Transcript Informasjonssikkerhet-Anne-Marie Dalen Øverhaug

Helse Sør- Øst
- bærekraftig utvikling i tråd med oppdraget
Anne Marie Dalen Øverhaug
Kvalitetsregisterkonferansen
18. Juni 2010
Hvorfor fokus?
•Risiko- og
sårbarhetsanalyser
•Hendelser
•Avvik
•Tilsyn
•Tilgang på tvers
•Økt samhandling
•Felles tjenester
•Behov åpning mot nye
samhandlingsarenaer
•Nye forskrifter etter
lovendring
Personvern -> Pasientsikkerhet
• Personvernet er viktig
– For pasienten
– For den ansattes integritet
– For pasientens tillit til helsepersonell (personlig ansvar)
– For pasientens tillit til helsevesenet (systemets ansvar)
• Personvern og informasjonssikkerhet er fastlagt i ulike
lovkrav
• Godt personvern og informasjonssikkerhet sentral del av
pasientsikkerheten
Informasjonssikkerhet
• Sikkerhetstjenester
– Identitetsfederering
– Sikker tilgang fra
eksterne nett
– Sikkerhetsovervåking Teknisk
– Public Key Infrastructur sikkerhet
• Logganalyseverktøy /
mønstergjenkjenning
• Datalekkasjebeskyttelse
• Identitets – og tilgangsstyring
– Rollestyrt
– Beslutningsstyrt
– Håndtering/Forvaltning
• Kompetanseprogram
• Opplæring
• Kunnskap
Bevisste brukere
• Holdninger
• Adferd
INFORMASJONSSIKKERHET
Rutiner og
sikkerhetsorganisasjon
•
•
•
•
•
Styringssystem
Strategiske føringer
Risikostyring
Behandling pasient/personoppl.
Kontinuitets- og
beredskapsplanverk
• Hendelseshåndtering
Informasjonssikkerhet Lovkrav
Kvalitetsregistre må tilfredsstille lovkrav til
informasjonssikkerhet:
• Personopplysningslov §13
• Personopplysningsforskrift kapitel II
• Helseregisterloven §16
• Norm for informasjonssikkerhet i helsesektoren
• Særlover og forskrifter som stiller krav til
informasjonssikkerhet
Informasjonssikkerhet –
Hva betyr det?
•
•
•
•
•
•
•
•
•
•
•
•
•
Planlagte og systematiske og dokumenterte tiltak for å ivareta
tilfredsstillende informasjonssikkerhet
Etterlevelse tilligger den Databehandlingsansvarlige
Gjelder også ivaretakelse av lovens krav for de deler av behandlingen som
foregår hos databehandlere
Behandlingsgrunnlag og behandlingsansvarlig virksomhet
Formål med behandlingen
Konsesjon/Forskrift
Samtykke
Databehandlere har i tillegg en selvstendig plikt til å etterleve
Sikkerhetsbestemmelsene som følger av helseregisterlovens §16 må følges
Behandling av person- og helseopplysninger utover det som er avtalt med
den databehandlingsansvarlige er å anse som en ulovlig behandling
Nasjonale registre må avklares hvem som eier og drifter, ansvar må utredes
og klargjøres
Selvstendige krav til informasjonssikkerhet i forskrift
Beskrivelse av informasjonssikkerhetstiltak
Informasjonssikkerhet –
Forhold som må være i orden
•
•
•
•
•
•
•
•
•
•
Formål
Databehandleravtale – klare rolle og ansvarsavklaringer
Databehandlingsansvarlig/Databehandler
Tilgjengelighet
Konfidensialitet
Integritet
Taushetsplikt
Samtykke
Sporbarhet og logging
Risikovurderinger
Kontinuitet
Det er sannsynlig at det
usannsynlige vil skje….
Vi kan sikre oss ved å:
• bygge robuste infrastruktur og systemer
• sikre løsninger og redundans
• med hjelp av holdningsskapende arbeid
Alle må bidra:
• Ledere
• Medarbeidere
• IKT personell
• Informasjonssikkerhetspersonell
• Prosjektledere
• Systemeiere
SAMMEN blir vi gode!