tilgangsstyring til EPJ?

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

Morgendagens helter! Pasientfokus og samhandling

Informasjonssikkerhet, personvern og tilgangsstyring

Akkumulert risikovurdering oktober 2015

Proplan Attføring. Personalsystemet for attføringsbedrifter

1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Lovlig journalbruk Oppslag i og bruk av Pasientjournalen

Personvern og tilgang i journal Internt & Eksternt. Helge Veum, senioringeniør HelsIT, Trondheim, 25. september 2008

Veileder i. Personvern og informasjonssikkerhet -medisinsk utstyr

Formålet er forsvarlig behandling

Styresak Virksomhetsrapport, januar 2017

Risiko og Sårbarhetsanalyse på NTNU. Presentasjons av prosess

EPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE. Informasjonssikkerhet Jan Gunnar Broch PMU 2018

Krav til informasjonssikkerhet

investeringsplan, endelig vedtak

Personvern - Problem eller en grunnleggende demokratisk rett?"

Behandling av helseinformasjon - på kryss og tvers Norsk Arkivråd, Trondheim,

Når EPJ implementeres og tas i bruk for alt helsepersonell ved et sykehus hvordan ivaretas informasjonssikkerheten?

Registrering og innsamling av helsedata sett opp mot IT - sikkerhet Kvalitetsregisterkonferanse Tromsø

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

Informasjonsaktiva. - en (forsøksvis) praktisk tilnærming til kategorisering av data. Harald Rishovd. Oslo kommune, Vann- og avløpsetaten

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Vedlegg 1 Eksamensplan våren 2016 Møre og Romsdal fylkeskommune

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Styresak Referatsaker til styret

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Etablering av regionale datasentre i Bodø og Tromsø forskjellige alternativer, oppfølging av styresak

Hvordan bruker pasientene personvernombudet?

En Vestlending en sykehusjournal. Normkonferansen 2015 Rica Ørnen Hotell, Bergen, 14. oktober 2015 Adm. dir. Erik M. Hansen, Helse Vest IKT

Personvern i Dødsårsaksregisteret Lysebu, 7. november 2011

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Plikt- og rettssubjekter. Den som har krav på noe, den som har rett på noe. Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort

Elektronisk implementering av LIS anbefalinger i CMS (Chemotherapy Management System)

Erfaringer fra konsolidering til regionale EPJ-system

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Innsatsområder nasjonalt nivå i helsetjenesten Nasjonalt meldingsløft Kjernejournal Helsepolitiske mål E-resept Helseportal Helseregistre EPJ Velferds

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Strategi for Nasjonalt servicemiljø Anne Høye Nasjonalt servicemiljø for medisinske kvalitetsregistre

PILAR 3 BASEL II 2011 Gothia Finans AS

SAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET

Det juridiske rammeverket for helseregistre

Elektronisk tilgang til pasientjournal: erfaringer fra Helse Nord

Refleksjoner rundt Guro Fjellangers historie - sett fra sykehus og spesialisthelsetjenesten

PILAR 3 BASEL II 2014 arvato Finance AS

Styremøte i Helse Nord RHF. Helse Nord RHFs lokaler, Bodø. observatør fra Regionalt brukerutvalg

Helseforskningsrett med fokus på personvern

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Standard: Organisasjonsoppsett

Datasikkerhet internt på sykehuset

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Styresak Kliniske fagrevisjoner i foretaksgruppen - oversikt 2017, oppfølging av styresak

Ulike forbruksmønstre og behandlingsstrategier i ortopedi i Helse Nord

SAMMENDRAG AV PROSJEKTSTATUS

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

IT i helse- og omsorgssektoren Stortingsmelding om ehelse

Anne Anderssen - Prosjektleder EPJ Utvikling. Norsk Arkivråd seminar - Oslo 17 september 2012

Workshop om jus og medisinsk forskningsetikk. Hilde Jordal Sosial- og helsedirektoratet

Lovvedtak 75. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( )

05/ / /MB Erik Hansen,

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

Styresak Orienteringssak - Informasjonssikkerhet

Styresak Investeringsplan , oppdatert oppfølging av styresak

Avsluttkoder i DIPS, veileder for registrering og kobling til. Utsettelseskode

Hvordan behandles diabetes i norsk allmennpraksis. Tor Claudi Medisinsk klinikk Nordlandssykehuset Bodø

Saksframlegg. Saksgang: Styret Sykehuspartner HF 5. februar 2019 SAK NR DRIFTSORIENTERINGER FRA ADMINISTRERENDE DIREKTØR. Forslag til vedtak

Personvern og CAT. Thomas Marti - Salgsjef, Proplan AS Per Haraldsen - Løsningsarkitekt, Proplan AS

Oversikt over antall koronare angiografier og PCI er utført på bosatte i Helse Nord i perioden

Samhandlingsreformen IKT i helse- og omsorgssektoren

Transkript:

Konseptrapport 28. mars 2014 Prosjekt Regionale datasentre Helse Nord

6 Prosjektets risikobilde pr mars 2014

7 Alternative løsninger Alternativer for plassering av regionalt datasenter Alternativ Lokalisering DS1 og DS2 Beskrivelse DS Alternativ 1 Tromsø Bodø (TOS BOO) DS1, UNN PAS DS2, nybygg NLSH DS Alternativ 2 Tromsø Tromsø (TOS TOS) DS1, UNN PAS DS2, UiT Teknologibygg Alternativer for DSDRT Alternativ Lokalisering DSDRT Beskrivelse DSDRT Alternativ 1 DSDRT Alternativ 2 DSDRT Alternativ 3 Eksisterende datarom NLSH Nybygg NLSH (kan ikke benyttes i kombinasjon med alternativ 1 for DS - Tabell 12) Leid plass hos en hosting leverandør/ samarbeidspartner Kun beregnet for datalagring Kan bestykkes for å tas i bruk som aktivt DS som katastrofeløsning (ved langvarig bortfall av DS1 og DS2)

7.2 ROS-analyser I februar 2014 ble det utført ROS-analyser i hvert HF med opprettelse av to datasenter (DS) i regionen som utgangspunkt. Det er viktig å få frem hvor stor sannsynlighet det er for at ulike scenarier oppstår som kan føre til et kommunikasjonsbrudd mellom DS og HF, samt hvilke konsekvenser eventuell nedetid gir for produksjonen i sykehusene. En slik analyse viser hvilket risikobilde Helse Nord står overfor ved å opprette regionale datasentre og er et utgangspunkt for å kunne vurdere tiltak som reduserer den aktuelle risikoen. ROS-analysene er avgrenset til å vurdere de risikoer ved leveranser for DSprosjekt, herunder er det kun sett på den fysiske funksjonen til DS'ene, herav strømføringsveier, nettverk, fysisk sikring, brudd pga. driftsfeil etc. ROS-analyse på tjenestenivå vurderes av FIKS.

7.2 ROS-analyser Sannsynlighet Opprinnelig sannsynlighetsskala(s) Angitt som antall per år 1. Usannsynlig(US) 2. Mindre sannsynlig(mss) 3. Mulig(MS) 4. Sannsynlig(SS) < 1/5 1/1 12/1 365/1 En gang per 5 år eller sjeldnere En gang per år En gang per måned Daglig eller oftere Justert sannsynlighesskala etter ønske fra NLSH (S) Angitt som antall per år 1. Usannsynlig(US) 2. Mindre sannsynlig(mss) 3. Mulig(MS) 4. Sannsynlig(SS) < 1/50 <1/10 1/1 >1/1 En gang per 50 år eller sjeldnere En gang per 10 år eller sjeldnere En gang per år eller sjeldnere En gang per år eller oftere

7.2 Konsekvenser (K) ROS-analyser Konsekvenser Definert ved hjelp av eksempler for tilgjengelighet, integritet og konfidensialitet 1. Ubetydelig (UK) 2. Moderat (MK) 3. Alvorlig (AK) 4. Kritisk (KK) Systemstans <= 30 minutter (responstid for vakt tilkommer på kveld) Systemstans 30-120 min (responstid for vakt Systemstans 2-8 timer(responstid for vakt tilkommer på kveld) tilkommer på kveld) Systemstans >8 timer(responstid for vakt tilkommer på kveld) Ingen uautorisert innsyn i helse- og personopplysninger Journal er komplett Uautorisert innsyn i enkelte helse- og personopplysninger og lovbrudd Noen mangler i journal slik at helse- og personopplysninger ikke er fullstendige og ajourført i forhold til behandlingen av opplysningene Uautorisert innsyn i enkelte helse- og personopplysninger, mulighet for endring og brudd på lov Viktig informasjon mangler i journal og brudd på lov Fullt uautorisert innsyni eller mulighet for endring av alle helse og personopplysninger og brudd på lov Kritisk informasjon mangler i journal og brudd på lov Ikke fare for pasienters helse Ikke fare for pasienters helse Det gis tilgang til enbruker i en ekstern virksomhet som ikke har tjenstlig behov for EPJ for en eller flere pasienter Diagnoser blir kodet feil iht. kodeverket der det benyttes kodeverk Intet brudd på personvernet Brudd på personvernet for et lite antall pasienter Fare for pasienters helse og liv Medikament, dosering eller behandlingstiltak blir feilregistrert Ubetydelig økonomisk tap Gjenopprettelig økonomisk tap Brudd på personvernet for et stort antall pasienter Helse- og personopplysninger skal henføres til rett identifisert person Intet tap av renommé eller rykte Moderat tap av renommé eller rykte ovenfor virksomhetens omgivelser Alvorlig økonomisk tap Tilgang til behandlingsrettet helseregister (inkl. EPJ) for ekstern virksomhet blir misbrukt og helse og personopplysninger kommer på avveie Moderat tap av renommé eller rykte virksomheten har ovenfor pasienten Alvorlig tap av renommé eller rykte Tap av liv Uopprettelig økonomisk tap

ROS-analysene er unntatt offentlighet jfr. off.loven 14 og 15

7.3 Kostnadsestimater TOS+BOO: 82,5+72,3=154,8 mill NOK

7.3 Kostnadsestimater TOS+TOS: 82,5+20,6=103 mill NOK

7.3 Kostnadsestimater 72,3 vs. 17,4 mill NOK

7.3 Kostnadsestimater 104 mill NOK 155 mill NOK

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding