Normenfor

IKT-ansvarlege

Agenda• Hva er gjort i SiO fram til nå?

– Asle Brustad orienterer om de to andre opplæringene som har blitt gjennomført

• Grunnleggende om Normen, hva den er, hva den bygger på og hvem står bak

• Forankring og rolleavklaring• Så en gjennomgang av hvilke dokument som finnes og som vi bør

forholde oss til

Hva er Normen?• Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren

er en samling krav og retningslinjer som skal– bidra til tilfredsstillende informasjonssikkerhet hos den enkelte virksomhet og i

sektoren generelt– samt å bidra til å etablere mekanismer hvor virksomhetene kan ha gjensidig tillit

til at øvrige virksomheters behandling av helse- og personopplysninger gjennomføres på et forsvarlig sikkerhetsnivå.

• Normen er utviklet med basis i personopplysningslovens regler om bransjevise adferdsnormer (jf. personopplysingsloven § 42 tredje ledd nr. 6).

• Disse reglene bygger i sin tur på Eu-direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger.

• Direktivet er implementert i norsk lovgivning med grunnlag i Norges forpliktelser etter EØS-avtalen.

Hva bygger den på?• Arkivloven (lov 4. desember 1992 nr. 126)• Forskrift om internkontroll i sosial- og helsetjenesten (forskrift 20. desember 2002 nr. 1731)• Forskrift om kontrollkommisjonens virksomhet (forskrift 21. desember 2000 nr. 1408)• Forskrift om pasientjournal (forskrift 21. desember 2000 nr. 1385)• Forvaltningsloven (lov 10. februar 1967 nr. 00)• Helseforskningsloven (lov 20. juni 2008 nr. 44)• Helsepersonelloven (lov 2. juli 1999 nr. 64)• Helseregisterloven (lov 18. mai 2001 nr. 24)• Kommunehelsetjenesteloven (lov 19. november 1982 nr. 66)• Offentleglova (lov 19. mai 2006 nr.16)• Pasientrettighetsloven (lov 2. juli 1999 nr. 63)• Personopplysningsforskriften (forskrift 15. desember 2000 nr. 1256)• Personopplysningsloven (lov 14. april 2000 nr. 31)• Psykisk helsevernloven (lov 2. juli 1999 nr. 62)• Smittevernloven (lov 5. august 1994 nr. 55)• Sosialtjenesteloven (lov 13. desember 1991 nr. 81)• Spesialisthelsetjenesteloven (lov 2. juli 1999 nr. 61)• Statlig tilsyn med helsetjenesten (lov 30. mars 1984 nr. 15)• Tannhelsetjenesteloven (lov 3. juni 1983 nr. 54)

Hvem står bak Normen?• Normen er utarbeidet av representanter for helse-, omsorgs- og

sosialsektoren. • Den forvaltes av en styringsgruppe med representanter fra:

– Legeforeningen– De regionale helseforetak– Sykepleierforbundet– Tannlegeforeningen– Norges apotekforening– KS– DOT (Den Offentlige Tannhelsetjenesten)– NAV– Norsk Helsenett– Private laboratorier– Farmasøytene– Norsk psykologforening – Norsk Fysioterapeutforbund – DIFI (observatør)– Datatilsynet (observatør)– Helse- og omsorgsdepartementet (observatør)

• Helsedirektoratet leder styringsgruppen og er sekretariat.

Normen• Med andre ord:

– Normen er ikke ”noe nytt”– Normen bygger på lover og regler som vi har forholdt oss til i lang tid allerede– Normen stiller krav som detaljerer og supplerer gjeldende regelverk– Oppfyller vi disse så tilfredsstiller vi ”sektorens” oppfatning av dagens regelverk– Personvern- og helselovgivningen stiller krav til informasjonssikkerhet. Disse

kravene gjelder uavhengig av Normen– Aktuelle tilsynsmyndigheter (særlig Datatilsynet og Helsetilsynet) kan kontrollere

den enkelte virksomhets etterlevelse av det til enhver tid gjeldende regelverk– Regelverket stiller også en rekke andre krav til behandling av helse- og

personopplysninger enn det som er tema for Normen

Forankring• Forankring er utrolig viktig med tanke på videre framdrift• At ledelsen er klar over viktigheten• At ledelsen prioriterer dette arbeidet• At ledelsen skaffer nok ressurser til å arbeide med dette• Hvem gjør hva, og hvem har ansvar for hva?• Det er et krav om at ansvar og organisering er på plass

før man starter med meldingsutveksling• Kommuner løser dette på forskjellig måte

Rolleavklaring• Databehandlingsansvarlig/Virksomhetsleder/adm.dir/rådmann

– Definere mål og strategi for informasjonssikkerhet– Beskrive ansvar og myndighetsforhold (se vedlagt eksempel med hvilke

sikkerhetsfunksjoner/-roller som skal finnes i organisasjonen)– Spesifisere hvilke behandlinger helse- og personopplysninger skal ha– Melde og evt søke konsesjon for behandlinger til Datatilsynet– Følge opp og kontrollere informasjonssikkerheten

• Den som er ansvarlig til slutt er rådmannen, uansett om han fordeler oppgaver

Rolleavklaring• Linjeleder/avdelingssjef

– Videreføre virksomhetsleders ansvar i egen avdeling– Følge opp og kontrollere informasjonssikkerheten– Prioritere tiltak– Følge opp avtaler om tilgang på tvers av virksomhetsgrenser– Kontroll av tilgang på tvers

Rolleavklaring• Sikkerhetsansvarlig

– sikkerhetsansvarlig har delegert ansvar for å koordinere arbeidet med informasjonssikkerheten i virksomheten

– oppgaver• Utforming av styrende, utførende og kontrollerende dokumenter i foretakets styringssystem for

informasjonssikkerhet• Forberede ledergruppens årlige gjennomgang• Følge opp/iverksette tiltak som er besluttet etter gjennomganger• Samordne og gjennomføre sikkerhetsrevisjoner• Vurdere rapporterte avvik• Forestå risikovurderinger• Erverve og vedlikeholde kunnskap om trusler, sårbarhet,

sikkerhetstiltak, sikkerhetsteknikker og sikkerhetskrav• Opplæring

– Rollen sikkerhetsansvarlig er litt mer diffus med tanke på hvem det bør være

Rolleavklaring• IKT-ansvarlig

– Ansvarlig for drift av IT-systemer (internt) og for at besluttede tiltak er operative og fungerer etter hensikten

– Sørge for at informasjonssystemet driftes og sikres iht fastsatte krav– Etablere beredskapsløsning– Vurdere eventuell løsning for fjernaksess opp mot veileder for fjernaksess– Følge opp leverandører og databehandler

Dokumentasjon

Dokumentasjon

Normen.no• Informasjon om selve Normen• Veiledere, prosessdokument og faktaark• Totalt 52 faktaark• Viser hvilke som angår kommunen og hvilke som angår

de ulike rollene• Nesten alle angår it-ansvarlig på en eller annen måte,

men de fleste faktaark angår flere roller og må gjennomgås sammen med de andre

Så hva gjør vi?• Hvor starter vi?• Hvilket dokument blir utgangspunktet for arbeid med Normen?• Faktaark 6 og 6b – Sikkerhetsrevisjon er et utgangspunkt

– Like greit å starte med det en blir revidert på?– I alle fall kjekt for å få en viss oversikt over hva som må gjøres på et overordnet

nivå

• Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet– Gir god oversikt over hva normen er og hva som skal gjøres

• Før tilknytning til NHN• Etter tilknytning (drift)• Avslutning av tilknytning

– Peker på faktaark som er relevant– Har sjekklister som er fine

Normen.no• Som dere husker:

• It-ansvarlig har ansvar for drift av IT-systemer (internt) og for at besluttede tiltak er operative og fungerer etter hensikten

• MEN Normen er 20 % it og 80 % organisasjon• Hjelper fint lite å ha gode systemer dersom holdningene

ikke er der og opplæring ikke er gjennomført• Det er de som behandler person- og pasientopplysinger,

samt pasientene selv dette gjelder• Når det er sagt, så er det it sin oppgave å tilfredsstille de

tekniske krav som Normen har satt opp når det gjelder tilknytning til helsenett og meldingsutveksling

Veileder• Denne veilederen behandler teknologiske og

administrative forhold. Bortsett fra Norsk Helsenett er den ikke knyttet opp mot spesifikke leverandører, tekniske løsninger eller produkter.

• Les veilederen nøye• Gå gjennom de faktaark som det er henvist til• Se på alle aktuelle faktaark som angår it-ansvarlig• Dann deg et bilde av hvilke oppgaver som er aktuelle og

omfanget av disse• Start med det grunnleggende og ta de rent tekniske

oppgavene

Faktaark• 4 Kartlegging og klassifisering av systemer i henhold til kritikalitet

i forhold til behov for tilgjengelighet• 5 Fastsette akseptkriterier for tilgjengelighet, konfidensialitet, integritet og kvalitet• 7 Risikovurdering• 8 Avviksbehandling• 9 Opplæring av ledere og medarbeidere• 10 Bruk av databehandler (ekstern driftsenhet)• 11 Nødprosedyrer• 12 Tilbakerapportering av resultater fra IT-driften• 13 Oversikt over behandlinger av helse- og personopplysninger i virksomheten• 14 Tilgangsstyring• 15 Hendelsesregistrering og oppfølging• 16 Etablering av løsning for meldingskommunikasjon• 17 Fysisk sikring av områder og utstyr• 18 Sikring av bærbart utstyr• 19 Tiltak for å hindre ondsinnet programvare• 20 Sikkerhets- og samhandlingsarkitektur

Faktaark• 21 Sikkerhetskopi (backup) • 22 Kontroll og sikring av ekstern tilgang• 24 Kommunikasjon over åpne nett• 25 Lagringstid og sletting av helse- og personopplysninger • 26 Sikring av trådløs teknologi • 28 Alternative tekniske løsninger for primærhelsetjenesten • 29 Hjemmekontor• 30 Sikring av mobilt utstyr utenfor virksomheten• 31 Passord og passordhåndtering• 32 Elektronisk pasient- og brukerkommunikasjon • 33 Bruk av e-post ifm helseopplysninger• 34 Håndtering av lagringsmedia• 36

Fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet • 37 Sikkerhetskrav og sikkerhetsdokumentasjon i IKT-prosjekter

Faktaark• 38 Sikkerhetskrav for systemer • 39 Elektronisk utlevering til kontrollkommisjon • 41 Skadereparasjon når data har blitt utilsiktet utlevert• 42 Bruk av SMS i pasientkontakt • 43 Bruk av testdata i systemer som inneholder helse- og personopplysninger• 46 Databehandlingsansvar og avtaler i forbindelse med tjenesteutsetting• 47 Autorisasjonsregister• 48 Informasjonssikkerhet ved utførelse av testing• 49 Krav ved bruk av PKI ved ekstern kommunikasjon• 50 Innsyn i hendelsesregistre• 51 Innsyn i den ansattes e-postkasse mv• 52 Krav til teknisk løsning ved bruk av betalingsterminal    

Oppgaver fra faktaark• Kartlegg system (kritikaliser og prioriter)• Risikovurdering og sette opp akseptkriterier• Avviksbehandling – hva er et avvik?

– Bli enig meg helsepersonell om hva som er avvik– PLO nede er det et avvik?

• Opplæring– Bli med å utarbeid materiale som skal brukes mot ansatte for å bevisstgjøre dem

om betydningen av informasjonssikkerhet– Lag plakater som illustrerer ulike tema (passord, utskrift)

• Bruk av databehandler– Ekstern driftsenhet (person eller virksomhet utenfor din egen virksomhet)– Kommunesamarbeid, leverandører– Veileder for fjernaksess

Oppgaver fra faktaark• Nødprosedyrer

– Krisesituasjoner– Reetablering av teknisk løsning– Fjernlagring av sikkerhetskopi (hvem henter, hvor er den, ”nøkler”– Nøddrift og gjenoppretting av ordinær drift

• Tilbakerapportering av resultater fra ikt-driften– Driftsstatus på kristiske system (EPJ)

• Oppetid• Planlagte avbrudd• Feilsituasjoner som ikke er avvik• Mislykkede pålogginger

– Oppfølging av avviksrapportering– Meldingskommunikasjon– Systemleverandør (EPJ)– Databehandler– Nettleverandør (NHN)

Oppgaver fra faktaark• Tilgangsstyring

– At brukere autenitiseres på en betryggende måte– At tilganger tildeles, administreres, kontrolleres og fjernes– Pålogging internt – krav til passord (7 tegn, tall stor bokstav)– Hjemmekontor – sikkerhetsnivå 4

• Hendelsesregistrering– Sette bedriften i stand til å avdekke uautorisert bruk– Logger

• Fysisk sikring av områder og utstyr– Åpen sone: arealer hvor publikum har fri adgang, korridorer, venterom, fellesarealer, områder med

alminnelig ferdsel– Indre sone: åpne arbeidsplasser (områder med begrenset ferdsel), arealer beregnet kun for medarbeidere i

virksomheten, evt. publikum i følge med medarbeidere - resepsjonsarbeidsplassen, kontorer, vaktrom, behandlingsrom

– Sikker sone: areal hvor kun spesielt godkjente medarbeidere har adgang, og hvor publikum ikke skal ha adgang (områder med sterk adgangsbegrensning), datarom, rom med nettverk, servere og kommunikasjonsutstyr

– Nøkler og adgangskort– Adgang til driftsutstyr (egne datarom med kodelås og alarm)

Oppgaver fra faktaark• Sikring av bærbart utstyr

– Dokumenter bærbart utstyr• Pc, mobiltelefon og PDA• Dokumenter og kartlegg utstyr (hva og hvor fra)

– Risikovurder• Fra hvor det brukes• lagring av helse- og personopplysninger• oppkobling mot andre nettverk• hjemmekontor• synkronisering• sikkerhetskopiering• minnepinne