Norm for informasjonssikkerhet Modul 1 – Normen – en oversikt Instruktørnotater: Kursmodulen gir en oversikt over normen med tilhørende støttedokumenter Norm for informasjonssikkerhet Modul 1 – Normen – en oversikt

Innhold Hva er Normen? Normens oppbygging og innhold Faktaark og veiledere Hvordan gå frem for å ivareta kravene i Normen? Forvaltning av Normen Instruktørnotater: Målgruppe for kursmodulen: Rådmann / fylkesrådmann Kommunalsjef / kommunaldirektør IT-sjef Sikkerhetskoordinator/informasjonssikkerhetsansvarlig Personvernombud Leder i virksomhet som er databehandler (for eksempel interkommunalt IT-samarbeid) Systemansvarlig Saksbehandler Dokumentasjonsansvarlige (helsepersonell som har et særskilt ansvar for dokumentasjon, jfr. helsepersonellloven) Gjennomgang av kursets innhold pkt 1 til 5 Spørre hvilke roller som er i salen? Invitere til spørsmål?

1. Hva er Normen? Personvern Informasjonssikkerhet Privatlivets fred Regulere bruk av personopplysninger Informasjonssikkerhet Virkemidler for å sikre personvernet Konfidensialitet Integritet Tilgjengelighet Kvalitet Instruktørnotater: Det enkeltes individs grunnleggende rettigheter Datatilsynet skal påse at personvernet blir ivaretatt Det finnes ingen definisjon av personvern og informasjonssikkerhet i lovverket Det moderne personvern har med informasjonsteknologi å gjøre Angi eksempler på bruk av teknologi: journalsystemer, mobilteknologi i hjemmetjenesten, timebestilling på nett, svar fra kommunen på nett, MinSide.no, telemedisin, videotjeneste, bruk av Internett, facebook, bruk av e-post, nettbank, osv Be om deltagernes erfaringer: Ser dere noen utfordringer med sikkerhet i egen kommune? Forklaring av begrepene konfidensialitet, integritet, tilgjengelighet og kvalitet. Med hjemmel i POL §13 og HRL §16 Innsatsområder på sikkerhet: Teknisk, fagsystem, fysisk og organisatorisk sikkerhet

1. Hva er Normen? Kompleks sektor med 10 000+ virksomheter Fragmentert lovverk Normen: Utviklet av sektoren og Datatilsynet Basert på og dekker alle krav i lover og forskrifter Normen kan stille strengere krav enn loven Omforent i sektoren Følges Normen - etterleves regelverket Instruktørnotater: Økt samhandling utfordrer kravet til informasjonssikkerhet Omtrent 35 lover og forskrifter angir regler om informasjonssikkerhet i helse- og sosialsektoren Personopplysningsloven Helseregisterloven Helsepersonelloven Pasientrettighetsloven Journalforskriften Alle som har deltatt i å utvikle Normen: Den norske legeforening representanter for de regionale helseforetak Norsk Sykepleierforbund Norges Apotekerforening KS I tillegg har følgende deltatt: Datatilsynet Helsetilsynet NAV Helsedirektoratet Norsk Helsenett Private laboratorier Tannlegeforeningen Den offentlige tannhelsetjenesten I tillegg er Direktoratet for forvaltning og IKT observatør i arbeidet. Normen kan stille strengere krav enn loven f.eks: To uavhengige tekniske tiltak for beskyttelse av helse- og personopplysninger Tofaktor autentisering Presiser hva er forholdet mellom Norm og lov/forskift. Hva er bindende på hvilken måte. (Nomen er bindende ved avtale, veiledere og faktaark er ikke bindende ved avtale)

1. Hva er Normen? Hvem gjelder Normen for? Juridisk bindende for ”virksomheter” som er tilknyttet Norsk Helsenett (iht avtalen om tilknytning) Kan være krav i en avtale (for eksempel databehandleravtale) Veiledende for alle andre Instruktørnotater: Se avtalen for tilknytning til helsenettet (jfr. forrige foil) Med ”virksomhet” menes en juridisk enhet som legevirksomhet, helseforetak, private sykehus, apotek, apotekkjede, kommune, frittstående laboratorier, røntgeninstitutter, tannlege, universiteter, høyskole, stiftelser o.a. Forklar hva databehandlingsansvarlig er. Forklar hva en databehandleravtale er (referer til Datatilsynets veileder for Databehandleravtale).

1. Hva er Normen? Formålet med Normen Etablere tilfredsstillende informasjonssikkerhet Ett regelsett Stole på samhandlingspartner Harmonisere sikkerheten mellom virksomheter i sektoren Instruktørnotater: ”Formålet med normen er: 1. at en virksomhet som etterlever og innretter seg etter normen har tilfredsstillende informasjonssikkerhet for sin behandling av helse- og personopplysninger, og 2. at de som samhandler med en virksomhet som har forpliktet seg til å innrette seg etter normens krav, skal kunne stole på at denne virksomheten har tilfredsstillende informasjonssikkerhet for sin behandling av helse- og personopplysninger.”

Eksempler på sikkerhetsbrudd ”.....pasientlister ble lagt åpent ut på nett og ikke ble fjernet. Departementet ser svært alvorlig på nok en helseglipp” ”Som VG Nett avslørte har sykehuset latt svært sensitive pasientopplysninger ligge i en resirkuleringsboks der pasienter og pårørende ferdes.” ”Sykehuset bestemte seg tirsdag for å politianmelde journalsnokinga som har foregått ved sykehuset.” ”Flere ansatte ved sykehuset har fått muntlig refs etter at de har snoket i pasientenes journaler.” ”Ved sykehuset avslørte ledelsen en ansatt som leste journalen til en kjendis.” Instruktørnotater: Utallige eksempler på at personvernet brytes Invitere deltager: Har noen av dere eksempler på sikkerhetsbrudd? Eksempler fra kommunene (fra media): ”Kommunal legevakt hadde mangelfull avtale om drift av journalsystem med et sykehus som slettet alle journaler i tidsrommet mai til august 2009” ”Minnepinne med PPT-rapporter ble mistet og funnet av tilfeldig forbipasserende. Omfattende mediasak og kritikk av kommunen med resultat svekket omdømme” ”Det ble tatt utskrift av pasientopplysninger - og ikke hentet fra skriver umiddelbart. Skriveren sto i et fellesareal der mange, både besøkende og ansatte hadde tilgang til” ”I et fåtall av kommuner har de tidligere bekreftet at de ikke har organisert autorisasjonstilgang i forhold til hvem trenger hva av opplysninger. Dvs. at alle i de ulike tjenestene, hjemmehjelp, hjemmesykepleie, fysioterapeut, ergoterapeut etc. hadde tilgang til alle pasientopplysninger”

2. Normens oppbygging og innhold Styrende del Gjennomførende del Kontrollerende del www.normen.no Instruktørnotater: Gå inn på www.normen.no Vise struktur på nettstedet Pek på Normen Pek på faktaark Pek på veiledere Gå gjennom innholdsfortegnelse og oppbyggingen av Normen

2. Normens oppbygging og innhold Styrende del – viktige områder Ordfører har formelt det overordnede ansvaret Etablere mål og strategi for informasjonssikkerhet Nivå for akseptabel risiko Utarbeide oversikt over behandlinger Sende melding til Datatilsynet evt. til personvernombud Instruktørnotater: Presiser at ordfører har ansvaret og delegerer oppgaver i egen organisasjon, normalt rådmann som øverste administrativt ansvarlige i kommunen Også andre som har delegert ansvar for å utføre oppgaven: drift av IT og sikkerhetsansvar Alle tiltak som etableres skal bygge på mål og strategi for informasjonssikkerhet Instruktøren beskriver hva sikkerhetsmål og sikkerhetsstrategi er. Gi eksempler. Nivå for akseptabel risiko; hva tåler kommunen og hva tåle den ikke: Har noen deltagere eksempler på hva som er brudd på nivå for akseptabel risiko? (Hvor skal lista ligge?) Behandlinger kan normalt ikke likestilles med fagsystem og system for tjenestedokumentasjon fordi et system kan dekke flere behandlinger De som har personvernombud som er godkjent av Datatilsynet trenger ikke å sende melding Datatilsynet.

2. Normens oppbygging og innhold Gjennomførende del – viktige områder Tilgangstyring Datakommunikasjon (samhandling internt og eksternt) Opplæring Avtaler Databehandleravtale - se www.datatilsynet.no Leverandør – fjernaksess til fagapplikasjon Instruktørnotater: Tilgangsstyring – Forklar forskjellen på disse: Autorisering (roller, behov) Autentisering (rolle, en faktor, tofaktor) Datakommunikasjon Kryptering (forklar hva kryptering er) Pseudonymisering (forklar hva dette er) Gå inn på www.datatilsynet.no og vis mal for databehandleravtale: http://www.datatilsynet.no/templates/article____2742.aspx Fjernaksess Orientere om hvilke krav som stilles til leverandør og virksomhet Egen veileder Egen kursmodul

2. Normens oppbygging og innhold Kontrollerende del – viktige områder Sikkerhetsrevisjon Gjennomføres etter prinsippene for internkontroll av HMS Ekstern sikkerhetsrevisjon Med hjemmel i avtale: for eksempel Norsk Helsenett Risikovurdering Avvikshåndtering Ledelsens gjennomgang Instruktørnotater: Sikkerhetsrevisjon Hva menes med sikkerhetsrevisjon Skal gjennomføres minimum årlig Risikovurdering Skal gjennomføres før oppstart av behandling av helse- og personopplysninger og ved vesentlige endringer For eksempel ved: tilknytning til helsenettet, omstrukturering av nettet, omorganisering av kommunen, mv. Er ikke risikovurdering gjennomført før oppstart, må gjøre det nå Avvikshåndtering All bruk av nødrettstilgang (blålys) skal behandles som avvik Ta også andre dagligdagse hendelser – Peke tilbake til foilen med sikkerhetsbrudd Ledelsens gjennomgang Status på sikkerhetsområdet, revisjon av mål og strategi, sikkerhetsrevisjoner, avvik, organisering, osv Gjennomføres minimum årlig

3. Faktaark og veiledere Faktaark og veiledere omhandler ulike temaer og angir forslag til løsninger Angir eksakte krav og veiledninger www.normen.no Faktaark Eksempel: Faktaark 42 – Bruk av SMS i pasientkontakt Instruktørnotater: Normen stiller kravene (hva) og faktaark og veiledere angir hvordan kravet kan ivaretas. Andre løsninger er også tillat Gå inn på www.normen.no og vis faktaark og veiledere med temagjennomgang Bruk det aktuelle dokumentet – ikke lese alle Eksempel Åpne faktaark 42 og gå gjennom header og innhold – alle ark er bygget opp på samme måten Dette faktaarket inneholder både krav og veiledninger; tillatt, forbudt og bør unngås ifm SMS

Veiledere om: 3. Faktaark og veiledere Fjernaksess Forskning Tilknytning av kommunen til helsenettet Helse- og sosialtjenesten i kommunen og fylkeskommunen Tannhelsetjenesten Legekontor Instruktørnotater: Formelt navn: Veileder for fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet Personvern og informasjonssikkerhet i forskningsprosjekter innenfor helse- og omsorgssektoren Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten - en veileder Personvern og informasjonssikkerhet for legekontorer - en veileder Nevne at det er overlapp mellom enkelte veiledere. Omtale den enkelte veiledere i korte trekk Flere på beddingen bl.a. knyttet til tilgang på tvers Nevne at det utarbeides løpende nye veiledere

4. Hvordan gå frem for å ivareta kravene i Normen? Ledelsesforankring i kommunen Etablere eller revidere styringssystem for informasjonssikkerhet (forholdsmessig sikring) Opplæring Gjennomføre nødvendige tiltak Sørge for kontinuitet og løpende lederforankring Instruktørnotater: Forklar hva som menes med forholdsmessig sikring. Kartlegge status – f.eks bruk av Faktaark 6 – eget skjema med samtlige krav i Normen Kontinuitet: Følge med nye faktaark – endringer på normen.no Kontinuitet: Ledelsen årlige gjennomgang

5. Forvaltning av Normen Bestemmende: Styringsgruppen for Normen Helsedirektoratet har ansvaret for å forvalte informasjonssikkerhetsarbeidet i sektoren Sekretariat for Normen: Helsedirektoratet sikkerhetsnormen@helsedir.no Tilgjengelighet: www.normen.no / www.nhn.no Instruktørnotater: Helsedirektoratet har ansvaret for å forvalte Normen og støttedokumentene gjennom et sekretariat Virksomhetene har selv det faktiske ansvaret for å etterleve Normen Virksomhetene / sektoren kan foreslå nye støttedokumenter