Databehandleravtaler ifm. HMN LØ RBU HMN LØ 1
Bakgrunn for HMN LØ Helse Midt-Norge må skifte ut dagens økonomi- og logistikksystem fordi: Systemene tilfredsstiller ikke lover og regler, herunder bokføringsregelverket Systemene blir ikke lengre vedlikeholdt og oppgradert i nødvendig omfang Innenfor økonomi og logistikk er det behov for større grad av: Standardisering Automatisering Effektivisering Elektronisk samhandling Styringsinformasjon Helse Midt-Norge RHF har inngått kontrakt med IBM Norge om levering av nytt økonomi- og logistikksystem, som skal settes i drift i alle foretakene i Helse Midt-Norge innen utgangen av HMN LØ2
Personopplysninger og sensitive personopplysninger i nytt system -I nytt økonomi- og logistikksystem vil det være personopplysninger og sensitive personopplysninger -Pasientidentifiserende opplysninger kombinert med behandlende enhet, f.eks. i faktura -Pasientidentifiserende opplysninger i kombinasjon med utstyr, f.eks. i utstyrsdokumenter etter at et utstyr er knyttet til en person. -IBM i Manila kan i få tilgang til personopplysninger og sensitive personopplysninger (ifm. testing, feilsøk og feilretting). -Datatilsynet definerer slik tilgang til personopplysninger som overføring av data, selv om alle data fysisk ligger lagret i Trondheim (hos Hemit), og maskinvare, lagring og installasjon av operativsystem (Windows) leveres av Hemit. HMN LØ3
Påkrevde databehandleravtaler Underleverandøravtale Hemit – IBM Norge AS EU-standardavtale mellom behandlingsansvarlige (foretakene) og leverandør i Manila (direkteavtale) (pga. overføring til land utenfor EU) Varsling, responsplikter og adgang til sikkerhetsrevisjoner – Bestemmelsene i avtalen etablerer regler om varsling, responsplikter og adgang til sikkerhetsrevisjoner som vil gjøre databehandlingsansvarlig i stand til å oppfylle de krav som man er underlagt etter Personopplysningsforskriften. HMN LØ4
Gjennomført risikovurderinger i to nivåer 1.Risikovurdering med fokus på omdømme (utført av Helse Midt-Norge RHF) 2.Risikovurdering mht. oppfyllelse av personvern og informasjonssikkerhet (spesifikt for HMN LØ) Underlag som databehandlingsansvarlig legger til grunn for å inngå nødvendig databehandleravtale *) med IBM i Filippinene *) EU-standardavtale mellom behandlingsansvarlige (foretakene) og leverandør i Manila (direkteavtale) (pga. overføring til land utenfor EU). HMN LØ5
Risikovurdering med fokus på omdømme (utført av Helse Midt-Norge RHF) Risikovurdering - prosess – Lovlig gitt at databehandleravtaler inngås og risikovurdering mht. personvern og informasjonssikkerhet (teknisk/sikkerhetsmessig) gjennomføres. – Hemit har forestått prosessen, etter oppdrag fra HMN RHF. INFOSEC Norge AS har vært fasilitator. – Bred tilnærming, omfattet både eksisterende og fremtidige prosjekter og løsninger. – Risikovurderingen omfatter risiko knyttet til tap av omdømme ved at sensitive data overføres og/eller behandles utenfor landets grenser. Resultat - oppsummert – Arbeidsgruppen finner det forsvarlig å overføre sensitive data til utenlandske databehandlere under forutsetning av at databehandleravtaler etableres og at teknisk/sikkerhetsmessig risikovurdering gjennomføres. HMN LØ6
Risikovurdering mht. oppfyllelse av personvern og informasjonssikkerhet (spesifikt for HMN LØ) Risikovurderingen er gjennomført for å verifisere at HMN LØ oppfyller kravene til personvern og informasjonssikkerhet fastsatt i Norm for informasjonssikkerhet, helse- og omsorgstjenesten, versjon 5.0 (Normen) og nivå for akseptabel risiko for helseregionen. INFOSEC Norge AS har ledet arbeidet. Risikovurderingen er gjennomført iht. metodikken som er anbefalt i Norm for informasjonssikkerhet. Risikovurderingen konkluderer med at det må gjennomføres noen tiltak for å bringe risikoen ned på et akseptabelt nivå slik at kravene til informasjonssikkerhet blir ivaretatt. Det er ikke identifisert risiko som medfører stans eller utsettelse av HMN LØ prosjektet. Risikovurderingen foreslår tiltak for alle identifiserte risikoer. Tiltakene er vurdert som enkle å gjennomføre. Det er lagd en gjennomføringsplan for lukking av tiltakene, tett oppfølging. HMN LØ7
Forbedrende aktiviteter Idriftsettelsesplan HMN LØ8 2. idriftsettelse St. Olavs Hospital HF inkl.: Trøndelag Ortopediske Verksted AS (TOV) 3. idriftsettelse Helse Møre og Romsdal HF Sykehusapotekene i Midt-Norge HF 1. idriftsettelse Helse Nord-Trøndelag HF Helse Midt-Norge RHF inkl.: Hemit November 2015 Januar 2016 Mai 2016 Forbedrende aktiviteter Jan 2016 Oppstart drift Mai 2016 Oppstart drift Okt 2016 Oppstart drift Desember 2016