Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Instruktørnotater: Instruktør må ha videokanon Velkommen til kurset

PublisertHelga Skoglund Endret for 9 år siden

Liknende presentasjoner

Presentasjon om: "Instruktørnotater: Instruktør må ha videokanon Velkommen til kurset"— Utskrift av presentasjonen:

1 Instruktørkurs for kommuner Krav til informasjonssikkerhet (90 minutter)
Instruktørnotater: Instruktør må ha videokanon Velkommen til kurset Praktiske opplysinger

2 Innhold Mulige sårbarheter i kommunen
Krav til informasjonssikkerhetstiltak Tilgang til helse- og personopplysninger Tekniske sikkerhetsløsninger og tilkobling til eksterne nettverk Sikkerhets- og tilbakekopiering Service på datautstyr Utskrifter og faks Minnepinne og lagringsmedier SMS og e-post Fysisk sikkerhet Plassering av skjerm og skriver Hjemmekontor

3 Behandling og informasjonssikkerhet
Behandler helse- og personopplysninger om pasient og bruker –> konfidensialitet Helsepersonell – plikt til å føre journal –> integritet Forpliktelse ift pasienten/bruker – kontinuitet i behandling og omsorg –> tilgjengelighet Innhold i journal –> kvalitet Sett en felles plattform for instruktørene Konkretiser det typiske ved en tannklinikk Tema for presentasjonen

4 Eksempler på sårbarheter
Journalen er ufullstendig Uautorisert tilgang og innsyn i journal Tyveri av datautstyr med journalopplysninger Tap av lagringsmedia eller bærbar PC med journalopplysninger Ødeleggelse av lagringsmedia eller datautstyr Ny versjon av journalsystem installeres, men virker ikke Angi hvordan sårbarheten kan inntreffe Tyveri: Hva gjør du om tannklinikken mister alle timebøker, regnskapet, EPJ? Uautorisert Mangelfull tilgangsstyring – felles brukernavn og passord Journal endres av uautorisert Utskrifter på avveie - tyveri Tilgang til tannklinikkens nettverk – via Internett, trådløst nettverk, osv Skjerm plassert som tillater innsyn Skriver plassert som tillater adgang og tyveri Lagringsmedia – husk å nevne minnepinne – lett å ta med lett å miste Tema for presentasjonen

5 Eksempler på sårbarheter forts.
Trådløst nettverk er ikke sikret med autentisering på sikkerhetsnivå 4 Avtale med tjenesteyter dekker ikke personvern og informasjonssikkerhet SMS virker ikke eller er forsinket Uheldig bruk av helse- og personopplysninger i tverrfaglige team

6 Tilgang til helse- og personopplysninger
Tilgang kun ift. tjenstlig behov ved behandling av pasient og bruker (K) Tilgangsstyring i journalsystemet (K) Unik autentisering (rolle + brukernavn og passord) (K, I) Autorisering av den enkelte bruker (krav til 5 års oppbevaring) (K, I) Autentisering av den enkelte bruker (K, I) Hendelsesregistrering av (K, I) Autorisert bruk Forsøk på uautorisert bruk Årlig kontroll av tildelte autorisasjoner (K, I) Tilgangsstyring i journalsystemet Rolle; tannlege, tannpleier, systemadministrator Lese, skrive, endre, slette, makulere

7 Tekniske sikkerhetsløsninger
Autentisering på sikkerhetsnivå 4 for (K, I) mobilt utstyr hjemmekontor trådløs kommunikasjon avdelingskontor med linjer kommunen ikke har fysisk kontroll over Kryptering av ekstern kommunikasjon (K, I) To uavhengige tekniske tiltak mot eksterne nettverk (K, I) Hendelsesregistrering (krav til 2 års oppbevaring) (K, I) Operativsystem Sikkerhetsbarrierer Fagsystem Skille den enkelte kommune - interkommunalt samarbeide (K, I)

8 Definisjon av autentisering på nivå 4
Med ”sikkerhetsnivå 4” menes i Normen to-faktor autentisering hvor en faktor er dynamisk basert på kvalifiserte sertifikater og ellers tilfredsstiller kravene til sikkerhetsnivå 4 i ”Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor”.

9 Tilkobling til eksterne nettverk
Skille mellom behandling av helseopplysninger og eksterne nettverk (K, I) Teknisk løsning med sikkerhetsbarrierer (K, I) Hindre uautorisert tilgang Antivirus All kommunikasjon skal starte innenfra eget nettverk Løsningen fra Norsk helsenett er tilstrekkelig sikret (K, I) ?

10 Sikkerhets- og tilbakekopiering
Dokumenterte rutiner (K, I, T) Periodisk Ansvar Sikkerhetskopi skal oppbevares (K, I, T) Avlåst Brannsikkert Adskilt fra driftsutstyret (server) Jevnlig test at sikkerhetskopiene (T) er korrekte kan tilbakeføres Nødrutiner skal utarbeides – hva gjør kommunen om alle journaler er borte? (T) Ekstern oppbevaring av sikkerhetskopi anbefales (T)

11

12 Utskrifter / faks (papirdokumenter)
Rutiner for behandling av utskrifter (K) Sikring Arkivering Makulering Bruk av faks for helse- og personopplysninger (K) Anonymiseres Samtykke fra pasienten

13 Minnepinner og andre flyttbare lagringsmedier
Merkes tydelig (K) Skal krypteres (K, I) Slettes forsvarlig – destrueres ved utrangering (K) Oppbevares avlåst (K, I, T) Sendes som rekommandert post (K, I, T)

14 SMS og e-post (K) Skal aldri brukes til helseopplysinger
Skal aldri inneholde 11-sifferet fødselsnummer Mottas helseopplysninger via SMS eller e-post svarer kommunen at ”Henvendelser med helseopplysninger blir ikke besvart. Bruk telefon eller fremmøte” SMS krever samtykke fra pasient/bruker Faktaark 42 – Bruk av SMS i pasientkontakt Rutiner er tilstrekkelig sikring Tema for presentasjonen

15 Fysisk sikring Sikring av server og kommunikasjonsutstyr (K, I, T)
Bemannet eller avlåst område Sikring av PC (K, I, T) Soneprinsippet ifm. resepsjoner, behandlingsrom, mv. (K, I, T) Faktaark 17 – Fysisk sikring av områder og utstyr

16 Plassering av skjerm og skiver/faks (K)
Plasser skjerm og skriver skjermet for innsyn og adgang Gjør en gjennomgang av kommunens lokaler Viktig å ta hensyn til ved flytting

17 Hjemmekontor Arbeidsgivers utstyr (K, I, T)
Sikker teknisk løsning (K, I, T) Autentisering på sikkerhetsnivå 4 (K, I) Fysisk sikring av utstyr (K, I, T) Rutiner for bruk (K, I) Utskrift er ikke å anbefale (K) Hvis utskrift; sikring, arkivering, makulering Hindre uautorisert tilgang og innsyn (K, I) Kryptering av lagringsenhet på bærbart utstyr er tilstrekkelig (K, I) Tema for presentasjonen

18 Service på utstyr / avhending av utstyr
Skal utstyr som inneholder helse- og personopplysninger fjernes fra kommunen må det opprettes en databehandleravtale med serviceyter (K) Service på stedet er å anbefale, men ikke et krav Ved utrangering av utstyr/lagringsmedia skal lagringsmedia slettes forsvarlig eller destrueres (K)

19 Kvalitet Helse- og personopplysninger skal
henføres til rett identifisert person (I, T) føres i henhold til kodeverket (bl.a. ICD-10) (I) være fullstendige og ajourført i forhold til behandlingen av opplysningene (I)

20 Andre krav i Normen Taushetsplikt (K)
Kontroll av tilgangsstyring ved sikkerhetsbrudd (K, I, T) Nødrettstilgang skal grunngis og følges opp som avvik (K, I)

Laste ned ppt "Instruktørnotater: Instruktør må ha videokanon Velkommen til kurset"

Liknende presentasjoner

Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1

Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1
Kompetanseprogram for informasjonssikkerhet

Kompetanseprogram for informasjonssikkerhet
Er datasikkerhet viktig for deres firma ? Hva ville dere gjøre hvis alle data plutselig ble borte ved: •Tyveri ? •Brann ? •Datahavari ? •Menneskelig svikt.

Er datasikkerhet viktig for deres firma ? Hva ville dere gjøre hvis alle data plutselig ble borte ved: •Tyveri ? •Brann ? •Datahavari ? •Menneskelig svikt.
Krav til rettslig grunnlag for behandling av personopplysninger

Krav til rettslig grunnlag for behandling av personopplysninger
Instruktørnotater: Send ut veilederen i forbindelse med invitasjonen.

Instruktørnotater: Send ut veilederen i forbindelse med invitasjonen.
Norm for informasjonssikkerhet Modul 1 – Normen – en oversikt

Norm for informasjonssikkerhet Modul 1 – Normen – en oversikt
Kompetanseprogram for informasjonssikkerhet

Kompetanseprogram for informasjonssikkerhet
Forslag til sikkerhetsaktiviteter i SSP for 2005 Sjefrådgiver/avd.sjef Bjarte Aksnes, KITH.

Forslag til sikkerhetsaktiviteter i SSP for 2005 Sjefrådgiver/avd.sjef Bjarte Aksnes, KITH.
Kompetanseprogram for informasjonssikkerhet

Kompetanseprogram for informasjonssikkerhet
Sikkerhetsrevisjon Fra: Ove Olsen Sendt: 20. september :49

Sikkerhetsrevisjon Fra: Ove Olsen Sendt: 20. september :49
Prosjekt KomUt Kommunal utbredelse av meldinger

Prosjekt KomUt Kommunal utbredelse av meldinger
Instruktørkurs for kommuner Gjennomføring av lokale kurs (30 min)

Instruktørkurs for kommuner Gjennomføring av lokale kurs (30 min)
Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1

Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1
Strategi -og system workshop HiL Tor Holmen, Gunnar Bøe HiL, 2013-02-05.

Strategi -og system workshop HiL Tor Holmen, Gunnar Bøe HiL,
FEIDE Felles Elektronisk IDEntifikasjon som tilgangskontroll

FEIDE Felles Elektronisk IDEntifikasjon som tilgangskontroll
Norm for informasjonssikkerhet Helse-, omsorgs- og sosialsektoren.

Norm for informasjonssikkerhet Helse-, omsorgs- og sosialsektoren.
Prof. Dag Wiese Schartum, AFIN

Prof. Dag Wiese Schartum, AFIN
Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.

Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.

Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
Norm for informasjonssikkerhet Taushetsplikt

Norm for informasjonssikkerhet Taushetsplikt

Liknende presentasjoner

Annonser fra Google