Normen i SiO - forpliktelser og lederforankring v. Asle Brustad prosjektleder - eMeldinger Bårdshaug 8. juni 2012

Innhold Bruk av eMeldinger skaper nye muligheter – og noen utfordringer Hva er Normen? Hva kreves av oss? Normens oppbygging og innhold Faktaark og veiledere Hvordan gå frem for å ivareta kravene i Normen? Instruktørnotater: Målgruppe for kursmodulen: Rådmann / fylkesrådmann Kommunalsjef / kommunaldirektør IT-sjef Sikkerhetskoordinator/informasjonssikkerhetsansvarlig Personvernombud Leder i virksomhet som er databehandler (for eksempel interkommunalt IT-samarbeid) Systemansvarlig Saksbehandler Dokumentasjonsansvarlige (helsepersonell som har et særskilt ansvar for dokumentasjon, jfr. helsepersonellloven) Gjennomgang av kursets innhold pkt 1 til 5 Spørre hvilke roller som er i salen? Invitere til spørsmål?

Fra papir til eMeldinger Ny teknologi fører til nye arbeidsmetoder/prosesser – og krever ny kompetanse Bevisst forhold til personvern er sentralt ifm. at man bytter papirbaserte prosesser med elektronisk meldingsutveksling «Normen» er utviklet for å ivareta disse kravene

Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren - Normen (42 sider) er utarbeidet av representanter for sektoren, blant annet Legeforeningen, Sykepleierforbundet, Tannlegeforeningen, KS, Apotekerforeningen og regionale helseforetak. Normen omfatter alle krav som må tilfredsstilles for å oppfylle lov- og forskriftskrav til informasjonssikkerhet i helse-, omsorgs- og sosialsektoren. Alle aktører i sektoren som er tilknyttet Norsk Helsenett er avtalerettslig forpliktet til å følge Normen. Instruktørnotater: Det enkeltes individs grunnleggende rettigheter Datatilsynet skal påse at personvernet blir ivaretatt Det finnes ingen definisjon av personvern og informasjonssikkerhet i lovverket Det moderne personvern har med informasjonsteknologi å gjøre Angi eksempler på bruk av teknologi: journalsystemer, mobilteknologi i hjemmetjenesten, timebestilling på nett, svar fra kommunen på nett, MinSide.no, telemedisin, videotjeneste, bruk av Internett, facebook, bruk av e-post, nettbank, osv Be om deltagernes erfaringer: Ser dere noen utfordringer med sikkerhet i egen kommune? Forklaring av begrepene konfidensialitet, integritet, tilgjengelighet og kvalitet. Med hjemmel i POL §13 og HRL §16 Innsatsområder på sikkerhet: Teknisk, fagsystem, fysisk og organisatorisk sikkerhet

Lovgrunnlag «Normen er først og fremst basert på personvern og helselovgivningens krav til å etablere tilfredsstillende informasjonssikkerhet for systemer inneholdende helse og personopplysninger, jf. personopplysningsloven § 13, helseregisterloven § 16 og personopplysningsforskriften kapittel 2.» Altså er ikke dette noen nytt, men forpliktelser som har ligget der gjennom tiår.

Faktaark 6, sikkerhetsrevisjon Dette er hva en kommune kan måtte stå til rette for ved et tilsyn: Faktaark 6, sikkerhetsrevisjon 8- punkts sjekkliste, minimumskrav til en sikkerhetsrevisjon Dette var kortformen. Fullversjonen ser vi her: Faktaark: 6b 157 punkter!

Styrende dokumenter Finnes en lang rekke veiledere Utfordring å finne de riktige å starte med Vi har tatt utgangspunkt i de som er koblet til kommunal virksomhet på hjemmesidene til Normen

4 veiledere Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet (29 sider) Veileder for fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet (30 sider) Personvern og informasjonssikkerhet for legekontorer (26 sider) (egen mal for internkontroll finnes også) Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner (39 sider) Til sammen ca. 125 sider…

I tillegg kommer 53 faktaark! Relevante faktaark for kommuner Følgende målgrupper er omfattet av disse fakta-arkene

Forankring i ledelsen i kommunen Strenge krav til at arbeidet med Normen har en forankring i ledelsen Noen klipp fra «virksomhetsleders ansvar» (faktaark 1 og 2): «Virksomhetens leder skal påse at informasjons-behandlingen og informasjonssikkerheten organiseres slik at det er tydelig hvem som har ansvar for de ulike deler av informasjonsbehandlingen.» «Virksomhetens ledelse er ansvarlig for å etablere og innføre et styringssystem for informasjonssikkerhet.»

Dette krever dedikerte ressurser Utfordring til dere som øverste administrative ledere: Gjennomgangen viser at dette er en omfattende oppgave Det kreves at det avsettes ressurser om man skal klare å etterleve disse kravene Den/de som har/får/tar ansvar for dette trenger dessuten deres støtte og forankring for å ha relevant legitimitet i organisasjonen når de skal sette i gang dette arbeidet

Hva vi bidrar med fra prosjekt eMeldinger Har etablert egen arbeidsgruppe 5 medlemmer med erfaring fra - og interesse for området (Hitra, Meldal, Surnadal og SiO) Utarbeider kursopplegg for sentrale personer i kommunene Vi ser for oss å dele opp 2-3 grupper: En for kommunalsjefer/tilsvarende for helse, helst sammen med rådmenn En for enhetsledere helse (?) En for IKT-personale Sannsynlig gjennomføring: September 2012 Men: Det vil kreves lokal oppfølging etter dette for å nå alle ansatte innenfor helseområdet. Noen må få ansvar og ressurser til å gjennomføre dette lokalt.

Anbefaling Vurder å oppnevne felles personvernombud for SiO-kommunen Vurder også gjerne å gå sammen om et felles kvalitetssystem Mange problemstillinger her kan løses i felleskap – i stedet for å løse samme utfordring på 12 steder… Men husk at det juridiske ansvaret fortsatt vil ligge lokalt i den enkelte kommune…