Innholdsfortegnelse. Veiledning i selvdeklarering av programvare



Like dokumenter
Sikkerhetskrav for systemer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer

Videokonsultasjon - sjekkliste

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Krav til informasjonssikkerhet

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Noen utvalgte faktaark og veiledere. Åpent kurs

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

mellom leverandør og virksomhet

Bruk av databehandler (ekstern driftsenhet)

Veileder for tilgangsstyring

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Personvern - sjekkliste for databehandleravtale

Informasjonssikkerhet, personvern og tilgangsstyring

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN

1.4 Det skal leveres en beskrivelse av eierskapsmodell for registrerte data og fordeling av ansvar for behandling og vedlikehold av disse.

Ansvar og organisering

SSA Bilag 7. Bilag 7: Samlet pris og prisbestemmelser

Tilgangskontroll i fugleperspektiv Tilgangskontroll i IT-systemer de fire A-er Administrasjon Autentisering Autorisasjon Audit (etterhåndskontroll) Av

Noen utvalgte faktaark og veiledere. Åpent kurs 15. mars 2018

Samarbeid mellom virksomheter om felles journal

TRUST-IKT: Først i Norge med felles pasientjournal Hva har vi gjort? Erling Høyem Leder prosjekt og rådgiving

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

HVEM ER JEG OG HVOR «BOR» JEG?

AVTALEEKSEMPEL FOR GRUPPEPRAKSIS Avtaleparter Databehandlingsansvarlig

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Bruk av databehandler (ekstern driftsenhet)

Databehandleravtaler

Digital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland

Norm for informasjonssikkerhet Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Sertifisering av funksjonalitet i EPJ-system

ISF 2018 Presiseringer og avklaringer

Det skal ikke være lett! Elektronisk sårjournal: Liten brikke i stort spill

Funksjonskrav i ELIN-h prosjektet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Rapport informasjonssikkerhet Helgelandssykehuset 2015

MTU - Krav til informasjonssikkerhet

Oversiktstabell for faktaark, veiledere og kurs til Normen

Referansearkitektur sikkerhet

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Skreddarsydd sakshandsamingssystem til ein låg kostnad?

Ot.prp. nr. 51 ( )

Samhandlingsreformen IKT i helse- og omsorgssektoren

Tjenesteavtale 9 Samarbeid om IKT-løsninger lokalt

Basis interoperabilitetstest - ebxml

Tjenesteavtale nr. 9. mellom. Berlevåg kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Veiledende merknader til helseregisterloven 13 og helseinformasjonssikkerhetsforskriften

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

SSA-V Bilag 4. Vedlikeholdsavtalen (SSA-V) Bilag 4: Prosjekt- og fremdriftsplan

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

SSA-D Bilag 8. Bilag 8. Endringer i den generelle avtaleteksten. Anskaffelse av analyse- og informasjonsplattform /

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

Krav til sikkerhetsarkitektur for tilgang på tvers av virksomheter (og systemer)

Sikkerhetsrevisjon Sjekkliste for å ivareta kravene i Normen

Personvern og informasjonssikkerhet ved samhandling

Brukerdokumentasjon. Adresseregisteret Om Adresseregisteret

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Tjenesteavtale nr. 9. mellom. Alta kommune. Helse Finnmark HF. Samarbeid om IKT-løsninger lokalt

Personvern og informasjonssikkerhet for apotek

Norm for informasjonssikkerhet i helsesektoren

HVORDAN SØRGE FOR ETTERLEVELSE AV SIKKERHETSKRAVENE I GDPR?

Utfordringer med medisinsk-teknisk utstyr og informasjonssikkerhet. Barbro Salte, Medisinsk teknologi og e-helse, Akershus Universitetssykehus HF

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

AVTALE. MELLOM <Høgskole> OG UNINETT FAS AS. TILSLUTNING TIL RAMMEAVTALE MELLOM UFD OG UNINETT FAS AS OM Teknisk drift av TROFAST-tjenere

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.

Transkript:

Innholdsfortegnelse 1. Innledning... 2 2. Om selvdeklarering... 2 3. Programvare som selvdeklareringen anbefales brukt på... 2 4. Veiledningsdokumenter... 3 5. Utfylling av skjematikk... 3 6. Eksempel datamodell... 4 V 4.1 Side 1 av 5

1. Innledning Dette dokumentet gir informasjon om de veiledende dokumenter som skal brukes ifm. deklareringsområdet informasjonssikkerhet. Selvdeklarasjonsordningen skal bidra til at programvare som leveres til helse- og omsorgstjenesten ivaretar krav stilt i i helse- og omsorgstjenesten (Normen). 2. Om selvdeklarering Selvdeklarering er et frivillig tilbud som den enkelte leverandør av programvare kan ta i bruk for å dokumentere etterlevelse av Normens krav i programvaren. Det kan selvdeklareres at programvaren inneholder nødvendig og tilstrekkelig funksjonalitet slik at den databehandlingsansvarlige kan oppfylle lovbestemte krav. Eksempler på bruk av dokumentasjonen er: Ovenfor kunder i anbudsprosesser Kunders behov i den daglige driften Tilsynsmyndigheter En del av programvarens systemdokumentasjon og kvalitetsdokumentasjon 3. Programvare som selvdeklareringen anbefales brukt på Tilbudet kan benyttes på alle typer programvare. Med programvare menes i denne sammenhengen: Helhetlige informasjonssystemer Delsystemer/moduler Programvarekomponenter i tilknytning til informasjonssystemet Databaser i tilknytning til informasjonssystemet Eksempler på programvare som kan selvdeklareres: Journalsystem (for eksempel elektronisk pasientjournalsystem) Pasientadministrative systemer (for eksempel demografisk informasjon, timebok, fakturering, opphold) Røntgensystemer (for eksempel røntgen informasjonssystem, PACS) Laboratoriesystemer (for eksempel immunologi, klinisk/kjemisk, mikrobiologi) Planleggingssystemer (for eksempel operasjonsplanlegging) Beslutningsstøttesystemer (for eksempel blodbanksystem) Saksbehandlingssystemer (for eksempel sak-/arkivsystem) Underliggende støttesystemer (for eksempel SMS-system, rapportgeneratorer) Systemer for meldingsutveksling (for eksempel løsninger for meldingsformatering, signering, kryptering og sending/mottak) V 4.1 Side 2 av 5

4. Veiledningsdokumenter Deklareringsområdet informasjonssikkerhet er delt opp i seks delområder iht. tabellen nedenfor. Veiledningsdokumentene er uavhengig av type system, type delsektor, profesjon og teknologi. Tabellen viser dokumenter ifm. selvdeklareringen. Dokumentene bygger på kravene i Faktaark 38, som er en oppsummering av Normens sikkerhetskrav for systemer. Nr Delområde Krav i faktaark 38, versjon 4.1 1. Autorisering 1-18 2. Autentisering 19-24 3. Hendelsesregistrering 25-31 4. Pasientrettigheter 32-35 5. Integritet 36-37 Hvert dokument er strukturert slik: Kap. Tittel Innhold 1. Informasjon om selskap Tabell leverandøren skal fylle ut med informasjon om leverandøren og hva som selvdeklareres 2. Om selvdeklarering av <Delområde> Beskrivelse av krav, hensikt, veiledning og eksempler Enkelte begrep som benyttes i veiledningsdokumentene er definert i Normen, se. 5. Utfylling av skjematikk For hvert krav skal leverandøren fylle ut tabellen nedenfor (og som er satt inn på slutten av hvert enkelt krav i veiledningsdokumentene): Selvdeklarerer leverandøren kravet? Ja Nei Ikke relevant Kort redegjørelse og/eller henvisning til leverandørens dokumentasjon for Ja, Nei, Ikke relevant : Feltet Kort redegjørelse og/eller henvisning til leverandørens dokumentasjon for Ja, Nei, Ikke relevant bør benyttes slik: V 4.1 Side 3 av 5

Ved Ja : Skriv inn hvor og i hvilket av leverandørens dokument ivaretakelse av kravet er beskrevet. Det er ikke et krav at leverandøren skal utarbeide særskilt dokumentasjon for selvdeklareringen. Det er imidlertid et krav at leverandøren skal i systemets dokumentasjon (for eksempel systemdokumentasjon, brukerhåndbøker mv.) kunne vise at kravet er ivaretatt. Dokumentasjonens tekst og illustrasjoner må være av en slik karakter at personer som ikke har kompetanse i systemmodellering og programmering skal kunne forstå dokumentasjonen Ved Nei : Skriv en kort begrunnelse Ved Ikke relevant : Eksempel på tekst kan være: Leveres ikke som en del av systemet 6. Eksempel datamodell Dette avsnittet viser et eksempel på en datamodell. Datamodellen er ment å kunne tjene som et felles begrepsapparat og som visualisering av dataelementer og avhengigheter mellom dataelementene. Forklaring til datamodellen nedenfor: Bruker er en person som innehar en rolle i en organisatorisk enhet i en virksomhet. De tre forbindelser mellom bruker og innehar rolle, representerer den som er ansatt i rollen, den som har registrert ansettelsen og den som har godkjent ansettelsen Roller har tilknyttet rettigheter. Rettighetene som er tilknyttet en rolle kan endres over tid Autorisasjonsregisteret fremkommer ved en kombinasjon av bruker, ansettelse i rolle, rolle, rolle har tilknyttet rettigheter, formål og rettigheter Hver bruker kan ha flere sett med autentiseringskriteria (brukernavn/passord). Hvert autentiseringskriterium er knyttet til en eller flere roller brukeren er autorisert til Brukere autentiserer seg i en rolle. Når det velges hvilken Den registrerte brukeren skal lese, endre, rette eller slette opplysninger etc. om, gis en begrunnelse for beslutning om ytelse. Hvis brukeren i en autentisering velger flere Den registrerte gis en ny begrunnelse for hvert valg. Brukeren får deretter tilgang til helseopplysninger for Den registrerte i henhold til rettighetene tilknyttet rollen som brukeren er autentisert i Hendelsesregisteret fremkommer ved kombinasjon av bruker, autentiseringskriteria, autentisering i rolle, beslutning om tilgang, Den registrerte og helseopplysninger V 4.1 Side 4 av 5

Organisatorisk enhet Virksomhet Autorisasjonsregister Innehar Rolle (fra tidspunkt til tidspunkt) Bruker Tilstedeværelsesregister Rolle Autentiseringskriteria Hendelsesregister Formål Rolle har tilknyttet rettigheter (fra tidsp. til tidsp.) Autentisering i rolle (fra tidsp. til tidsp.) Beslutning om ytelse Den registrerte Rettigheter Helseopplysninger Kodeverk V 4.1 Side 5 av 5

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding