Instruktørnotater: Send ut veilederen i forbindelse med invitasjonen. Instruktør må ha videokanon Velkommen til kurset Praktiske opplysninger Kopier opp modul 1 som handout med 3 bilder på hver side og del ut deltagerne Støttedokumenter som instruktørene skal kjenne og ha med seg på kurset: Norm for informasjonssikkerhet Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten - en veileder Personvern informasjonssikkerhet for virksomheter i tannhelsetjenesten - en mal for internkontroll Kursmateriell fra instruktørkurset Kontrolloppgaven fra instruktørkurset NB! Orienter deltagerne om: Kurset dekker regulatoriske krav som gjelder uavhengig av tilknytning til Norsk Helsenett og direkte oppgjør (HELFO). Dette temaet parkeres og skal ikke tas opp i kurset Kurset er et servicetilbud til medlemmene. Det er ikke et pålegg fra NTF Nevn at malen ikke skal benyttes under modul 1 Fokuser på nytten i tannlegepraksisen mer enn som lovpålagt Norm for informasjonssikkerhet Modul 1 – Personvern og sikkerhet på tannklinikken

Innhold Personvern ved tannklinikken Ansvar Sikkerhet Avtaler Verktøykasse for tannklinikken Instruktørnotater: Målgruppe for kursmodulen: tannleger i privat og offentlig praksis Gjennomgang av kursets innhold pkt 1 til 5 Hensikten med modulen: Teoretisk bakteppe med gjennomgang av hvilke regulatoriske krav tannklinikken må etterleve. Praktisk kurs over to moduler Modul 1 – varighet 60 min Modul 2 – varighet 2 x 45 min Invitere til spørsmål

Instruktørnotater: Momenter som instruktøren kan omtale: Fysisk sikring av PC, server og annet utstyr på tannklinikken Plassering av skjermer og skrivere ift. innsyn fra f.eks pasienter Hendelsesregistrering av både autorisert bruk og forsøk på uautorisert bruk Kvaliteten på passordet er for svak i autentiseringen Tilgangstyring til nettverket og EPJ-systemet Låse PC ved fravær

1. Personvern ved tannklinikken Hva er helseopplysninger? Hvorfor skal helseopplysninger sikres? Pasientens rettigheter (samtykke, innsyn, mv) Taushetsplikt Økt grad av samhandling Instruktørnotater: Hva er helseopplysninger?: Ta utgangspunkt i Normens definisjon: Med ”helseopplysninger” menes taushetsbelagte opplysninger i henhold til helsepersonelloven § 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson, jf. helseregisterloven § 2 nr. 1. Inviter til deltagernes syn på hva helseopplysinger er. Få fram at også røntgenbilder er helseopplysinger. Spørre deltagerne om det finns regler for bruk av 11-siffret fødselsnr? Svar: Kan ikke sendes i klartekst (ukryptert) i e-post Skal ikke sendes usladdet i telefaks men OK om pasienten gir samtykke Skal ikke sendes som SMS Hvorfor skal helseopplysninger sikres: Det er et lovkrav. Pasientens rettigheter: Er grunnleggende rettigheter etter pasientrettighetsloven Det som er en rett for pasienten er en plikt for tannlegene Omtale reservasjonsretten i forhold til samtykke Presiser kravet til samtykket i forbindelse med samarbeid med annet helsepersonell (f.eks innhenting av helseopplysinger fra fastlegen) Taushetsplikt: Taushetsplikten gjelder for alle som får tilgang til helseopplysninger Mulighet for økt grad av elektronisk samhandling: Elektronisk direkteoppgjør (HELFO) SMS Epikriser Henvisning Labsvar Labrekvisisjoner

2. Ansvar Databehandlingsansvarlig Sikkerhetsansvaret ved tannklinikken Kontraktørtannlege Assistenttannlege Organisasjonsformer (ENK, AS, DA) Instruktørnotater: Snakk om mulige organisasjonsformer på tannklinikkene: ENK: eier er ansvarlig (ta et eksempel med 4 stk ENK har hver enkelt ENK et selvstendig ansvar) AS: daglig leder er ansvarlig DA: hver enkelt deltager er i utgangspunktet ansvarlig Det må etableres ansvarslinjer ift. eier av klinikken, ansatte, kontraktør og assistent Få fram hva databehandlingsansvaret er: Med ”databehandlingsansvarlig” menes den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes, hvis ikke databehandlingsansvaret er særskilt angitt i loven eller i forskrift i medhold av loven, jf. helseregisterloven § 2 nr. 8 og personopplysningsloven § 2 nr. 4 (her benyttes begrepet ”behandlingsansvarlig”). Presiser at det juridiske ansvaret er tillagt databehandlingsansvaret. Presiser at oppgaver kan delegeres til andre personer Det presiseres at det er virksomheten som er databehandlingsansvarlig for behandling av helse- og personopplysninger. Ansvaret skal ivaretas av den daglige ledelsen av virksomheten, og virksomheten er pliktsubjekt.

Tilgang til helse- og personopplysninger 3. Sikkerhet Tilgang til helse- og personopplysninger Sikkerhets- og tilbakekopiering Tilkobling til eksterne nett Utskrifter / faks (papirdokumenter) Instruktørnotater: I denne og neste foil: Et utsnitt av sikkerhetskrav og -tiltak. Dette etablerer introduksjonen til sikkerhetstemaer som blir gjennomgått ifm. modul 2 (Utfylling av malen) Tilgang til helseopplysninger: Tilgangen skal være ift. tjenstlig behov i behandling av pasienten Sikkerhetskopiering: Hva gjør en om tannklinikken mister alle timebøker, regnskapet, EPJ? (Tannlegens bygg brant opp i natt!) Eksterne nett: Trusler ved tilknytning til: Internett og Norsk helsenett Ved tilknytning til Norsk helsenett vil de tekniske kravene være ivaretatt Utskifter: Instruktøren problematiserer sikkerhetsaspekter ved papir: utskifter med pasientopplysinger kastes i vanlig søppel, tyveri av utskift fra skriver Innlåsning, arkivering, makulering, prosedyrer

Instruktørnotater: Momenter som instruktøren kan omtale: Sikkerhetstiltakene skal tilpasses virksomhetens størrelse, virkeområde og lokale fysiske forhold Dette kalles prinsippet om forholdsmessig sikring Hovedprinsippet for fysisk sikring er bemannet område eller avlåst Utfordre deltagerne: Har du sikret EPJ i forhold til tyveri?

Minnepinner og lagringsmedier Bruk av SMS og e-post 3. Sikkerhet Minnepinner og lagringsmedier Bruk av SMS og e-post Fysisk sikring: Låsing, skjerming Plassering av skjerm og skiver/faks Etablering og bruk av hjemmekontor Instruktørnotater: Minnepinner: Forsvinner lett, skal krypteres om de skal ut av ”huset” Lagringsmedier: Ved utrangering eller ved gjenbruk må lagringsmedier slettes forsvarlig eller destrueres Ved sletting av lagringsmedier: nevn at på http://nsm.stat.no er det angitt noen godkjente løsninger Som tidligere nevnt: SMS og e-post: Skal aldri brukes til helseopplysinger eller 11-sifret fødselsnummer Fysisk sikring: Skjerming/plassering av server og kommunikasjonsutstyr Skjerming/plassering av PC/skriver/telefaks Hjemmekontor med tilgang til helseopplysinger: Den tekniske løsningen skal sikres samt det skal være prosedyrer for bruk.

4. Avtaler Eksempler på avtaler: Avtale ved bruk av databehandler som driftsleverandør Avtale mellom eier av klinikken, kontraktør, assistent Tilknytningsavtalen med Norsk Helsenett Databehandleravtale med SMS leverandør Databehandleravtale ved bestilling av tanntekniske arbeider fra utlandet Instruktørnotater: Beskriv databehandler med utgangspunkt i definisjon fra Normen: Med ”databehandler” menes den som behandler helse- og personopplysninger på vegne av den databehandlingsansvarlige, jf. helseregisterloven § 2 nr. 9 og personopplysningsloven § 2 nr. 5). Det presiseres at en databehandler er en ekstern person eller virksomhet utenfor den databehandlingsansvarliges virksomhet. Det vil si at den databehandlingsansvarliges egne medarbeidere ikke er dennes databehandlere. Databehandler krever skriftlig avtale. Drøft med deltagerne ulike eksempler på hvor det er aktuelt med databehandler (helseopplysninger): Ekstern driftsleverandør (En som drifter serveren for tannklinikken) AS drifter EPJ for ENK SMS leverandør Dette kommer vi tilbake til i modul 2 – eksempler på avtale i malverket

5. Verktøykasse for tannklinikken Plikt til å ha internkontroll Veileder: Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten Mal for internkontroll: www.normen.no Instruktørnotater: I dette lysarket oppsummeres modul 1 og modul 2 introduseres. Gå inn på www.normen.no og vis malen