Velkommen til Fagkurs i informasjonssikkerhet basert på Normen for kommuner 1
Mål for fagkurset (1) Deltakerne skal etter gjennomføring av kurset: Ha kunnskap om og kunne formidle hvorfor ivaretakelse av informasjonssikkerhet og personvern er viktig. Ha kunnskap om hva Normen er, hvordan den forvaltes, og hvordan den forplikter helsesektoren Ha kunnskap om viktig innhold for kommuner. 13.04.2015 sikkerhetsnormen@helsedir.no / 2
Mål for fagkurset (2) Ha kunnskap om relevante faktaark og veiledere for kommuner Ha kjennskap til gjennomføring av risikovurdering som en sentral metode i sikkerhetsarbeidet. Ha oversikt over virkemidler som kan tas i bruk for å spre kompetansen som er tilegnet på kurset videre i egen virksomhet. 13.04.2015 sikkerhetsnormen@helsedir.no / 3
Presentasjon: Kursholdere Kursdeltakere 13.04.2015 sikkerhetsnormen@helsedir.no / 4
Praktisk Hvor kan presentasjonene hentes? Hva er mest praktisk? Husk evalueringsskjema Questback sendes ut på slutten av kurset Det sendes ut anonym Questback ca 1 gang pr år for å skaffe oversikt over gjennomførte aktiviteter basert på kurset Andre spørsmål 13.04.2015 sikkerhetsnormen@helsedir.no / 5
PROGRAM Dag 1 Tid Aktivitet 10:00 10:25 Introduksjon, presentasjon 10:25-11:05 Normen 11:05 11:20 Pause 11:20 12:00 Personvern og taushetsplikt 12:00 12:45 Lunsj 12:45 13:25 Personvern og taushetsplikt fortsetter. 13:25 14:25 Risikovurdering teori og case 14:25 14:40 Pause 14:40 15:40 Aktuelle faktaark og veiledere 15:40 16:00 Oppsummering dag 1 13.04.2015 sikkerhetsnormen@helsedir.no / 6
POGRAM Dag 2 Tid Aktivitet 09:00 09:10 Introduksjon til dag 2 09:10-10:10 Krav til informasjonssikkerhet 10:10 10:25 Pause 10:25 10:40 Krav til informasjonssikkerhet fortsetter 10:40 11:40 Orientering om veileder i personvern og informasjonssikkerhet i kommuners helse- og omsorgstjenester 11:40-12:40 Lunsj 12:40 13:25 Ansvar og avtaler 13:25 13:40 Pause 13:40 14:25 Arbeid med informasjonssikkerhet i egen virksomhet 14:25 15:00 Oppsummering 13.04.2015 sikkerhetsnormen@helsedir.no / 7
Normen 8
Innhold 1. Bakgrunn 2. Personvern og informasjonssikkerhet 3. Styringsgruppen 4. Juridisk bindende 5. Struktur og innhold 6. Krav til styringssystem for informasjonssikkerhet 7. Avviksbehandling 8. Utadrettet virksomhet 9. Praktisk bruk av Normen 9
Bakgrunn Helse- og omsorgssektoren er: Enorm både i antall årsverk og omsetning Organisatorisk fragmentert Har sensitive personopplysninger som grunnlag for all virksomhet Og krever stadig mer samhandling på tvers Norsk Helsenett: Egen sikkerhet har konsekvens for andre 10
LOVVERKET At lögum scal Iand várt byggia en eigi at úlögum eyðü. En sá er eigi vill öðrum unna, han scal eigi laga nióta. ut civitas fundaretur legibus Sextus Pomponius 13.04.2015 11
Sentrale lover/forskrifter Personopplysningsloven Personopplysningsforskriften Helsepersonelloven Pasientjournalloven (01.01.2015) Helseregisterloven (01.01.2015) Pasient- og brukerettighetsloven Forskrift om tilgang til helseopplysninger mellom virksomheter (01.01.2015) (Forskrift om føring av felles journal i formaliserte arbeidsfellesskap) utgått, se 9 i Pasientjournalloven Lov om kommunal helse- og omsorgstjeneste 13.04.2015 sikkerhetsnormen@helsedir.no / 12
Behovet 1. En felles forståelse av personvernet 2. Felles holdninger 3. Nedfelt i et felles omforent regelsett 13.04.2015 13 /
Personvern Kontroll over egne personopplysninger Jeg skal samtykke til at opplysninger blir samlet inn Jeg skal vite hva opplysningene kan bli brukt til Formålet (og hvem som har tilgang) Jeg skal til en hver tid kunne få innsyn i hva som er registrert (uansett hvem som har registrert) Jeg skal til en hver tid kunne trekke tilbake samtykket Samtykke som grunnlag for behandling av personopplysninger er det mest grunnleggende prinsippet i personvernlovgivningen I følge EUs personverndirektiv er det kun vitale nasjonale interesser skal kunne overstyre samtykket 14
15
Informasjonssikkerhet Grunnleggende krav Sikre at innsamlede data ikke kommer på avveie: Sikre at data bare benyttes til det de er samlet inn for - Formålet Kun autorisert personell får tilgang (de som har tilgangstillatelse) Kun de med tjenstlig behov får tilgang Sikre at de registrerte kan få opplysningene 16
Informasjonssikkerhet Sikre opplysningenes: Konfidensialitet Helse- og personopplysninger må være sikret mot at uvedkommende får kjennskap til opplysningene. Tilgjengelighet Helse- og personopplysninger som skal behandles, er tilgjengelig til den tid og på det sted det er behov for opplysningene. 17
Informasjonssikkerhet Sikre opplysningenes Integritet Helse- og personopplysninger må være sikret mot utilsiktet eller uautorisert endring eller sletting. Helse- og personopplysninger må være korrekte, oppdaterte, relevante og tilstrekkelige som grunnlag for å yte helsehjelp 18
Hva er Normen Et omforent sett av adferdsregler og tiltak Besluttet og forvaltet av sektoren, forankret i EU-direktiv 46/95 artikkel 27 POL 42, 6 NOU 1997:19 Basert på lover og forskrifter kontrollert og godkjent av lovtolkende myndigheter (Normkrav har blitt innlemmet i lovverket f. eks Hpl 21a) Juridisk bindende ved avtale 13.04.2015 19
Styringsgruppen Helsedirektoratet Den norske Legeforening Sykepleierforbundet Norges Apotekforening KS Den norske Tannlegeforening Den off. tannhelsetjenesten Psykologene De regionale Helseforetak NAV Norsk Helsenett Private laboratorier Farmasøytene Fysioterapeutene DIFI (observatør) Datatilsynet (observatør) HOD (observatør) Observatører har tale- og forslagsrett Sekretariat i Helsedirektoratet 20
MULIGHETER Praktiske løsninger innenfor lovverkets rammer Bistå til en felles forståelse Påvirke lovtolkningen (hvordan skal alt dette forstås) 13.04.2015 21 /
Juridisk bindende Juridisk bindende for virksomheter som er tilknyttet Norsk Helsenett (iht avtalen om tilknytning) Kan være krav i en avtale (for eksempel databehandleravtale) Veiledende for alle andre 22
Normen med støttedokumenter Juridisk bindende ved avtale: Normen: Normen ( Code of conduct ) og en del faktaark / veiledere er oversatt til engelsk Veiledende: Støttedokumenter: Kursmateriell: Veiledere / malverk Faktaark 13.04.201 5 23 23
Struktur og innhold Styrende del Gjennomførende del Kontrollerende del Struktur og innhold i Normen speiler oppbygning av styringssystem 24
Struktur og innhold Styrende del viktige områder Definer ansvaret Etablere mål og strategi for informasjonssikkerhet Fastsette nivå for akseptabel risiko Utarbeide oversikt over behandlinger Styrende del er sentralt for ledelsen 25
Struktur og innhold Gjennomførende del viktige områder Tilgangsstyring Datakommunikasjon samhandling Opplæring Avtaler Drifts- og systemleverandører Gjennomførende del er sentral for IT-bestillerfunksjonen, ITleveranse, systemeiere og systemforvaltere 26
Struktur og innhold Kontrollerende del viktige områder Sikkerhetsrevisjon Risikovurdering Avvikshåndtering Ledelsens gjennomgang Kontrollerende del er sentral for ledelsen og informasjonssikkerhetsansvarlig 27
Krav til styringssystem for informasjonssikkerhet Samling av alle dokumenter i en bestemt struktur: Styringsdokumenter Prosedyrer Maler Opplæringsmateriell Skal være på plass i alle kommuner og hos driftsleverandører Skal jevnlig revideres Integreres i det totale styringssystemet i virksomheten (internkontrollsystemet) 28
Styringssystemet Eksempel på oppbygning Styrende del Kontrollerende del Gjennomførende del 13.04.2015 sikkerhetsnormen@helsedir.no / 29
Styringssystemet Styrende del: Overordnede føringer for bruk av informasjonsteknologi Sikkerhetsmål og strategi (se Normen kap. 4.2 og 4.3) Beskrivelse av sikkerhetsorganisasjon (se faktaark 1) Systemoversikt og klassifisering av systemer Oversikt over behandlinger inklusive formål og hjemmelsgrunnlaget for behandlingene (se faktaark 13) Nivå for akseptabel risiko (se faktaark 5) IKT-sikkerhetsinstruks 13.04.2015 sikkerhetsnormen@helsedir.no / 30
Styringssystemet Gjennomførende del: Prosedyrer som beskriver alle regler og krav til personvern og informasjonssikkerhet i kommune/virksomhet (se faktaark 3) Dokumentasjon av sikkerhetstiltak Opplæring Oversikt over partnere, databehandlere og leverandører Avtaler med partnere, databehandlere og leverandører 13.04.2015 sikkerhetsnormen@helsedir.no / 31
Styringssystemet Kontrollerende del: Risikovurdering (se faktaark 7) Plan for risikovurdering Prosedyre for gjennomføring av risikovurdering Behandling av resultat fra risikovurderinger Prosedyre for oppfølging av resultat fra risikovurderinger Sikkerhetsrevisjon (se faktaark 6 og 6b) Plan for gjennomføring av sikkerhetsrevisjoner (gjennomføres minimum årlig) Prosedyre for gjennomføring av sikkerhetsrevisjon Behandling av revisjonsrapporter Prosedyre for oppfølging av resultater fra sikkerhetsrevisjoner 13.04.2015 sikkerhetsnormen@helsedir.no / 32
Styringssystemet Kontrollerende del (forts): Avvikshåndtering (se faktaark 8) Prosedyre for avviksbehandling Resultat av avviksbehandling Ledelsens gjennomgang (se Normen kap 6.4) Prosedyre for ledelsens gjennomgang (gjennomføres minimum årlig) Behandling av referat fra ledelsens gjennomgang Prosedyre for oppfølging av handlingsplaner besluttet av ledelsen 13.04.2015 sikkerhetsnormen@helsedir.no / 33
Avvik Hva er avvik? > ethvert brudd på informasjonssikkerheten. F. eks.: - Utskrift kommer på feil skriver - Bærbart utstyr blir stjålet - Bruker låner ut brukernavn og passord til andre. - Helse- og personopplysninger blir sendt i usikret e-post - Tilgangsstyringen er feil innstilt - Datavirus -? Alle avvik skal rapporteres og gjennomgås, og korrektive tiltak iverksettes ved behov 13.04.2015 sikkerhetsnormen@helsedir.no / 34
Avviksbehandling ( se faktaark 8) 1. Avviksbehandlingen fastsettes/beskrives i en prosedyre 2. Det skal gis opplæring i: Hva er et avvik Hvordan skal man opptre når man oppdager et avvik Hvordan skal man rapportere Hvem skal man rapportere til 35 35
Avviksbehandlingsprosedyre Prosedyren må: Definere en fast mottaker av avviksmeldinger Beskrive hvordan avviksmeldingen håndteres hos mottaker Beskrive hvem som er ansvarlig for håndteringen Gi veiledning i hva som er et avvik Gi eksempler på hva som ikke er et avvik f.eks planlagt nedetid for systemet, planlagt oppdatering av systemet Melde avvik som skyldes eksterne kommunikasjonsparter til ekstern part, samt sørge for at ekstern part gir tilbakemelding om oppfølging av avviket 13.04.2015 sikkerhetsnormen@helsedir.no / 36
Avviksbehandlingsprosedyre Prosedyren bør: Identifisere årsaken til avviket Planlegge og gjennomføre tiltak for å forhindre gjentagelse Samle inn og sikre hendelsesregistre og eventuelle andre bevis Kommunikasjon med brukere som berøres av eller er involvert i gjenopprettingen Plassere ansvar for å lukke avviket Beskrive hva som må rapporteres til Datatilsynet Beskrive hvilke hendelser den berørte pasient/bruker bør informeres om 13.04.2015 sikkerhetsnormen@helsedir.no / 37
NORMEN Lovverkets krav - ferdig tolket og tygd Ingen begrensninger (nå) utover lovverkets krav, dvs det er lovverket som setter begrensningene I tillegg: Forslag til praktiske løsninger og bistand 13.04.2015 38
Utadrettet virksomhet Alle dokumenter Nyheter Nyhetsbrev (4 ganger årlig) Abonner! Normkonferansen (2015: 14-15 okt., Bergen) Kurs- og foredragsvirksomhet Bistand: send spørsmål til sikkerhetsnormen@helsedir.no 13.04.2015 sikkerhetsnormen@helsedir.no / 39
Praktisk bruk av Normen 1. Les Normen 2. Hva mangler hos meg 3. Hvordan får jeg dette på plass 1. Les den aktuelle veileder 2. Gjør som veilederen sier Du kan nå rolig vente på tilsynet 13.04.2015 sikkerhetsnormen@helsedir.no / 40