Instruktørkurs – kommuner Veileder helse og sosial – kort orientering

Bakgrunn for veilederen Tema for veilederen Innhold Bakgrunn for veilederen Tema for veilederen Personvern og rettsikkerhet Informasjonssikkerhet i fagsystemene Sjekklister

1. Bakgrunn for veilederen Økt samhandling Høy grad av elektronisk registrering og bruk av fagsystemer i helse- og sosialtjenesten Usikkerhet om hvilke krav som stilles Store ulikheter i håndtering av helse- og personopplysinger i kommunene Kompleks hverdag og tverrfaglig samhandling

2. Tema for veilederen Førende anbefaling for personvern og informasjonssikkerhet Den registrertes rettssikkerhet Sikkerhetskrav for fagsystemer ved etablering i bruk ved utfasing www.normen.no

3. Personvern og rettsikkerhet Den registrertes rettigheter og kommunens plikter Taushetsplikten Informasjonsplikt Informert samtykke Innsyn Retting / Sletting

4. Informasjonssikkerhet i fagsystemene Fagsystem/system for tjenestedokumentasjon IT-system som behandler helse- og personopplysninger - begrepet systemløsning brukes også Eksempler Pleie- og omsorgsystem/EPJ Legekontorsystem (EPJ) Barnevernsystem

4. Informasjonssikkerhet i fagsystemene Etablere/revidere styringssystem for informasjonssikkerhet Styrende del Gjennomførende del Kontrollerende del Behandling av helse- og personopplysninger Allmennlegetjeneste, Botilbud, Fysioterapi mv. Se dokumentet ”Eksempler på behandlinger”

4. Informasjonssikkerhet i fagsystemene Utfordring med tilgangsstyring - autorisasjon må ses i sammenheng med behandlinger: Flere behandlinger i samme fagsystem Tilgangsstyring gjenspeiler ikke kravet om å skille ulike behandlinger Hva gjør kommunen da? Hvilke behandlinger finnes (jfr håndbok) Hvem skal ha tilgang – roller og behov Hvordan løse tilgangsstyringen – bevissthet ved anskaffelse og bruk av fagsystem

4. Informasjonssikkerhet i fagsystemene Konfigurasjonskontroll og dokumentasjon Elektronisk samhandling internt og eksternt Opplæring i fagsystem Interkommunalt samarbeid Databehandler Interkommunale tjenester (f.eks. PPT, IKT, legevakt)

4. Informasjonssikkerhet i fagsystemene Risikovurdering Avvik og avvikshåndtering Sikkerhetsrevisjon Instruktørnotater: Risikovurdering Ved vesentlige endringer Ved innføring av nye løsninger Ved vesentlige avvik Følgende momenter kan være aktuelle å risikovurdere ved etablering av et fagsystem: hendelser og mulige konsekvenser knyttet til at ulike behandlinger legges i samme fagsystem eller andre systemer for tjenestedokumentasjon uautorisert tilgang til og bruk av fagsystemet bruk av minnepinne (innebærer f.eks. risiko for ondsinnet programvare og helse- og personopplysninger på avveie) eventuelle svakheter ved tilgangsstyringen, spesielt når fagsystemet inneholder flere behandlinger (skal hindre uautorisert tilgang) risiko knyttet til bortlåning av ID og passord sikring slik at uautoriserte personer utenfor virksomheten, uansett ressurser og kunnskap, ikke skal kunne få tilgang til og/eller kunne endre eller slette helse- og personopplysninger at data kan tilbakekopieres fra sikkerhetskopier om data blir slettet eller blir inkonsistente tiltak som skal sikre at avvik oppdages (f.eks. gjennom hendelsesregistrering) Avvik Resultat av kontroll av hendelsesregistrering pga mangelfull tilgangsstyring Omtale sikkerhetsrevisjon

Sjekklister: før etablering av fagsystem når fagsystemet er i bruk ved utfasing av fagsystemet