Norm for informasjonssikkerhet i helse- og omsorgssektoren

Slides:



Advertisements
Liknende presentasjoner
12.Studienreise nach Finnland,
Advertisements

Kvinner og politikk Kvinnelig valgmobilisering i Nord-Norge: Glasstak eller etterslep? Marcus Buck.
Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1
Litt mer om PRIMTALL.
Teknisk løsning for kvalitetsregistre Regional kvalitetsregisterkonferanse 18. juni 2010 Knut Hellwege Spesialrådgiver IKT Helse Sør-Øst RHF
Forskrift og veileder til forskrift; Nasjonale tjenester
Norm for informasjonssikkerhet Modul 1 – Normen – en oversikt
Sunndalsøra Registertjenester Per Ivar Larsen Sugar
Teknologi for et bedre samfunn 1 Asbjørn Følstad, SINTEF Det Digitale Trøndelag (DDT) Brukervennlig digitalisering av offentlig sektor.
Hvilke rettsregler gjelder for norske nettsteder? Prof. Dag Wiese Schartum, AFIN.
Møre og Romsdal. 2 Ligger det et bedehus eller et kristelig forsamlingshus (ikke kirke) i nærheten av der du bor? (n=502) i prosent.
Visjoner, mål og satsninger i e-helse
Prosjekt KomUt Kommunal utbredelse av meldinger
Instruktørkurs for kommuner Gjennomføring av lokale kurs (30 min)
Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1
NRKs Profilundersøkelse NRK Analyse. Om undersøkelsen • NRK Analyse har siden 1995 gjennomført en undersøkelse av profilen eller omdømmet til NRK.
Meldingsutbredelse Status 2012, planer 2013 Samordnet utbredelse desember, 2012.
Norm for informasjonssikkerhet Helse-, omsorgs- og sosialsektoren.
Fra forelesningene om involveringspedagogikk Et utviklingsarbeid Philip Dammen Manuset er under arbeid.
Leif Erik Nohr Juridiske rammer for utveksling av helseinformasjon - et nordisk overblikk Leif Erik Nohr
Tilgang på langs: Informasjonsdeling og sammenhengende pasientforløp - En introduksjon - Ellen K. Christiansen,seniorrådgiver, Nasjonalt senter for.
Prof. Dag Wiese Schartum, AFIN
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
Helse- og omsorgsdepartementet Høring 1.Ny lov om helse og omsorg 2.Ny lov om folkehelse 3.Innspill til ny nasjonal plan for helse- og omsorgstjenester.
NY LOV OM HELSEPERSONELL
Pasientjournalen – hvem skal ”eie” den?
Smittevern – lover og forskrifter Regional smittevernlege
Elektronisk samhandling
Nasjonale kvalitetsregistre
Anne Marie Dalen Øverhaug Kvalitetsregisterkonferansen
| Helsedirektoratet, omgivelser og samfunnsoppdrag| 2 Om Helsedirektoratet Fagdirektorat og myndighetsorgan underlagt Helse- og omsorgsdepartementet.
Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1
Orientering om automatisk tilgangsstyring
Normen i SiO - forpliktelser og lederforankring
Meldingsutveksling og kommunal utbredelse
Instruktørnotater: Instruktør må ha videokanon Velkommen til kurset
Informasjonssikkerhet
Studenters tilgang til elektronisk pasientjournal
HTV-konferanse 5. februar 2013 Sosiale medier i helse og omsorg – veilederen Jo Cranner Seniorrådgiver NSF.
Malverk intern produktopplæring
1 BM-dagen 29.okt BM1 Fysisk miljøplanlegging Studieprogram for Bygg- og miljøteknikk Meny Prosjektoppgaven Arealbruk og befolkning Transport og.
Presentasjon av UiOs mal for databehandleravtale, bruk av malen og oppfølging av arbeidet med behandlinger av personopplysninger.
Eiendomsmeglerbransjens boligprisstatistikk Februar 2011 Norges Eiendomsmeglerforbund og Eiendomsmeglerforetakenes Forening ECON Poyry og FINN.
Instruktørkurs for kommuner Ansvar og avtaler (45 min)
Virksomhetsrapport Oktober Innhold 1. Oppsummering 2. Hovedmål 3. Pasient 5. Aktivitet 4. Bemanning 6. Økonomi 7. Klinikker 2.
En oversikt over personopplysningsloven Dag Wiese Schartum, AFIN.
Myndiggjorte medarbeidere – mer aktiv omsorg
| 1 Instruktørkurs for kommuner Ansvar og avtaler (45 min)
| 1 Instruktørkurs for kommuner Veiledere; tilknytning til helsenett og fjernaksess (30 minutter)
Innledning – om samhandlingsreformen og endringer i helselovgivningen
| 1 Instruktørkurs for kommuner Normen (30min)
| 1 Instruktørkurs – kommuner Veileder helse og sosial – kort orientering.
| 1 Instruktørkurs for kommuner Gjennomføring av lokale kurs (40 min)
Om personopplysningslovens betydning for systemutvikling Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO.
Resultat av konsernrevisjon Sykehuset Østfold
| 1 Instruktørkurs – kommuner Personvern – hva er det.
Bø hotell, Anders Stang Lund Senior kommunikasjonsrådgiver
Systemutvikling, organisasjonsutvikling og regelverksutvikling Dag Wiese Schartum, AFIN.
Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag Tor Ottersen.
| 1 Instruktørkurs for kommuner Ansvar og avtaler (45 min)
Krav til sikring av personopplysninger Prof. Dag Wiese Schartum, AFIN.
Krav til sikring av personopplysninger i hht pol § 13 og pof kap. 2 Prof. Dag Wiese Schartum, AFIN.
1 Brudd på taushetsplikten? Du arbeider på et legekontor. I matpausen din benytter sykepleieren på skiftestua anledningen til å rydde ut brukt medisinsk.
Instruktørkurs for kommuner Normen (30min)
Krav til sikring av personopplysninger
Krav til sikring av personopplysninger i hht pol § 13 og pof kap. 2
Instruktørkurs for kommuner Normen (30min)
Helseopplysninger i MTU, - rammer og sikring
Instruktørkurs – kommuner Veileder helse og sosial – kort orientering
Direktoratet for e-helse
Utskrift av presentasjonen:

Norm for informasjonssikkerhet i helse- og omsorgssektoren Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Fagdager elektronisk dokumentasjon frisklivssentraler 05.09.14 Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Agenda Informasjonssikkerhet i helse- og omsorgssektoren Hva er Normen? Normen: Krav og hjelpemidler Quiz og diskusjonsoppgaver underveis 1. 2. 3. 4. Norm for informasjonssikkerhet

Nasjonale innsatsområder for e-helse Styrings- og kunnskaps- grunnlag Innbygger-tjenester Helsepersonell-tjenester IKT-infrastruktur og felleskomponenter Styring, koordinering og prioritering Personvern og informasjonssikkerhet Standarder, terminologi og kodeverk Forskning, innovasjon og kompetanse Én innbygger – én journal Handlingsplanen er delt inn i 9 innsatsområder Styring, koordinering og prioritering Innbyggertjenester Helsepersonelltjenester Styrings- og kunnskapsgrunnlag Personvern og informasjonssikkerhet Standarder, terminologi og kodeverk Forskning, innovasjon og kompetanse Infrastruktur og felleskomponenter Utredning av Én innbygger – én journal Som grunnlag for hele handlingsplanen og alle 9 innsatsområder er Stortingsmelding nr 9 Én innbygger – én journal. Stortingsmeldingen har både et langsiktig og et kortsiktig perspektiv. Det langsiktige perspektivet tas ned i det fremtidige utredningsarbeidet, det kortsiktige perspektivet tas ned her i denne handlingsplanen. Jf. forrige foil. 40 Tiltaksområder 130 Tiltak Norm for informasjonssikkerhet

Helse- og omsorgssektoren Omfattende både i antall årsverk og omsetning Organisatorisk fragmentert Har sensitive personopplysninger som grunnlag for all virksomhet Krever stadig mer samhandling på tvers Omfattes av stort og komplekst lovverk Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Kjartan Olafsson, Legeforeningen, Normkonferansen 2012 Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Teknologi… http://www.alivecor.com/ https://skinvision.com/ Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Trusler… Norm for informasjonssikkerhet

… og sikkerhetskulturen? Norm for informasjonssikkerhet

Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Det handler om tillit… Colourbox.com Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Oppgave 1 Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Fra «Personvern 2014» Utgitt 2014 av Datatilsynet og Teknologirådet https://www.datatilsynet.no/Global/04_planer_rapporter/Persovern_tilstandogtrender_2014.pdf Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Fra «Personvern 2014» Utgitt 2014 av Datatilsynet og Teknologirådet https://www.datatilsynet.no/Global/04_planer_rapporter/Persovern_tilstandogtrender_2014.pdf Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Fra «personvern 2014» Utgitt 2014 av Datatilsynet og Teknologirådet https://www.datatilsynet.no/Global/04_planer_rapporter/Persovern_tilstandogtrender_2014.pdf Norm for informasjonssikkerhet

Norm for informasjonssikkerhet HVA ER Normen? Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Bransjenormer Tittel År Norm for informasjonssikkerhet i helse- og omsorgssektoren 2006 Bransjenorm for behandling av personopplysninger i den norske inkassobransjen 2008 European code of conduct of FEDMA for the use of personaldata in direct marketing 2010 Bransjenorm for e-billettering 2011 Norm for idrettens databehandling Normen: Norges første bransjenorm for informasjonssikkerhet med utgangspunkt i EU-direktiv 46/95 artikkel 27 Og POL §42, 6. Siden har flere sektorer kommet til Norm for informasjonssikkerhet

Norm for informasjonssikkerhet i helse og omsorgssektoren Et omforent sett av adferdsregler og tiltak Besluttet og forvaltet av sektoren, forankret i EU-direktiv 46/95 artikkel 27 POL §42, 6 Arbeidet startet opp i 2003, versjon 1 klar i 2006, versjon 4 i 2014 www.normen.no Norm for informasjonssikkerhet

Normen: Forenkler, og gjør tilgjengelig Kontrollert og godkjent av lovtolkende myndigheter Dekker alle informasjons-sikkerhetskrav til sektoren i lovverket Norm for informasjonssikkerhet

Styringsgruppens mandat Nytt mandat vedtatt juni 2013 Styringsgruppens overordnede mål for Norm for informasjonssikkerhet helse-, omsorgs- og sosialsektoren (Normen) er god og sikker informasjonsbehandling. Normen skal, innenfor lovverkets rammer, søke en balansert tilnærming til konfidensialitet, tilgjengelighet, integritet og kvalitet. Normen skal bidra til å understøtte gode helsetjenester, god pasientsikkerhet, de ansattes personvern, og en aktiv pasientrolle. Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Medlem Representant ​KS Stein Schatvet (leder) John Horve ​Den norske lægeforening Kjartan Olafsson ​Den norske tannlegeforening Aril Jul Nilsen ​Norsk sykepleierforbund Asbjørn Finstad ​Apotekforeningen Astrid Marie Reksnes ​Norsk farmaceutisk forening Guri Wilhelmsen ​Regionale helseforetak Helse Sør-Øst: Helse Vest: Helse Midt-Norge: Helse Nord: Henriette Henriksen Lars Erik Baugstø-Hartvigsen Gunnar Watn Per Bruvold ​ Norsk Helsenett Håkon Grimstad Helsedirektoratet ​ Torunn Janbu Sidsel Nordhagen Styringsgruppen (1): Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Medlem Representant Fürst / Private laboratorier Sten-Tore Fiskerud ​NAV Johs. Hammer ​Den offentlige tannhelsetjeneste Kirsten Nerheim Ahlsen ​Norsk psykologforening ​Andreas Høstmælingen ​Norsk Fysioterapeutforbund ​Henrietta Richter Uitdenbogaardt ​- ​Observatører Datatilsynet ​ Helge Veum ​Helse- og omsorgsdepartementet Darlén Gjølstad Difi​ Jon Berge Holden Styringsgruppen (2): Sekretariatet er plassert i Helsedirektoratet, med fast deltakelse fra Norsk Helsenett Norm for informasjonssikkerhet

Normen med støttedokumenter Normen (”Code of conduct”) og en del faktaark / veiledere er oversatt til engelsk Juridisk bindende ved avtale: Normen: Støttedokumenter: Veiledende: Kursmateriell: Normkonferansen Nyhetsbrev Svartjeneste www.normen.no Veiledere / malverk Faktaark Norm for informasjonssikkerhet

Veiledninger / faktaark … Norm for informasjonssikkerhet

Utadrettet virksomhet 07.04.2017 Utadrettet virksomhet Alle dokumenter på normen.no Forslagskasse og svartjeneste Foredrag og årlig normkonferanse Utarbeidelse av kursmateriell og gjennomføring av kurs Bistår profesjonsorganisasjonene i utarbeidelse av e-læringsprogrammer for informasjonssikkerhet sikkerhetsnormen@helsedir.no Norm for informasjonssikkerhet Tema for presentasjonen

Norm for informasjonssikkerhet Normkonferansen 2014 14. – 15 oktober 2014 Rica Park Holmenkollen Hotel, Oslo Norm for informasjonssikkerhet

Nyheter og planlagte leveranser Tilgjengelig nå Normen 4.0 Veileder for psykologer, fysioterapeuter m.fl Desember 2014 (tentativt) Veileder velferdsteknologi Veileder informasjonssikkerhet og medisinsk-teknisk utstyr Våren 2015 Normen 5.0 Endringer som følge av ny pasientjournallov og ny helseregisterlov Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Oppgave 2 og 3 Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Oppgave 2 Norm for informasjonssikkerhet

NORMEN: Krav og hjelpemidler Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Innhold Introduksjon Hva gir Normen – styringssystem Styrende del Gjennomførende del - krav til informasjonssikkerhet Kontrollerende del Risikovurdering Aktuelle veiledere og faktaark Norm for informasjonssikkerhet | 30

Norm for informasjonssikkerhet Helseregisterloven § 16 …gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet… …dokumentere informasjonssystemet og sikkerhetstiltakene… Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Styringssystem Norm for informasjonssikkerhet

Hva gir Normen - styringssystem Samling av alle dokumenter i en bestem struktur: Styringsdokumenter Prosedyrer Maler Opplæringsmateriell NB! Styringssystem skal være på plass i alle virksomheter som behandler helse- og personopplysninger Norm for informasjonssikkerhet | 33

Hva gir Normen - styringssystem Styrende del Gjennomførende del Kontrollerende del Norm for informasjonssikkerhet

Hva gir Normen - styringssystem Styrende del Fastsette ansvaret Databehandlingsansvarlig Databehandler Etablere mål og strategi for informasjonssikkerhet Fastsette nivå for akseptabel risiko Utarbeide oversikt over behandlinger Norm for informasjonssikkerhet | 35

Sentrale sikkerhetsmål Helse- og personopplysninger skal Være tilgjengelig for rett personell til rett tid i henhold til fastsatte prinsipper for tilgangsstyring etter pkt. 5.2 nedenfor. Behandles i tråd med reglene om taushetsplikt og være beskyttet slik at uvedkommende ikke får kjennskap til opplysningene. Uvedkommende omfatter også personell som ikke har tjenstlig behov. Være fullstendige, oppdaterte og korrekte og et resultat av rettmessige registreringer og kontrollerte aktiviteter. Begrenses slik at kun det som er nødvendig av helse- og personopplysninger behandles. Norm for informasjonssikkerhet

Hva gir Normen - styringssystem Gjennomførende del – krav til informasjonssikkerhet Ansvarliggjøring av ansatte - taushetsplikt Tilgangsstyring Behandling av helse- og personopplysninger Sikring av områder og utstyr Etablering og drift av informasjonssystemet Opplæring og kompetanse Datakommunikasjon (samhandling internt og eksternt) Avtaler (f.eks databehandleravtale) Norm for informasjonssikkerhet | 37

Norm for informasjonssikkerhet Tilgangsstyring All tilgang til helse- og personopplysninger skal baseres på en tildelt rolle i fagsystemet Rollen gir autorisasjon for å lese, registrere, redigere, rette, slette og/eller sperre helse- og personopplysninger All tildelte autorisasjoner skal kontrolleres minimum årlig Databehandlingsansvarlig skal sørge for at det oppettes et autorisasjonsregister. Norm for informasjonssikkerhet | 38

Hendelsesregistrering Hendelsesregistre (bruk av fagsystemet) skal minimum inneholde entydig identifikator for den autoriserte brukeren rollen den autoriserte brukeren har ved tilgangen virksomhetstilhørighet organisatorisk tilhørighet til den som er autorisert hvilke type opplysninger det er gitt tilgang til grunnlaget for tilgangen tidspunkt og varighet for tilgangen Hendelsesregisteret skal oppbevares i minimum 2 år Hendelsesregistre skal analyseres (ukentlig) Pasienten har rett til å få utlevert sin logg Være oppmerksom på helseregisterloven § 21a Norm for informasjonssikkerhet | 39

Hva gir Normen - styringssystem Kontrollerende del Avvikshåndtering Sikkerhetsrevisjon Ledelsens gjennomgang Risikovurdering Norm for informasjonssikkerhet | 40

Norm for informasjonssikkerhet Risikovurdering Identifisere mulige svakheter i eksisterende løsninger Tilgangsstyring Teknisk løsning Bruk av fagsystem Fysisk sikring Avtaler … Vurdere om svakheter kan/vil ha innvirkning på behandling av helse- og personopplysninger Bruk tilgjengelig mal på www.normen.no Norm for informasjonssikkerhet | 41

Risikovurdering (Normen, kap 4.6, faktaark 07) Risikovurdering skal som minimum gjennomføres før: det iverksettes behandling av helse- og personopplysninger etablering av nye informasjonsbehandlingssystemer eller registre som inneholder helse- og personopplysninger det iverksettes organisatoriske endringer som kan påvirke informasjonsbehandlingen det iverksettes tekniske endringer i utstyr og/eller programvare som kan påvirke informasjonsbehandlingen det iverksettes andre endringer med betydning for informasjonssikkerheten Norm for informasjonssikkerhet

Oppgave 4 og 5. Hvis tid oppgave 6 og 7 Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Oppgave 5 For hjelp til konsekvensvurdering: faktaark 7 Sannsynlighet x konsekvens = 3 x 4 = 12. Høy risiko Norm for informasjonssikkerhet

Oppgave 6 – hva er sensitive personopplysninger: Norm for informasjonssikkerhet

Noen aktuelle veiledere og faktaark Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner Førende anbefaling for personvern og informasjonssikkerhet Den registrertes rettigheter Sikkerhetskrav for fagsystemer ved etablering i bruk ved utfasing Norm for informasjonssikkerhet

Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Veileder for etablering av virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap Med avtaleeksempler Gruppepraksis Profesjonssamarbeid Kommune med dels kommunal og dels privat hjemmetjeneste Kommune med privat sykehjem og kommunal hjemmetjeneste Lokalmedisinsk senter og intermediært tilbud Norm for informasjonssikkerhet

Veileder video-, lyd- og bildeopptak av pasient / bruker Ulike formål, f.eks Dokumentasjon av helsehjelp Veiledning , undervisning Internkontroll og Informasjonssikkerhet Mal informasjons- og samtykkeskjema Mal risikovurdering - med eksempelscenarier Norm for informasjonssikkerhet

Veileder i bruk av sosiale medier i helse-, omsorgs- og sosialsektoren Norm for informasjonssikkerhet

Helsepersonell og sosiale medier http://www.sykepleien.no/Content/1011108/Sykepleiere.pdf Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Bruk av veilederen Ment å være praktisk verktøy når virksomheten skal utforme retningslinjer for bruk av sosiale medier Tre deler: Overordnede problemstillinger ledelsen må ta stilling til Tekstforslag ”Råd for bruk av sosiale medier for deg som jobber i <virksomheten>” Tekstforslag ”Gode råd for bruk av sosiale medier for pasienter / brukere og deres pårørende” Tilpasses den enkelte virksomhet! Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Råd for bruk av sosiale medier for deg som jobber i <virksomheten> - eksempler Forholdet til pasienter / brukere – taushetsplikt Ikke publisér helse- og personopplysninger Pass på at pasienter og pårørende ikke kommer med på bilder, og derved kan bli identifisert, dersom du legger ut bilder fra arbeidsplassen Vær varsom med forbindelser med pasienter / brukere eller deres pårørende fra din personlige side i sosiale medier. Eksempeltekst for å avslå på en vennlig måte Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Tekstforslag: Gode råd for bruk av sosiale medier for pasienter / brukere og deres pårørende Blogging fra sykesengen, ”vært på sykehuset” statusoppdatering, .... Gode råd for pasienter kan være aktuelt for mange virksomheter Fritar ikke virksomheten for ansvar Norm for informasjonssikkerhet

Norm for informasjonssikkerhet Oppgave 8 Norm for informasjonssikkerhet

Norm for informasjonssikkerhet www.normen.no Abonnere på nyhetsbrev? Normen.no -> Om Normen (nederst på siden) sikkerhetsnormen@helsedir.no Norm for informasjonssikkerhet

Tilbakemelding: Konfidensialitetspolitikk Tilbakemelding
Om prosjektet: SlidePlayer Bruksavtale

© 2024 SlidePlayer.no Inc. All rights reserved.