Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Norm for informasjonssikkerhet i helse- og omsorgssektoren Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Fagdager elektronisk dokumentasjon.

Liknende presentasjoner


Presentasjon om: "Norm for informasjonssikkerhet i helse- og omsorgssektoren Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Fagdager elektronisk dokumentasjon."— Utskrift av presentasjonen:

1 Norm for informasjonssikkerhet i helse- og omsorgssektoren Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Fagdager elektronisk dokumentasjon frisklivssentraler Norm for informasjonssikkerhet1

2 Agenda Informasjonssikkerhet i helse- og omsorgssektoren Hva er Normen? Normen: Krav og hjelpemidler Quiz og diskusjonsoppgaver underveis Norm for informasjonssikkerhet

3 Nasjonale innsatsområder for e-helse Styrings- og kunnskaps- grunnlag Innbygger- tjenester Helsepersonell- tjenester IKT-infrastruktur og felleskomponenter Styring, koordinering og prioritering Personvern og informasjonssikkerhet Standarder, terminologi og kodeverk Forskning, innovasjon og kompetanse Én innbygger – én journal Norm for informasjonssikkerhet 3

4 Helse- og omsorgssektoren Omfattende både i antall årsverk og omsetning Organisatorisk fragmentert Har sensitive personopplysninger som grunnlag for all virksomhet Krever stadig mer samhandling på tvers Omfattes av stort og komplekst lovverk Norm for informasjonssikkerhet 4

5 Kjartan Olafsson, Legeforeningen, Normkonferansen 2012 Norm for informasjonssikkerhet 5

6 https://skinvision.com/ Teknologi… Norm for informasjonssikkerhet 6

7 Trusler… Norm for informasjonssikkerhet 7

8 … og sikkerhetskulturen? Norm for informasjonssikkerhet 8

9 9

10 Det handler om tillit… Colourbox.com Norm for informasjonssikkerhet10

11 Oppgave 1 Norm for informasjonssikkerhet 11

12 Fra «Personvern 2014» Norm for informasjonssikkerhet https://www.datatilsynet.no/Global/04_planer_rapporter/Persovern_tilstandogtrender_2014.pdf Utgitt 2014 av Datatilsynet og Teknologirådet 12

13 Fra «Personvern 2014» Norm for informasjonssikkerhet https://www.datatilsynet.no/Global/04_planer_rapporter/Persovern_tilstandogtrender_2014.pdf Utgitt 2014 av Datatilsynet og Teknologirådet 13

14 Fra «personvern 2014» Norm for informasjonssikkerhet https://www.datatilsynet.no/Global/04_planer_rapporter/Persovern_tilstandogtrender_2014.pdf Utgitt 2014 av Datatilsynet og Teknologirådet 14

15 HVA ER NORMEN? Norm for informasjonssikkerhet15

16 Bransjenormer TittelÅr Norm for informasjonssikkerhet i helse- og omsorgssektoren 2006 Bransjenorm for behandling av personopplysninger i den norske inkassobransjen 2008 European code of conduct of FEDMA for the use of personaldata in direct marketing 2010 Bransjenorm for e-billettering2011 Norm for idrettens databehandling2011 Norm for informasjonssikkerhet 16

17 Norm for informasjonssikkerhet i helse og omsorgssektoren Et omforent sett av adferdsregler og tiltak Besluttet og forvaltet av sektoren, forankret i – EU-direktiv 46/95 artikkel 27 – POL §42, 6 Arbeidet startet opp i 2003, versjon 1 klar i 2006, versjon 4 i Norm for informasjonssikkerhet 17

18 Normen: Norm for informasjonssikkerhet Dekker alle informasjons- sikkerhetskrav til sektoren i lovverket Kontrollert og godkjent av lovtolkende myndigheter Forenkler, og gjør tilgjengelig 18

19 Styringsgruppens mandat Nytt mandat vedtatt juni 2013 Styringsgruppens overordnede mål for Norm for informasjonssikkerhet helse-, omsorgs- og sosialsektoren (Normen) er god og sikker informasjonsbehandling. Normen skal, innenfor lovverkets rammer, søke en balansert tilnærming til konfidensialitet, tilgjengelighet, integritet og kvalitet. Normen skal bidra til å understøtte gode helsetjenester, god pasientsikkerhet, de ansattes personvern, og en aktiv pasientrolle. Norm for informasjonssikkerhet 19

20 Styringsgruppen (1): MedlemRepresentant ​KS Stein Schatvet (leder) John Horve ​Den norske lægeforening Kjartan Olafsson ​Den norske tannlegeforening Aril Jul Nilsen ​Norsk sykepleierforbund Asbjørn Finstad ​Apotekforeningen Astrid Marie Reksnes ​Norsk farmaceutisk forening Guri Wilhelmsen ​Regionale helseforetak Helse Sør-Øst: Helse Vest: Helse Midt-Norge: Helse Nord: Henriette Henriksen Lars Erik Baugstø-Hartvigsen Gunnar Watn Per Bruvold ​ Norsk Helsenett Håkon Grimstad Helsedirektoratet ​ Torunn Janbu Sidsel Nordhagen Norm for informasjonssikkerhet 20

21 Styringsgruppen (2): MedlemRepresentant Fürst / Private laboratorierSten-Tore Fiskerud ​NAVJohs. Hammer ​Den offentlige tannhelsetjeneste Kirsten Nerheim Ahlsen ​Norsk psykologforening​Andreas Høstmælingen ​Norsk Fysioterapeutforbund​Henrietta Richter Uitdenbogaardt ​- ​Observatører Datatilsynet ​Helge Veum ​Helse- og omsorgsdepartementetDarlén Gjølstad Difi​Jon Berge Holden Sekretariatet er plassert i Helsedirektoratet, med fast deltakelse fra Norsk Helsenett Norm for informasjonssikkerhet 21

22 Normen med støttedokumenter | 22 Normen: Støttedokumenter : Kursmateriell: Veiledere / malverk Faktaark Juridisk bindende ved avtale: Veiledende: Normen (”Code of conduct”) og en del faktaark / veiledere er oversatt til engelsk Normkonferansen Nyhetsbrev Svartjeneste Norm for informasjonssikkerhet

23 Veiledninger / faktaark 23 Norm for informasjonssikkerhet …

24 Utadrettet virksomhet Alle dokumenter på normen.no Forslagskasse og svartjeneste Foredrag og årlig normkonferanse Utarbeidelse av kursmateriell og gjennomføring av kurs Bistår profesjonsorganisasjonene i utarbeidelse av e- læringsprogrammer for informasjonssikkerhet Norm for informasjonssikkerhet24

25 Normkonferansen 2014 Norm for informasjonssikkerhet 14. – 15 oktober 2014 Rica Park Holmenkollen Hotel, Oslo 25

26 Nyheter og planlagte leveranser Tilgjengelig nå Normen 4.0 Veileder for psykologer, fysioterapeuter m.fl Desember 2014 (tentativt) Veileder velferdsteknologi Veileder informasjonssikkerhet og medisinsk-teknisk utstyr Våren 2015 Normen 5.0 Endringer som følge av ny pasientjournallov og ny helseregisterlov Norm for informasjonssikkerhet 26

27 Oppgave 2 og 3 Norm for informasjonssikkerhet 27

28 Oppgave 2 Norm for informasjonssikkerhet 28

29 NORMEN: KRAV OG HJELPEMIDLER Norm for informasjonssikkerhet29

30 | 30 Innhold Introduksjon Hva gir Normen – styringssystem Styrende del Gjennomførende del - krav til informasjonssikkerhet Kontrollerende del Risikovurdering Aktuelle veiledere og faktaark | 30 Norm for informasjonssikkerhet

31 | 31 …gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet… …dokumentere informasjonssystemet og sikkerhetstiltakene… Helseregisterloven § 16 Norm for informasjonssikkerhet

32 Styringssystem | 32 Norm for informasjonssikkerhet

33 | 33 Hva gir Normen - styringssystem | 33 Samling av alle dokumenter i en bestem struktur: Styringsdokumenter Prosedyrer Maler Opplæringsmateriell NB! Styringssystem skal være på plass i alle virksomheter som behandler helse- og personopplysninger Norm for informasjonssikkerhet

34 | 34 Hva gir Normen - styringssystem Norm for informasjonssikkerhet Styrende del Gjennomførende del Kontrollerende del

35 | 35 Hva gir Normen - styringssystem Styrende del Fastsette ansvaret – Databehandlingsansvarlig – Databehandler Etablere mål og strategi for informasjonssikkerhet Fastsette nivå for akseptabel risiko Utarbeide oversikt over behandlinger | 35 Norm for informasjonssikkerhet

36 Sentrale sikkerhetsmål Helse- og personopplysninger skal – Være tilgjengelig for rett personell til rett tid i henhold til fastsatte prinsipper for tilgangsstyring etter pkt. 5.2 nedenfor. – Behandles i tråd med reglene om taushetsplikt og være beskyttet slik at uvedkommende ikke får kjennskap til opplysningene. Uvedkommende omfatter også personell som ikke har tjenstlig behov. – Være fullstendige, oppdaterte og korrekte og et resultat av rettmessige registreringer og kontrollerte aktiviteter. – Begrenses slik at kun det som er nødvendig av helse- og personopplysninger behandles. | 36 Norm for informasjonssikkerhet

37 | 37 Hva gir Normen - styringssystem Gjennomførende del – krav til informasjonssikkerhet Ansvarliggjøring av ansatte - taushetsplikt Tilgangsstyring Behandling av helse- og personopplysninger Sikring av områder og utstyr Etablering og drift av informasjonssystemet Opplæring og kompetanse Datakommunikasjon (samhandling internt og eksternt) Avtaler (f.eks databehandleravtale) | 37 Norm for informasjonssikkerhet

38 | 38 Tilgangsstyring | 38 All tilgang til helse- og personopplysninger skal baseres på en tildelt rolle i fagsystemet Rollen gir autorisasjon for å  lese, registrere, redigere, rette, slette og/eller sperre helse- og personopplysninger All tildelte autorisasjoner skal kontrolleres minimum årlig Databehandlingsansvarlig skal sørge for at det oppettes et autorisasjonsregister. Norm for informasjonssikkerhet

39 | 39 Hendelsesregistrering | 39 Hendelsesregistre (bruk av fagsystemet) skal minimum inneholde  entydig identifikator for den autoriserte brukeren  rollen den autoriserte brukeren har ved tilgangen  virksomhetstilhørighet  organisatorisk tilhørighet til den som er autorisert  hvilke type opplysninger det er gitt tilgang til  grunnlaget for tilgangen  tidspunkt og varighet for tilgangen Hendelsesregisteret skal oppbevares i minimum 2 år Hendelsesregistre skal analyseres (ukentlig) Pasienten har rett til å få utlevert sin logg Være oppmerksom på helseregisterloven § 21a Norm for informasjonssikkerhet

40 | 40 Hva gir Normen - styringssystem Kontrollerende del Avvikshåndtering Sikkerhetsrevisjon Ledelsens gjennomgang Risikovurdering | 40 Norm for informasjonssikkerhet

41 | 41 Risikovurdering | 41 Identifisere mulige svakheter i eksisterende løsninger  Tilgangsstyring  Teknisk løsning  Bruk av fagsystem  Fysisk sikring  Avtaler  … Vurdere om svakheter kan/vil ha innvirkning på behandling av helse- og personopplysninger Bruk tilgjengelig mal på Norm for informasjonssikkerhet

42 Risikovurdering (Normen, kap 4.6, faktaark 07) Risikovurdering skal som minimum gjennomføres før: – det iverksettes behandling av helse- og personopplysninger – etablering av nye informasjonsbehandlingssystemer eller registre som inneholder helse- og personopplysninger – det iverksettes organisatoriske endringer som kan påvirke informasjonsbehandlingen – det iverksettes tekniske endringer i utstyr og/eller programvare som kan påvirke informasjonsbehandlingen – det iverksettes andre endringer med betydning for informasjonssikkerheten | 42 Norm for informasjonssikkerhet

43 Oppgave 4 og 5. Hvis tid oppgave 6 og 7 Norm for informasjonssikkerhet 43

44 Oppgave 5 44 Norm for informasjonssikkerhet For hjelp til konsekvensvurdering: faktaark 7 Sannsynlighet x konsekvens = 3 x 4 = 12. Høy risiko

45 Oppgave 6 – hva er sensitive personopplysninger: 45 Norm for informasjonssikkerhet

46 Noen aktuelle veiledere og faktaark Norm for informasjonssikkerhet46

47 Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner Førende anbefaling for personvern og informasjonssikkerhet Den registrertes rettigheter Sikkerhetskrav for fagsystemer ved etablering i bruk ved utfasing Norm for informasjonssikkerhet 47

48 Norm for informasjonssikkerhet 48

49 Veileder for etablering av virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap Med avtaleeksempler – Gruppepraksis – Profesjonssamarbeid – Kommune med dels kommunal og dels privat hjemmetjeneste – Kommune med privat sykehjem og kommunal hjemmetjeneste – Lokalmedisinsk senter og intermediært tilbud Norm for informasjonssikkerhet 49

50 Veileder video-, lyd- og bildeopptak av pasient / bruker Ulike formål, f.eks – Dokumentasjon av helsehjelp – Veiledning, undervisning Internkontroll og Informasjonssikkerhet Mal informasjons- og samtykkeskjema Mal risikovurdering - med eksempelscenarier Norm for informasjonssikkerhet 50

51 Veileder i bruk av sosiale medier i helse-, omsorgs- og sosialsektoren Norm for informasjonssikkerhet51

52 Helsepersonell og sosiale medier | f Norm for informasjonssikkerhet

53 Bruk av veilederen Ment å være praktisk verktøy når virksomheten skal utforme retningslinjer for bruk av sosiale medier Tre deler: – Overordnede problemstillinger ledelsen må ta stilling til – Tekstforslag ”Råd for bruk av sosiale medier for deg som jobber i ” – Tekstforslag ”Gode råd for bruk av sosiale medier for pasienter / brukere og deres pårørende” Tilpasses den enkelte virksomhet! Norm for informasjonssikkerhet 53

54 | Råd for bruk av sosiale medier for deg som jobber i - eksempler Forholdet til pasienter / brukere – taushetsplikt – Ikke publisér helse- og personopplysninger – Pass på at pasienter og pårørende ikke kommer med på bilder, og derved kan bli identifisert, dersom du legger ut bilder fra arbeidsplassen – Vær varsom med forbindelser med pasienter / brukere eller deres pårørende fra din personlige side i sosiale medier. Eksempeltekst for å avslå på en vennlig måte Norm for informasjonssikkerhet

55 | 55 Tekstforslag: Gode råd for bruk av sosiale medier for pasienter / brukere og deres pårørende Blogging fra sykesengen, ”vært på sykehuset” statusoppdatering,.... Gode råd for pasienter kan være aktuelt for mange virksomheter Fritar ikke virksomheten for ansvar Norm for informasjonssikkerhet

56 Oppgave 8 Norm for informasjonssikkerhet 56

57 | Abonnere på nyhetsbrev? Normen.no -> Om Normen (nederst på siden) Norm for informasjonssikkerhet


Laste ned ppt "Norm for informasjonssikkerhet i helse- og omsorgssektoren Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Fagdager elektronisk dokumentasjon."

Liknende presentasjoner


Annonser fra Google