Må man være syk i hodet for å ha helseopplysninger i skyen?



Like dokumenter
Helsetjenester i skyen sikkerhetsutfordringer og muligheter

Helsedata i skyen og personvern på viddene? Helge Veum, avdelingsdirektør H-dir arbeidsseminar om skyteknologi Kongsvinger 10.

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE

Kan du legge personopplysninger i skyen?

Sammendrag - Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Arkiv skal ikkje førast ut or landet

Partene: Sporveien AS. Org Heretter kalt Behandlingsansvarlig (kunden) Databehandler (Leverandør) Org. Nr. Heretter kalt Databehandler

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

HVEM ER JEG OG HVOR «BOR» JEG?

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Informasjonssikkerhet

Tjenester i skyen hva må vi tenke på?

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Skytjenester bruk dem gjerne, men bruk dem riktig

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss. Bjørn Erik Thon

Personvern - sjekkliste for databehandleravtale

Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie. Advokat Arve Føyen Advokatfirma Føyen Torkildsen AS

Skyløsninger. Sikkerhet og leveransemodell

Databehandleravtale etter personopplysningsloven

Advokat Arve Føyen Advokatfirmaet FØYEN Torkildsen

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler Advokat Herman Valen

Nettskyen, kontroll med data og ledelsens ansvar

Bruk av skytjenester og sosiale medier i skolen

Box: erfaringer med UNINETTs første internasjonale skytjeneste. Jan Meijer, UNINETT

Arkivsystemer med skyløsninger

Public 360 Online Datasikkerhet

Hvordan kan personvernet ivaretas i helsesektoren?

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo

Dumme spørsmål gir ubrukelige svar Om kvalitet på risikovurderinger knyttet til personvern og cloud tjenester

Databehandleravtaler m.m. etter GDPR

Risikogrupper og personvernhensyn hvor viktig er personvern når det gjelder sikkerhet, liv og helse?

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Informasjonssikkerhet, personvern og tilgangsstyring

Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie. Advokat Eva Jarbekk Advokatfirma FØYEN Torkildsen DA

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

Databehandleravtaler

Lagring av forskningsdata i Tjeneste for

Lagring av forskningsdata i Tjeneste for Sensitive Data

Hva må jeg tenke på for å være sikker på at data er trygt lagret i skyen? Marius Sandbu

Personvern i skyen Medlemsmøte i Cloud Security Alliance

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Software Innovation med Public 360 Online. Odd-Henrik Hansen, Salgsdirektør og partneransvarlig Oktober 2014

HVA ER SKYTJENESTER? Balanserte anskaffelser 19.juni

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Mobile enheter, sikkerhet og personvern. Bjørn Erik Thon direktør

Registrering og innsamling av helsedata sett opp mot IT - sikkerhet Kvalitetsregisterkonferanse Tromsø

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

Nytt lovverk - Internkontroll og skylagring. Er du forberedt på nye krav i arkivforskrift om internkontroll og skylagring?

Diabetesforbundet. Personvernerklæring

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011

Retningslinjer for personvern og markedsføring

Bjørn Erik Thon Direktør

Utviklingen av framtidas elektroniske forvaltning hvor går grensen

OM PERSONVERN TRONDHEIM. Mai 2018

Plikt- og rettssubjekter. Den som har krav på noe, den som har rett på noe. Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort

Personvern og tilgang i journal Internt & Eksternt. Helge Veum, senioringeniør HelsIT, Trondheim, 25. september 2008

OBC FileCloud vs. Dropbox

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

Skytjenester (Cloud computing)

Innsatsområder nasjonalt nivå i helsetjenesten Nasjonalt meldingsløft Kjernejournal Helsepolitiske mål E-resept Helseportal Helseregistre EPJ Velferds

Lovlig bruk av Cloud Computing. Hallstein Husand Sikkerhetskonferansen 2013 Gjøvik 15. april 2013

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Pasientjournalloven - endringer og muligheter

Personvern eller Digitale tjenester Ja, takk begge deler

Johnson Controls bindende konsernregler for personvern

Atle Årnes Fagdirektør. Personvern og bolig

Bedre personvern i skole og barnehage

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

En monopolvirksomhets sikkerhetsferd mot den offentlige skyen

Falske Basestasjoner Hvordan er det mulig?

Lovgivningens krav til sikkerhet ved outsourcing - offshoring

Kontraktsstrategi. DNDs IT-kontraktsdag 10. september Thor Jusnes Haavinds IT & Outsourcing praksis T: E: t.jusnes@haavind.

Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette.

GDPR-status fra en kommune

Mobilbank kontrollspørsmål apper

Hva er eforvaltning? En oppsummering fra Teknologirådets prosjekt om offentlige tjenester på internett

Smarte bygg og personvern

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Når du ønsker å inngå en avtale med oss, må vi registrere nødvendig informasjon for å levere tjenester vedrørende din tilknytning til strømnettet.

Personvern og velferdsteknologi

Opplæringsbehov etter helseforskningsloven

Hvordan få tilgang til journalopplysning fra andre virksomheter

Internkontroll og informasjonssikkerhet lover og standarder

Sverre Engelschiøn. Oslo 19. Mai 2008

Skytjenester regler, sårbarheter, tiltak i finanssektoren. v/ Atle Dingsør

Sikkerhet ved outsourcing. Espen Grøndahl IT-sikkerhetssjef UiO

Databehandleravtale for NLF-medlemmer

Bedre helse og sikkerhet med EPJ

Transkript:

Må man være syk i hodet for å ha helseopplysninger i skyen? Martin Gilje Jaatun Norm-konferansen 14/10 2015 @seniorfrosk SINTEF ICT 1

Utfordringer i nettskyen Lange leverandørkjeder Kompleksitet Skala (Big) Data mining Tap av styring Lock-in Ufullstendig sletting av data Isoleringsfeil Etterlevelse av lover og regler SINTEF ICT 2

Isolasjonsfeil "Trangboddhet" (Multi-tenancy) betyr at data fra flere kunder lagres og prosesseres på den samme infrastrukturen vha. virtualisering Utilstrekkelig beskyttelse kan føre til eksponering av konfidensielle data Isolasjonsfeil SINTEF ICT 3

Isolasjon: Bring your own cloud Individual Service End User (Customer) Som privat borger egovernment app ehealth Bedriftsapplikasjoner SINTEF ICT 4

Etterlevelse av lover og regler Personvernlovgivning forbyr overføring av sensitive personopplysninger fra Norge/EU til jurisdiksjoner uten "tilstrekkelig beskyttelse" Dataflyter er dynamiske, og kan gå både horisontalt og vertikalt Compliance Hazard SINTEF ICT 5

Ufullstendig sletting av data Redundant lagring og datamigrering kan føre til at flere kopier lagres på forskjellige fysiske infrastrukturer Ufullstendig sletting av data SINTEF ICT 6

Fare for å bli parkert inne (lock-in) Proprietære formater kan gjør flytting fra en skytilbyder til en annen vanskelig om ikke umulig Dataoverføringskostnader kan svi Ikke sikkert det koster det samme å laste opp som ned En liten sildring med data gjennom årene kan fort bli en stor flom hvis alt skal flyttes på en gang Hva skjer hvis en nettskytilbyder går konk? Lock in Hazard Organizational Service End User 7 SINTEF ICT

Et sted i verden SINTEF ICT 8

Bakteppe: Fjernmonitorering av pasienter Smart seng, smart stol Livstegn Pulsrate Blodtrykk Oxymeter Pulsmåler, pustesensor Blodsukkermåler Implantert insulinpumpe Trådløs kontroll https://www.flickr.com/photos/niklasstjerna/2639071986/ SINTEF ICT 9

A4Cloud Use Case: "M-plattformen" Hovedkarakteristika: Data fra medisinske sensorer er "sensitive personopplysninger" Nettskyløsningen har en kjede av leverandører Hvem kan stilles til ansvar for hva? SINTEF ICT 10

https://www.flickr.com/photos/mikecogh/ CC BY-SA 2.0 Metode: Fokusgrupper En fokusgruppe er en gruppediskusjon over et gitt tema, som observeres, styres og registreres av en forsker Fokusgruppene var en del av workshopen "Helseopplysninger i skyen", med mange teknologer innen helse og velferd 52 (40) interessenter deltok i workshopen (fokusgruppene) Diskusjonstemaet var "utfordringer for offentlige helsetjenester i skyen" Sett ut fra Pasientperspektivet, Sykehusperspektivet, Tilbyderperspektivet og Myndighets-/tilsynsperspektivet SINTEF ICT 11

Utfordringer 1. Eierskap Pasienter eier sine egne personopplysninger, men helsepersonell trenger jevnlig tilgang til dem 2. Personvernpreferanser En sky-basert løsning må ta hensyn til pasientenes personvernpreferanser, men det er en balanse mellom tilgjengelighet og personvern 3. Gi kontrollen til pasientene I tilfeller der massive mengder sensitive data samles inn av sensorer er det uklart hvem som burde kontrollere og begrense innsamlingen SINTEF ICT 12

Utfordringer, forts. 4. Kvaliteten på sensorene Brukbarheten av "selvdiagnose"-sensorer er høyst variabel 5. Mangel på bevis (evidens) Sykehuset må forsikre seg om at tredjeparts tjenestetilbydere kun prosesserer data slik de er instruert 6. Uformell informasjonsdeling Hvordan skal man dokumentere informasjon som ikke passer inn i pasientjournalen? SINTEF ICT 13

Utfordringer, forts. 7. Aksesskontroll og logging Uklart hvem som kan aksessere pasientdataene; vil alt bli revidert og logget? 8. Mulighet til å kreve fysisk revisjon Norske sykehus er små aktører med begresede muligheter til å komme med bastante krav 9. Standardisering Helsevirksomheter og leverandører foretrekker standardiserte løsninger uklart hvordan skytjenester kan integreres SINTEF ICT 14

Utfordringer, forts. 10.Sentraliseringsrisikoen Alle norske helsevirksomheter i dag administrerer sine egne IT-systemer 11.Juridiske hindre Personvernlovgivningen oppfattes som en nesten uoverstigelig hindring. SINTEF ICT 15

Breaking news! Sikkerhet er ikke en tilstand, men en prosess http://www.wsj.com/articles/eu-court-strikes-down-trans-atlantic-safe-harbor-data-transfer-pact-1444121361 SINTEF ICT 16

Det viktigste å huske Datatilsynet kommer ikke til å nekte deg å plassere helsedata i skyen! Men: Bruk av nettsky fritar deg ikke for ansvaret som databehandlingsansvarlig Databehandleravtale Risikoanalyse! God praksis for informasjonssikkerhet Akseptabel risiko! SINTEF ICT 17

Photo by Carol Walker https://www.flickr.com/photos/78365458@n00/ (CC BY 2.0) (Cropped) Grunner til å stole på skyen SINTEF ICT 18

https://www.flickr.com/photos/bovinity/ CC BY-SA 2.0) Automatiske oppdateringer SINTEF ICT 19

Automatisk sikkerhetskopi SINTEF ICT 20

http://www.flickr.com/photos/frenkieb/ Profesjonell administrasjon & sikkerhet Ditt administratorteam Googles administratorteam http://www.flickr.com/photos/ctbto/ SINTEF ICT 21

https://www.flickr.com/photos/nate/ CC BY 2.0 Hvor skal man begynne? SINTEF ICT 22

Hva finnes det av veiledninger? NIST SP 800-144 Guidelines on Security and Privacy in Public Cloud Computing Cloud Security Alliance Cloud Controls Matrix (CCM) FedRAMP Security Controls Baseline Procure Secure - A guide to monitoring of security service levels in cloud contracts SINTEF ICT 23

Sjekklister er fine greier! http://infosec.sintef.no/informasjonssikkerhet/2015/08/sjekkliste-for-sikkerhet-i-skytjenester/ SINTEF ICT 24

SINTEF ICT 25

Interessert i mer? http://a4cloud.eu https://csanorway.no http://infosec.sintef.no/informasjonssikkerhet/ 2013/09/utfordringer-for-ansvarliggjoring-inettskyen/ SINTEF ICT 26

Spørsmål? twitter.com/ SINTEF_Infosec http://infosec.sintef.no SINTEF ICT 27

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding