Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Norm for informasjonssikkerhet i helse- og omsorgssektoren

Liknende presentasjoner


Presentasjon om: "Norm for informasjonssikkerhet i helse- og omsorgssektoren"— Utskrift av presentasjonen:

1 Norm for informasjonssikkerhet i helse- og omsorgssektoren
Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Fagdager elektronisk dokumentasjon frisklivssentraler Norm for informasjonssikkerhet

2 Norm for informasjonssikkerhet
Agenda Informasjonssikkerhet i helse- og omsorgssektoren Hva er Normen? Normen: Krav og hjelpemidler Quiz og diskusjonsoppgaver underveis 1. 2. 3. 4. Norm for informasjonssikkerhet

3 Nasjonale innsatsområder for e-helse
Styrings- og kunnskaps- grunnlag Innbygger-tjenester Helsepersonell-tjenester IKT-infrastruktur og felleskomponenter Styring, koordinering og prioritering Personvern og informasjonssikkerhet Standarder, terminologi og kodeverk Forskning, innovasjon og kompetanse Én innbygger – én journal Handlingsplanen er delt inn i 9 innsatsområder Styring, koordinering og prioritering Innbyggertjenester Helsepersonelltjenester Styrings- og kunnskapsgrunnlag Personvern og informasjonssikkerhet Standarder, terminologi og kodeverk Forskning, innovasjon og kompetanse Infrastruktur og felleskomponenter Utredning av Én innbygger – én journal Som grunnlag for hele handlingsplanen og alle 9 innsatsområder er Stortingsmelding nr 9 Én innbygger – én journal. Stortingsmeldingen har både et langsiktig og et kortsiktig perspektiv. Det langsiktige perspektivet tas ned i det fremtidige utredningsarbeidet, det kortsiktige perspektivet tas ned her i denne handlingsplanen. Jf. forrige foil. 40 Tiltaksområder 130 Tiltak Norm for informasjonssikkerhet

4 Helse- og omsorgssektoren
Omfattende både i antall årsverk og omsetning Organisatorisk fragmentert Har sensitive personopplysninger som grunnlag for all virksomhet Krever stadig mer samhandling på tvers Omfattes av stort og komplekst lovverk Norm for informasjonssikkerhet

5 Norm for informasjonssikkerhet
Kjartan Olafsson, Legeforeningen, Normkonferansen 2012 Norm for informasjonssikkerhet

6 Norm for informasjonssikkerhet
Teknologi… https://skinvision.com/ Norm for informasjonssikkerhet

7 Norm for informasjonssikkerhet
Trusler… Norm for informasjonssikkerhet

8 … og sikkerhetskulturen?
Norm for informasjonssikkerhet

9 Norm for informasjonssikkerhet

10 Norm for informasjonssikkerhet
Det handler om tillit… Colourbox.com Norm for informasjonssikkerhet

11 Norm for informasjonssikkerhet
Oppgave 1 Norm for informasjonssikkerhet

12 Norm for informasjonssikkerhet
Fra «Personvern 2014» Utgitt 2014 av Datatilsynet og Teknologirådet https://www.datatilsynet.no/Global/04_planer_rapporter/Persovern_tilstandogtrender_2014.pdf Norm for informasjonssikkerhet

13 Norm for informasjonssikkerhet
Fra «Personvern 2014» Utgitt 2014 av Datatilsynet og Teknologirådet https://www.datatilsynet.no/Global/04_planer_rapporter/Persovern_tilstandogtrender_2014.pdf Norm for informasjonssikkerhet

14 Norm for informasjonssikkerhet
Fra «personvern 2014» Utgitt 2014 av Datatilsynet og Teknologirådet https://www.datatilsynet.no/Global/04_planer_rapporter/Persovern_tilstandogtrender_2014.pdf Norm for informasjonssikkerhet

15 Norm for informasjonssikkerhet
HVA ER Normen? Norm for informasjonssikkerhet

16 Norm for informasjonssikkerhet
Bransjenormer Tittel År Norm for informasjonssikkerhet i helse- og omsorgssektoren 2006 Bransjenorm for behandling av personopplysninger i den norske inkassobransjen 2008 European code of conduct of FEDMA for the use of personaldata in direct marketing 2010 Bransjenorm for e-billettering 2011 Norm for idrettens databehandling Normen: Norges første bransjenorm for informasjonssikkerhet med utgangspunkt i EU-direktiv 46/95 artikkel 27 Og POL §42, 6. Siden har flere sektorer kommet til Norm for informasjonssikkerhet

17 Norm for informasjonssikkerhet i helse og omsorgssektoren
Et omforent sett av adferdsregler og tiltak Besluttet og forvaltet av sektoren, forankret i EU-direktiv 46/95 artikkel 27 POL §42, 6 Arbeidet startet opp i 2003, versjon 1 klar i 2006, versjon 4 i 2014 Norm for informasjonssikkerhet

18 Normen: Forenkler, og gjør tilgjengelig
Kontrollert og godkjent av lovtolkende myndigheter Dekker alle informasjons-sikkerhetskrav til sektoren i lovverket Norm for informasjonssikkerhet

19 Styringsgruppens mandat
Nytt mandat vedtatt juni 2013 Styringsgruppens overordnede mål for Norm for informasjonssikkerhet helse-, omsorgs- og sosialsektoren (Normen) er god og sikker informasjonsbehandling. Normen skal, innenfor lovverkets rammer, søke en balansert tilnærming til konfidensialitet, tilgjengelighet, integritet og kvalitet. Normen skal bidra til å understøtte gode helsetjenester, god pasientsikkerhet, de ansattes personvern, og en aktiv pasientrolle. Norm for informasjonssikkerhet

20 Norm for informasjonssikkerhet
Medlem Representant ​KS Stein Schatvet (leder) John Horve ​Den norske lægeforening Kjartan Olafsson ​Den norske tannlegeforening Aril Jul Nilsen ​Norsk sykepleierforbund Asbjørn Finstad ​Apotekforeningen Astrid Marie Reksnes ​Norsk farmaceutisk forening Guri Wilhelmsen ​Regionale helseforetak Helse Sør-Øst: Helse Vest: Helse Midt-Norge: Helse Nord: Henriette Henriksen Lars Erik Baugstø-Hartvigsen Gunnar Watn Per Bruvold ​ Norsk Helsenett Håkon Grimstad Helsedirektoratet ​ Torunn Janbu Sidsel Nordhagen Styringsgruppen (1): Norm for informasjonssikkerhet

21 Norm for informasjonssikkerhet
Medlem Representant Fürst / Private laboratorier Sten-Tore Fiskerud ​NAV Johs. Hammer ​Den offentlige tannhelsetjeneste Kirsten Nerheim Ahlsen ​Norsk psykologforening ​Andreas Høstmælingen ​Norsk Fysioterapeutforbund ​Henrietta Richter Uitdenbogaardt ​- ​Observatører Datatilsynet ​ Helge Veum ​Helse- og omsorgsdepartementet Darlén Gjølstad Difi​ Jon Berge Holden Styringsgruppen (2): Sekretariatet er plassert i Helsedirektoratet, med fast deltakelse fra Norsk Helsenett Norm for informasjonssikkerhet

22 Normen med støttedokumenter
Normen (”Code of conduct”) og en del faktaark / veiledere er oversatt til engelsk Juridisk bindende ved avtale: Normen: Støttedokumenter: Veiledende: Kursmateriell: Normkonferansen Nyhetsbrev Svartjeneste Veiledere / malverk Faktaark Norm for informasjonssikkerhet

23 Veiledninger / faktaark
Norm for informasjonssikkerhet

24 Utadrettet virksomhet
Utadrettet virksomhet Alle dokumenter på normen.no Forslagskasse og svartjeneste Foredrag og årlig normkonferanse Utarbeidelse av kursmateriell og gjennomføring av kurs Bistår profesjonsorganisasjonene i utarbeidelse av e-læringsprogrammer for informasjonssikkerhet Norm for informasjonssikkerhet Tema for presentasjonen

25 Norm for informasjonssikkerhet
Normkonferansen 2014 14. – 15 oktober 2014 Rica Park Holmenkollen Hotel, Oslo Norm for informasjonssikkerhet

26 Nyheter og planlagte leveranser
Tilgjengelig nå Normen 4.0 Veileder for psykologer, fysioterapeuter m.fl Desember 2014 (tentativt) Veileder velferdsteknologi Veileder informasjonssikkerhet og medisinsk-teknisk utstyr Våren 2015 Normen 5.0 Endringer som følge av ny pasientjournallov og ny helseregisterlov Norm for informasjonssikkerhet

27 Norm for informasjonssikkerhet
Oppgave 2 og 3 Norm for informasjonssikkerhet

28 Norm for informasjonssikkerhet
Oppgave 2 Norm for informasjonssikkerhet

29 NORMEN: Krav og hjelpemidler
Norm for informasjonssikkerhet

30 Norm for informasjonssikkerhet
Innhold Introduksjon Hva gir Normen – styringssystem Styrende del Gjennomførende del - krav til informasjonssikkerhet Kontrollerende del Risikovurdering Aktuelle veiledere og faktaark Norm for informasjonssikkerhet | 30

31 Norm for informasjonssikkerhet
Helseregisterloven § 16 …gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet… …dokumentere informasjonssystemet og sikkerhetstiltakene… Norm for informasjonssikkerhet

32 Norm for informasjonssikkerhet
Styringssystem Norm for informasjonssikkerhet

33 Hva gir Normen - styringssystem
Samling av alle dokumenter i en bestem struktur: Styringsdokumenter Prosedyrer Maler Opplæringsmateriell NB! Styringssystem skal være på plass i alle virksomheter som behandler helse- og personopplysninger Norm for informasjonssikkerhet | 33

34 Hva gir Normen - styringssystem
Styrende del Gjennomførende del Kontrollerende del Norm for informasjonssikkerhet

35 Hva gir Normen - styringssystem
Styrende del Fastsette ansvaret Databehandlingsansvarlig Databehandler Etablere mål og strategi for informasjonssikkerhet Fastsette nivå for akseptabel risiko Utarbeide oversikt over behandlinger Norm for informasjonssikkerhet | 35

36 Sentrale sikkerhetsmål
Helse- og personopplysninger skal Være tilgjengelig for rett personell til rett tid i henhold til fastsatte prinsipper for tilgangsstyring etter pkt. 5.2 nedenfor. Behandles i tråd med reglene om taushetsplikt og være beskyttet slik at uvedkommende ikke får kjennskap til opplysningene. Uvedkommende omfatter også personell som ikke har tjenstlig behov. Være fullstendige, oppdaterte og korrekte og et resultat av rettmessige registreringer og kontrollerte aktiviteter. Begrenses slik at kun det som er nødvendig av helse- og personopplysninger behandles. Norm for informasjonssikkerhet

37 Hva gir Normen - styringssystem
Gjennomførende del – krav til informasjonssikkerhet Ansvarliggjøring av ansatte - taushetsplikt Tilgangsstyring Behandling av helse- og personopplysninger Sikring av områder og utstyr Etablering og drift av informasjonssystemet Opplæring og kompetanse Datakommunikasjon (samhandling internt og eksternt) Avtaler (f.eks databehandleravtale) Norm for informasjonssikkerhet | 37

38 Norm for informasjonssikkerhet
Tilgangsstyring All tilgang til helse- og personopplysninger skal baseres på en tildelt rolle i fagsystemet Rollen gir autorisasjon for å lese, registrere, redigere, rette, slette og/eller sperre helse- og personopplysninger All tildelte autorisasjoner skal kontrolleres minimum årlig Databehandlingsansvarlig skal sørge for at det oppettes et autorisasjonsregister. Norm for informasjonssikkerhet | 38

39 Hendelsesregistrering
Hendelsesregistre (bruk av fagsystemet) skal minimum inneholde entydig identifikator for den autoriserte brukeren rollen den autoriserte brukeren har ved tilgangen virksomhetstilhørighet organisatorisk tilhørighet til den som er autorisert hvilke type opplysninger det er gitt tilgang til grunnlaget for tilgangen tidspunkt og varighet for tilgangen Hendelsesregisteret skal oppbevares i minimum 2 år Hendelsesregistre skal analyseres (ukentlig) Pasienten har rett til å få utlevert sin logg Være oppmerksom på helseregisterloven § 21a Norm for informasjonssikkerhet | 39

40 Hva gir Normen - styringssystem
Kontrollerende del Avvikshåndtering Sikkerhetsrevisjon Ledelsens gjennomgang Risikovurdering Norm for informasjonssikkerhet | 40

41 Norm for informasjonssikkerhet
Risikovurdering Identifisere mulige svakheter i eksisterende løsninger Tilgangsstyring Teknisk løsning Bruk av fagsystem Fysisk sikring Avtaler Vurdere om svakheter kan/vil ha innvirkning på behandling av helse- og personopplysninger Bruk tilgjengelig mal på Norm for informasjonssikkerhet | 41

42 Risikovurdering (Normen, kap 4.6, faktaark 07)
Risikovurdering skal som minimum gjennomføres før: det iverksettes behandling av helse- og personopplysninger etablering av nye informasjonsbehandlingssystemer eller registre som inneholder helse- og personopplysninger det iverksettes organisatoriske endringer som kan påvirke informasjonsbehandlingen det iverksettes tekniske endringer i utstyr og/eller programvare som kan påvirke informasjonsbehandlingen det iverksettes andre endringer med betydning for informasjonssikkerheten Norm for informasjonssikkerhet

43 Oppgave 4 og 5. Hvis tid oppgave 6 og 7
Norm for informasjonssikkerhet

44 Norm for informasjonssikkerhet
Oppgave 5 For hjelp til konsekvensvurdering: faktaark 7 Sannsynlighet x konsekvens = 3 x 4 = 12. Høy risiko Norm for informasjonssikkerhet

45 Oppgave 6 – hva er sensitive personopplysninger:
Norm for informasjonssikkerhet

46 Noen aktuelle veiledere og faktaark
Norm for informasjonssikkerhet

47 Norm for informasjonssikkerhet
Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner Førende anbefaling for personvern og informasjonssikkerhet Den registrertes rettigheter Sikkerhetskrav for fagsystemer ved etablering i bruk ved utfasing Norm for informasjonssikkerhet

48 Norm for informasjonssikkerhet

49 Norm for informasjonssikkerhet
Veileder for etablering av virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap Med avtaleeksempler Gruppepraksis Profesjonssamarbeid Kommune med dels kommunal og dels privat hjemmetjeneste Kommune med privat sykehjem og kommunal hjemmetjeneste Lokalmedisinsk senter og intermediært tilbud Norm for informasjonssikkerhet

50 Veileder video-, lyd- og bildeopptak av pasient / bruker
Ulike formål, f.eks Dokumentasjon av helsehjelp Veiledning , undervisning Internkontroll og Informasjonssikkerhet Mal informasjons- og samtykkeskjema Mal risikovurdering - med eksempelscenarier Norm for informasjonssikkerhet

51 Veileder i bruk av sosiale medier i helse-, omsorgs- og sosialsektoren
Norm for informasjonssikkerhet

52 Helsepersonell og sosiale medier
Norm for informasjonssikkerhet

53 Norm for informasjonssikkerhet
Bruk av veilederen Ment å være praktisk verktøy når virksomheten skal utforme retningslinjer for bruk av sosiale medier Tre deler: Overordnede problemstillinger ledelsen må ta stilling til Tekstforslag ”Råd for bruk av sosiale medier for deg som jobber i <virksomheten>” Tekstforslag ”Gode råd for bruk av sosiale medier for pasienter / brukere og deres pårørende” Tilpasses den enkelte virksomhet! Norm for informasjonssikkerhet

54 Norm for informasjonssikkerhet
Råd for bruk av sosiale medier for deg som jobber i <virksomheten> - eksempler Forholdet til pasienter / brukere – taushetsplikt Ikke publisér helse- og personopplysninger Pass på at pasienter og pårørende ikke kommer med på bilder, og derved kan bli identifisert, dersom du legger ut bilder fra arbeidsplassen Vær varsom med forbindelser med pasienter / brukere eller deres pårørende fra din personlige side i sosiale medier. Eksempeltekst for å avslå på en vennlig måte Norm for informasjonssikkerhet

55 Norm for informasjonssikkerhet
Tekstforslag: Gode råd for bruk av sosiale medier for pasienter / brukere og deres pårørende Blogging fra sykesengen, ”vært på sykehuset” statusoppdatering, .... Gode råd for pasienter kan være aktuelt for mange virksomheter Fritar ikke virksomheten for ansvar Norm for informasjonssikkerhet

56 Norm for informasjonssikkerhet
Oppgave 8 Norm for informasjonssikkerhet

57 Norm for informasjonssikkerhet
Abonnere på nyhetsbrev? Normen.no -> Om Normen (nederst på siden) Norm for informasjonssikkerhet


Laste ned ppt "Norm for informasjonssikkerhet i helse- og omsorgssektoren"

Liknende presentasjoner


Annonser fra Google