Www.normen.no | 1 Instruktørkurs for kommuner Ansvar og avtaler (45 min)

Presentasjon om: "Www.normen.no | 1 Instruktørkurs for kommuner Ansvar og avtaler (45 min)"— Utskrift av presentasjonen:

1 www.normen.no | 1 Instruktørkurs for kommuner Ansvar og avtaler (45 min)

2 www.normen.no | 2 Innhold 1. Databehandlingsansvarlig 2. Overordnet ansvar 3. Delegering av oppgaver 4. Databehandlingsansvaret ved tjenesteutsetting 5. Kommunen som databehandler 6. Avtaler

3 www.normen.no Hva ligger i begrepet? Den som bestemmer formålet med databehandlingen: - Formålet: Se dokumentet ”Eksempler på behandlinger” Hvilke hjelpemidler som skal brukes, f.eks: - Informasjonssystem (fagsystem eller EPJ-system) - Tilgangstyring / roller - Prosedyrer | 3 1. Databehandlingsansvarlig

4 www.normen.no | 4 2. Overordnet ansvar Ordføreren har det overordnede ansvaret for informasjonssikkerheten Skal påse at: det er vedtatt sikkerhetsmål- og strategi det er etablert en sikkerhetsorganisasjon (delegert ansvar) det er etablert et styringssystem for informasjonssikkerhet styringssystemet etterleves

5 www.normen.no 3. Delegering av oppgaver Avhengig av kommunens organisering og størrelse - Rådmann/Fylkesrådmann/Byrådsleder - Kommunalavdelinger / resultatavdelinger Delegere oppgaver til eksterne - Dette må gjøres i form av skriftlige avtaler Delegert eller ikke - Det juridiske ansvaret er hos databehandlingsansvarlig. | 5

6 www.normen.no Databehandlingsansvaret ved tjenesteutsetting Ved tjenesteutsetting av helse- og omsorgstjenester til:  Private  IKS  Andre kommuner Databehandlingsansvaret følger av loven Tjenesteutsettingen skal reguleres av kontrakt – ”kontrakt 1” I denne kontrakten må utlevering av helse- og personopplysninger fra tjenesteyteren til kommunen avtalefestes | 6 er tjenesteyteren databehandlingsansvarlig for opplysningene de behandler

7 www.normen.no | 7 Kommunen som databehandler Hvis kommunen på en eller annen måte drifter EPJ-systemet / fagsystemet for tjenesteyteren:  Kommunen er databehandler. Databehandleravtale skal opprettes – ”kontrakt 2”  Kommunen har kun adgang til opplysningene på bakgrunn av rollen som databehandler | 7

8 www.normen.no | 8 Utlevering / IPLOS Når kommunen er databehandler, kan kommunen ikke hente / bruke data som finnes i IT-systemet (helseregisterloven § 13) Ved behov for data, f.eks. i forbindelse med IPLOS, må dette utleveres fra databehandlingsansvarlig (tjenesteyteren) Forespørsel om utlevering rettes til databehandlingsansvarlig i samsvar med det som er avtalt i kontrakt 1. o Hjemmel for utleveringen må oppgis (f.eks. IPLOS- forskriften) | 8

9 www.normen.no | 9 Oppsummering – kommunen er databehandler Hvis den databehandlingsansvarlige tjenesteyteren fører opplysninger i et IT-system som kommunen drifter: | 9 er kommunen databehandler det må inngås databehandleravtale  Flere virksomheter kan ha felles EPJ-system / fagsystem  MEN: Opplysningene må være logisk adskilte fra hverandre

10 www.normen.no | 10 A B Kommune AKommune B DB-instans for kommune A DB-instans for kommune B Felles EPJ-system / fagsystem med logisk skille

11 www.normen.no Avtaler Kontrakt 1 - Tjenesteutsetting Ved tjenesteutsetting av en tjeneste Utlevering av helseopplysninger må avtales Evt. andre ting ift informasjonssikkerheten (Normen) Kontrakt 2 - Databehandleravtale Bestemte formkrav Omfanget av avtalen må være tilpasset formålet Eksempel - Se faktaark 10 ”Bruk av databehandler” Eksempel - Se faktaark 42 ”Bruk av SMS” | 11

12 www.normen.no Avtaler Tilknytningsavtalen med Norsk helsenett Se ” Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet ” – kapittel 1.5 Bland annet: -Forplikter Normen begge veier -Rett til sikkerhetsrevisjon -Kan ha innsyn i dokumentasjon Supportavtale med leverandør Hele eller deler av Normen Se ”Veileder for fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet” – kapittel 5 | 12