Normen for IKT-ansvarlege

Agenda Hva er gjort i SiO fram til nå? Asle Brustad orienterer om de to andre opplæringene som har blitt gjennomført Grunnleggende om Normen, hva den er, hva den bygger på og hvem står bak Forankring og rolleavklaring Så en gjennomgang av hvilke dokument som finnes og som vi bør forholde oss til

Hva er Normen? Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren er en samling krav og retningslinjer som skal bidra til tilfredsstillende informasjonssikkerhet hos den enkelte virksomhet og i sektoren generelt samt å bidra til å etablere mekanismer hvor virksomhetene kan ha gjensidig tillit til at øvrige virksomheters behandling av helse- og personopplysninger gjennomføres på et forsvarlig sikkerhetsnivå. Normen er utviklet med basis i personopplysningslovens regler om bransjevise adferdsnormer (jf. personopplysingsloven § 42 tredje ledd nr. 6). Disse reglene bygger i sin tur på Eu-direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger. Direktivet er implementert i norsk lovgivning med grunnlag i Norges forpliktelser etter EØS-avtalen. Det skulle vært slik at alle som skal bruke NHN først må tilfredsstille krav i Normen, og så kan de koble seg opp. Slik kunne man vært sikker på at mottaker har ting på stell. Slik det er nå så ha de fleste kommuner og andre helseforetak koblet seg opp og så begynt å sett på Normen.

Hva bygger den på? Arkivloven (lov 4. desember 1992 nr. 126) Forskrift om internkontroll i sosial- og helsetjenesten (forskrift 20. desember 2002 nr. 1731) Forskrift om kontrollkommisjonens virksomhet (forskrift 21. desember 2000 nr. 1408) Forskrift om pasientjournal (forskrift 21. desember 2000 nr. 1385) Forvaltningsloven (lov 10. februar 1967 nr. 00) Helseforskningsloven (lov 20. juni 2008 nr. 44) Helsepersonelloven (lov 2. juli 1999 nr. 64) Helseregisterloven (lov 18. mai 2001 nr. 24) Kommunehelsetjenesteloven (lov 19. november 1982 nr. 66) Offentleglova (lov 19. mai 2006 nr.16) Pasientrettighetsloven (lov 2. juli 1999 nr. 63) Personopplysningsforskriften (forskrift 15. desember 2000 nr. 1256) Personopplysningsloven (lov 14. april 2000 nr. 31) Psykisk helsevernloven (lov 2. juli 1999 nr. 62) Smittevernloven (lov 5. august 1994 nr. 55) Sosialtjenesteloven (lov 13. desember 1991 nr. 81) Spesialisthelsetjenesteloven (lov 2. juli 1999 nr. 61) Statlig tilsyn med helsetjenesten (lov 30. mars 1984 nr. 15) Tannhelsetjenesteloven (lov 3. juni 1983 nr. 54)

Hvem står bak Normen? Normen er utarbeidet av representanter for helse-, omsorgs- og sosialsektoren. Den forvaltes av en styringsgruppe med representanter fra: Legeforeningen De regionale helseforetak Sykepleierforbundet Tannlegeforeningen Norges apotekforening KS DOT (Den Offentlige Tannhelsetjenesten) NAV Norsk Helsenett Private laboratorier Farmasøytene Norsk psykologforening Norsk Fysioterapeutforbund DIFI (observatør) Datatilsynet (observatør) Helse- og omsorgsdepartementet (observatør) Helsedirektoratet leder styringsgruppen og er sekretariat.

Normen Med andre ord: Normen er ikke ”noe nytt” Normen bygger på lover og regler som vi har forholdt oss til i lang tid allerede Normen stiller krav som detaljerer og supplerer gjeldende regelverk Oppfyller vi disse så tilfredsstiller vi ”sektorens” oppfatning av dagens regelverk Personvern- og helselovgivningen stiller krav til informasjonssikkerhet. Disse kravene gjelder uavhengig av Normen Aktuelle tilsynsmyndigheter (særlig Datatilsynet og Helsetilsynet) kan kontrollere den enkelte virksomhets etterlevelse av det til enhver tid gjeldende regelverk Regelverket stiller også en rekke andre krav til behandling av helse- og personopplysninger enn det som er tema for Normen

Forankring Forankring er utrolig viktig med tanke på videre framdrift At ledelsen er klar over viktigheten At ledelsen prioriterer dette arbeidet At ledelsen skaffer nok ressurser til å arbeide med dette Hvem gjør hva, og hvem har ansvar for hva? Det er et krav om at ansvar og organisering er på plass før man starter med meldingsutveksling Kommuner løser dette på forskjellig måte

Rolleavklaring Databehandlingsansvarlig/Virksomhetsleder/adm.dir/rådmann Definere mål og strategi for informasjonssikkerhet Beskrive ansvar og myndighetsforhold (se vedlagt eksempel med hvilke sikkerhetsfunksjoner/-roller som skal finnes i organisasjonen) Spesifisere hvilke behandlinger helse- og personopplysninger skal ha Melde og evt søke konsesjon for behandlinger til Datatilsynet Følge opp og kontrollere informasjonssikkerheten Den som er ansvarlig til slutt er rådmannen, uansett om han fordeler oppgaver

Rolleavklaring Linjeleder/avdelingssjef Videreføre virksomhetsleders ansvar i egen avdeling Følge opp og kontrollere informasjonssikkerheten Prioritere tiltak Følge opp avtaler om tilgang på tvers av virksomhetsgrenser Kontroll av tilgang på tvers

Rolleavklaring Sikkerhetsansvarlig sikkerhetsansvarlig har delegert ansvar for å koordinere arbeidet med informasjonssikkerheten i virksomheten oppgaver Utforming av styrende, utførende og kontrollerende dokumenter i foretakets styringssystem for informasjonssikkerhet Forberede ledergruppens årlige gjennomgang Følge opp/iverksette tiltak som er besluttet etter gjennomganger Samordne og gjennomføre sikkerhetsrevisjoner Vurdere rapporterte avvik Forestå risikovurderinger Erverve og vedlikeholde kunnskap om trusler, sårbarhet, sikkerhetstiltak, sikkerhetsteknikker og sikkerhetskrav Opplæring Rollen sikkerhetsansvarlig er litt mer diffus med tanke på hvem det bør være Meldal har fått en slik rolle no, og kan kanskje fortelle litt om dette? Hvem det er og hvorfor? Kunne det vært andre? Hvilke oppgaver har vedkommende? Kan rollen kombineres med andre roller som f.eks it-ansvarlig?

Rolleavklaring IKT-ansvarlig Ansvarlig for drift av IT-systemer (internt) og for at besluttede tiltak er operative og fungerer etter hensikten Sørge for at informasjonssystemet driftes og sikres iht fastsatte krav Etablere beredskapsløsning Vurdere eventuell løsning for fjernaksess opp mot veileder for fjernaksess Følge opp leverandører og databehandler

Dokumentasjon

Dokumentasjon

Normen.no Informasjon om selve Normen Veiledere, prosessdokument og faktaark Totalt 52 faktaark Viser hvilke som angår kommunen og hvilke som angår de ulike rollene Nesten alle angår it-ansvarlig på en eller annen måte, men de fleste faktaark angår flere roller og må gjennomgås sammen med de andre

Så hva gjør vi? Hvor starter vi? Hvilket dokument blir utgangspunktet for arbeid med Normen? Faktaark 6 og 6b – Sikkerhetsrevisjon er et utgangspunkt Like greit å starte med det en blir revidert på? I alle fall kjekt for å få en viss oversikt over hva som må gjøres på et overordnet nivå Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Gir god oversikt over hva normen er og hva som skal gjøres Før tilknytning til NHN Etter tilknytning (drift) Avslutning av tilknytning Peker på faktaark som er relevant Har sjekklister som er fine

Normen.no Som dere husker: MEN Normen er 20 % it og 80 % organisasjon It-ansvarlig har ansvar for drift av IT-systemer (internt) og for at besluttede tiltak er operative og fungerer etter hensikten MEN Normen er 20 % it og 80 % organisasjon Hjelper fint lite å ha gode systemer dersom holdningene ikke er der og opplæring ikke er gjennomført Det er de som behandler person- og pasientopplysinger, samt pasientene selv dette gjelder Når det er sagt, så er det it sin oppgave å tilfredsstille de tekniske krav som Normen har satt opp når det gjelder tilknytning til helsenett og meldingsutveksling

Veileder Denne veilederen behandler teknologiske og administrative forhold. Bortsett fra Norsk Helsenett er den ikke knyttet opp mot spesifikke leverandører, tekniske løsninger eller produkter. Les veilederen nøye Gå gjennom de faktaark som det er henvist til Se på alle aktuelle faktaark som angår it-ansvarlig Dann deg et bilde av hvilke oppgaver som er aktuelle og omfanget av disse Start med det grunnleggende og ta de rent tekniske oppgavene

Faktaark 4 ​Kartlegging og klassifisering av systemer i henhold til kritikalitet i forhold til behov for tilgjengelighet 5 ​Fastsette akseptkriterier for tilgjengelighet, konfidensialitet, integritet og kvalitet 7 Risikovurdering 8 Avviksbehandling 9 Opplæring av ledere og medarbeidere 10 Bruk av databehandler (ekstern driftsenhet) 11 Nødprosedyrer 12 ​Tilbakerapportering av resultater fra IT-driften ​13 Oversikt over behandlinger av helse- og personopplysninger i virksomheten 14 Tilgangsstyring ​15 Hendelsesregistrering og oppfølging ​16 Etablering av løsning for meldingskommunikasjon ​17 ​Fysisk sikring av områder og utstyr ​18 ​Sikring av bærbart utstyr ​19 ​Tiltak for å hindre ondsinnet programvare ​20 ​Sikkerhets- og samhandlingsarkitektur Som sagt er det mange faktaark som ikke kan sees på av it alene. Ta faktaark 4 for eksempel. Det er jo helsepersonell og de oppgaver som utføres her som må kritikaliseres og prioriteres. MEN it må vite om prioriteringene for å kunne prioritere sine oppgaver og kartlegge de system som er viktigst i driftssammenheng.

Faktaark ​21 Sikkerhetskopi (backup)​ ​22 Kontroll og sikring av ekstern tilgang ​24 Kommunikasjon over åpne nett ​25 Lagringstid og sletting av helse- og personopplysninger​ ​26 Sikring av trådløs teknologi​ ​28 Alternative tekniske løsninger for primærhelsetjenesten​ ​29 Hjemmekontor ​30 Sikring av mobilt utstyr utenfor virksomheten ​31 Passord og passordhåndtering ​32 Elektronisk pasient- og brukerkommunikasjon​ ​33 ​Bruk av e-post ifm helseopplysninger ​34 Håndtering av lagringsmedia ​36 Fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet ​37 Sikkerhetskrav og sikkerhetsdokumentasjon i IKT-prosjekter

Faktaark ​38 Sikkerhetskrav for systemer ​ 39 Elektronisk utlevering til kontrollkommisjon ​41 Skadereparasjon når data har blitt utilsiktet utlevert ​42 ​Bruk av SMS i pasientkontakt 43 ​Bruk av testdata i systemer som inneholder helse- og personopplysninger 46 ​Databehandlingsansvar og avtaler i forbindelse med tjenesteutsetting ​47 Autorisasjonsregister ​48 ​Informasjonssikkerhet ved utførelse av testing ​49 ​Krav ved bruk av PKI ved ekstern kommunikasjon ​50 ​Innsyn i hendelsesregistre 51​ ​Innsyn i den ansattes e-postkasse mv ​52 ​Krav til teknisk løsning ved bruk av betalingsterminal    

Oppgaver fra faktaark Kartlegg system (kritikaliser og prioriter) Risikovurdering og sette opp akseptkriterier Avviksbehandling – hva er et avvik? Bli enig meg helsepersonell om hva som er avvik PLO nede er det et avvik? Opplæring Bli med å utarbeid materiale som skal brukes mot ansatte for å bevisstgjøre dem om betydningen av informasjonssikkerhet Lag plakater som illustrerer ulike tema (passord, utskrift) Bruk av databehandler Ekstern driftsenhet (person eller virksomhet utenfor din egen virksomhet) Kommunesamarbeid, leverandører Veileder for fjernaksess

Oppgaver fra faktaark Nødprosedyrer Krisesituasjoner Reetablering av teknisk løsning Fjernlagring av sikkerhetskopi (hvem henter, hvor er den, ”nøkler” Nøddrift og gjenoppretting av ordinær drift Tilbakerapportering av resultater fra ikt-driften Driftsstatus på kristiske system (EPJ) Oppetid Planlagte avbrudd Feilsituasjoner som ikke er avvik Mislykkede pålogginger Oppfølging av avviksrapportering Meldingskommunikasjon Systemleverandør (EPJ) Databehandler Nettleverandør (NHN)

Oppgaver fra faktaark Tilgangsstyring Hendelsesregistrering At brukere autenitiseres på en betryggende måte At tilganger tildeles, administreres, kontrolleres og fjernes Pålogging internt – krav til passord (7 tegn, tall stor bokstav) Hjemmekontor – sikkerhetsnivå 4 Hendelsesregistrering Sette bedriften i stand til å avdekke uautorisert bruk Logger Fysisk sikring av områder og utstyr Åpen sone: arealer hvor publikum har fri adgang, korridorer, venterom, fellesarealer, områder med alminnelig ferdsel Indre sone: åpne arbeidsplasser (områder med begrenset ferdsel), arealer beregnet kun for medarbeidere i virksomheten, evt. publikum i følge med medarbeidere - resepsjonsarbeidsplassen, kontorer, vaktrom, behandlingsrom Sikker sone: areal hvor kun spesielt godkjente medarbeidere har adgang, og hvor publikum ikke skal ha adgang (områder med sterk adgangsbegrensning), datarom, rom med nettverk, servere og kommunikasjonsutstyr Nøkler og adgangskort Adgang til driftsutstyr (egne datarom med kodelås og alarm)

Oppgaver fra faktaark Sikring av bærbart utstyr Dokumenter bærbart utstyr Pc, mobiltelefon og PDA Dokumenter og kartlegg utstyr (hva og hvor fra) Risikovurder Fra hvor det brukes lagring av helse- og personopplysninger oppkobling mot andre nettverk hjemmekontor synkronisering sikkerhetskopiering minnepinne