Norm for informasjonssikkerhet i helse- og omsorgssektoren - PowerPoint PPT Presentation

norm for informasjonssikkerhet i helse og omsorgssektoren n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Norm for informasjonssikkerhet i helse- og omsorgssektoren PowerPoint Presentation
Download Presentation
Norm for informasjonssikkerhet i helse- og omsorgssektoren

play fullscreen
1 / 57
Norm for informasjonssikkerhet i helse- og omsorgssektoren
225 Views
Download Presentation
elaine-sutton
Download Presentation

Norm for informasjonssikkerhet i helse- og omsorgssektoren

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Norm for informasjonssikkerhet i helse- og omsorgssektoren Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Fagdager elektronisk dokumentasjon frisklivssentraler 05.09.14 Norm for informasjonssikkerhet

  2. Agenda 1. 2. 3. 4. Informasjonssikkerheti helse- og omsorgssektoren Hva er Normen? Normen: Krav og hjelpemidler Quiz og diskusjonsoppgaverunderveis Norm for informasjonssikkerhet

  3. Nasjonale innsatsområder for e-helse Én innbygger – én journal Styring, koordinering og prioritering Styrings- og kunnskaps- grunnlag Innbygger-tjenester Helsepersonell-tjenester Personvern og informasjonssikkerhet Standarder, terminologi og kodeverk Forskning, innovasjon og kompetanse IKT-infrastruktur og felleskomponenter Norm for informasjonssikkerhet

  4. Helse- og omsorgssektoren • Omfattendebåde i antall årsverk og omsetning • Organisatorisk fragmentert • Har sensitive personopplysninger som grunnlag for all virksomhet • Krever stadig mer samhandling på tvers • Omfattes av stort og komplekst lovverk Norm for informasjonssikkerhet

  5. Kjartan Olafsson, Legeforeningen, Normkonferansen 2012 Norm for informasjonssikkerhet

  6. Teknologi… http://www.alivecor.com/ https://skinvision.com/ Norm for informasjonssikkerhet

  7. Trusler… Norm for informasjonssikkerhet

  8. … og sikkerhetskulturen? Norm for informasjonssikkerhet

  9. Norm for informasjonssikkerhet

  10. Det handler om tillit… Colourbox.com Norm for informasjonssikkerhet

  11. Oppgave 1 Norm for informasjonssikkerhet

  12. Fra «Personvern 2014» Utgitt 2014 av Datatilsynet og Teknologirådet https://www.datatilsynet.no/Global/04_planer_rapporter/Persovern_tilstandogtrender_2014.pdf Norm for informasjonssikkerhet

  13. Fra «Personvern 2014» Utgitt 2014 av Datatilsynet og Teknologirådet https://www.datatilsynet.no/Global/04_planer_rapporter/Persovern_tilstandogtrender_2014.pdf Norm for informasjonssikkerhet

  14. Fra «personvern 2014» Utgitt 2014 av Datatilsynet og Teknologirådet https://www.datatilsynet.no/Global/04_planer_rapporter/Persovern_tilstandogtrender_2014.pdf Norm for informasjonssikkerhet

  15. HVA ER Normen? Norm for informasjonssikkerhet

  16. Bransjenormer Norm for informasjonssikkerhet

  17. Norm for informasjonssikkerheti helse og omsorgssektoren www.normen.no • Et omforent sett av adferdsregler og tiltak • Besluttet og forvaltet av sektoren, forankret i • EU-direktiv 46/95 artikkel 27 • POL §42, 6 • Arbeidet startet opp i 2003, versjon 1 klar i 2006,versjon 4 i 2014 Norm for informasjonssikkerhet

  18. Normen: Forenkler, og gjør tilgjengelig Kontrollert og godkjent av lovtolkende myndigheter Dekker alle informasjons-sikkerhetskrav til sektoren i lovverket Norm for informasjonssikkerhet

  19. Styringsgruppens mandat Nytt mandat vedtatt juni 2013 Styringsgruppens overordnede mål for Norm for informasjonssikkerhet helse-, omsorgs- og sosialsektoren (Normen) er god og sikker informasjonsbehandling. Normen skal, innenfor lovverkets rammer, søke en balansert tilnærming til konfidensialitet, tilgjengelighet, integritet og kvalitet. Normen skal bidra til å understøtte gode helsetjenester, god pasientsikkerhet, de ansattes personvern, og en aktiv pasientrolle. Norm for informasjonssikkerhet

  20. Styringsgruppen (1): Norm for informasjonssikkerhet

  21. Styringsgruppen (2): Sekretariatet er plassert i Helsedirektoratet, med fast deltakelse fra Norsk Helsenett Norm for informasjonssikkerhet

  22. Normen med støttedokumenter Normen (”Code ofconduct”) og en del faktaark / veiledere er oversatt til engelsk Juridisk bindende ved avtale: Normen: Støttedokumenter: Veiledende: Kursmateriell: Normkonferansen Nyhetsbrev Svartjeneste www.normen.no Faktaark Veiledere / malverk Norm for informasjonssikkerhet

  23. Veiledninger / faktaark … Norm for informasjonssikkerhet

  24. Utadrettet virksomhet • Alle dokumenter på normen.no • Forslagskasse og svartjeneste • Foredrag og årlig normkonferanse • Utarbeidelse av kursmateriell og gjennomføring av kurs • Bistår profesjonsorganisasjonene i utarbeidelse av e-læringsprogrammer for informasjonssikkerhet sikkerhetsnormen@helsedir.no Norm for informasjonssikkerhet

  25. Normkonferansen 2014 • 14. – 15 oktober 2014 • Rica Park Holmenkollen Hotel, Oslo Norm for informasjonssikkerhet

  26. Nyheter og planlagte leveranser Norm for informasjonssikkerhet

  27. Oppgave 2 og 3 Norm for informasjonssikkerhet

  28. Oppgave 2 Norm for informasjonssikkerhet

  29. NORMEN: Krav og hjelpemidler Norm for informasjonssikkerhet

  30. Innhold Introduksjon Hva gir Normen – styringssystem Styrende del Gjennomførende del - krav til informasjonssikkerhet Kontrollerende del Risikovurdering Aktuelle veiledere og faktaark Norm for informasjonssikkerhet | 30

  31. Helseregisterloven § 16 …gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet… …dokumentere informasjonssystemet og sikkerhetstiltakene… Norm for informasjonssikkerhet

  32. Styringssystem Norm for informasjonssikkerhet

  33. Hva gir Normen - styringssystem • Samling av alle dokumenter i en bestem struktur: • Styringsdokumenter • Prosedyrer • Maler • Opplæringsmateriell • NB! Styringssystem skal være på plass i alle virksomheter som behandler helse- og personopplysninger Norm for informasjonssikkerhet | 33

  34. Hva gir Normen - styringssystem Norm for informasjonssikkerhet

  35. Hva gir Normen - styringssystem Styrende del Fastsette ansvaret Databehandlingsansvarlig Databehandler Etablere mål og strategi for informasjonssikkerhet Fastsette nivå for akseptabel risiko Utarbeide oversikt over behandlinger Norm for informasjonssikkerhet | 35

  36. Sentrale sikkerhetsmål • Helse- og personopplysninger skal • Være tilgjengelig for rett personell til rett tid i henhold til fastsatte prinsipper for tilgangsstyring etter pkt. 5.2 nedenfor. • Behandles i tråd med reglene om taushetsplikt og være beskyttet slik at uvedkommende ikke får kjennskap til opplysningene. Uvedkommende omfatter også personell som ikke har tjenstlig behov. • Være fullstendige, oppdaterte og korrekte og et resultat av rettmessige registreringer og kontrollerte aktiviteter. • Begrenses slik at kun det som er nødvendig av helse- og personopplysningerbehandles. Norm for informasjonssikkerhet

  37. Hva gir Normen - styringssystem Gjennomførende del – krav til informasjonssikkerhet Ansvarliggjøring av ansatte - taushetsplikt Tilgangsstyring Behandling av helse- og personopplysninger Sikring av områder og utstyr Etablering og drift av informasjonssystemet Opplæring og kompetanse Datakommunikasjon (samhandling internt og eksternt) Avtaler (f.eksdatabehandleravtale) Norm for informasjonssikkerhet | 37

  38. Tilgangsstyring • All tilgang til helse- og personopplysninger skal baseres på en tildelt rolle i fagsystemet • Rollen gir autorisasjon for å • lese, registrere, redigere, rette, slette og/eller sperre helse- og personopplysninger • All tildelte autorisasjoner skal kontrolleres minimum årlig • Databehandlingsansvarlig skal sørge for at det oppettes et autorisasjonsregister. Norm for informasjonssikkerhet | 38

  39. Hendelsesregistrering • Hendelsesregistre (bruk av fagsystemet) skal minimum inneholde • entydig identifikator for den autoriserte brukeren • rollen den autoriserte brukeren har ved tilgangen • virksomhetstilhørighet • organisatorisk tilhørighet til den som er autorisert • hvilke type opplysninger det er gitt tilgang til • grunnlaget for tilgangen • tidspunkt og varighet for tilgangen • Hendelsesregisteret skal oppbevares i minimum 2 år • Hendelsesregistre skal analyseres (ukentlig) • Pasienten har rett til å få utlevert sin logg • Være oppmerksom på helseregisterloven § 21a Norm for informasjonssikkerhet | 39

  40. Hva gir Normen - styringssystem Kontrollerende del Avvikshåndtering Sikkerhetsrevisjon Ledelsens gjennomgang Risikovurdering Norm for informasjonssikkerhet | 40

  41. Risikovurdering • Identifisere mulige svakheter i eksisterende løsninger • Tilgangsstyring • Teknisk løsning • Bruk av fagsystem • Fysisk sikring • Avtaler • … • Vurdere om svakheter kan/vil ha innvirkning på behandling av helse- og personopplysninger • Bruk tilgjengelig mal på www.normen.no Norm for informasjonssikkerhet | 41

  42. Risikovurdering(Normen, kap 4.6, faktaark 07) • Risikovurdering skal som minimum gjennomføres før: • det iverksettes behandling av helse- og personopplysninger • etablering av nye informasjonsbehandlingssystemer eller registre som inneholder helse- og personopplysninger • det iverksettes organisatoriske endringer som kan påvirke informasjonsbehandlingen • det iverksettes tekniske endringer i utstyr og/eller programvare som kan påvirke informasjonsbehandlingen • det iverksettes andre endringer med betydning for informasjonssikkerheten Norm for informasjonssikkerhet

  43. Oppgave 4 og 5.Hvis tid oppgave 6 og 7 Norm for informasjonssikkerhet

  44. Oppgave 5 For hjelp til konsekvensvurdering: faktaark 7 Sannsynlighet x konsekvens = 3 x 4 = 12. Høy risiko Norm for informasjonssikkerhet

  45. Oppgave 6 – hva er sensitive personopplysninger: Norm for informasjonssikkerhet

  46. Noen aktuelle veiledere og faktaark Norm for informasjonssikkerhet

  47. Førende anbefaling for personvern og informasjonssikkerhet Den registrertes rettigheter Sikkerhetskrav for fagsystemer ved etablering i bruk ved utfasing Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner Norm for informasjonssikkerhet

  48. Norm for informasjonssikkerhet

  49. Veileder for etablering av virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap • Med avtaleeksempler • Gruppepraksis • Profesjonssamarbeid • Kommune med dels kommunal og dels privat hjemmetjeneste • Kommune med privat sykehjem og kommunal hjemmetjeneste • Lokalmedisinsk senter og intermediært tilbud Norm for informasjonssikkerhet

  50. Veileder video-, lyd- og bildeopptak av pasient / bruker • Ulike formål, f.eks • Dokumentasjon av helsehjelp • Veiledning , undervisning • Internkontroll og Informasjonssikkerhet • Mal informasjons- og samtykkeskjema • Mal risikovurdering - med eksempelscenarier Norm for informasjonssikkerhet