Personvern og informasjonssikkerhet

Personvern og informasjonssikkerhet

Norsk Helsenett SF

For å bruke videotjenester i helsevesenet må Norsk Helsenett benyttes.

Kommunikasjon internt i og mellom kommunene foregår via felles knutepunkt fysisk plassert på Tynset og driftet av felles IKT – selskap. Dette knutepunktet sikrer felles tilknytningspunkt til Norsk helsenett.

Studioer som er tilknyttet helsenettet får tilgang til alle enheter man kan kommunisere med i og utenfor helsenett gjennom videokonferansekatalogen. Om et sykehus/legekontor/LMS/sykehjem/hjemmetjeneste ønsker det, åpnes det for at deres videoenheter i helsenettet, tillates å bli ringt opp av enheter utenfor helsenettet.

Informasjon om gjeldende tilgang og regelverk finnes på Helsenettets nettsider.

Norm for informasjonssikkerhet

Norm for informasjonssikkerhet er et sett med krav til informasjonssikkerhet som er felles for alle aktører i helsesektoren. Normen har spesiell fokus på elektronisk behandling av helse- og personopplysninger og er juridisk bindende for alle brukere av Norsk Helsenett. Aktørene i helsesektoren forplikter seg til å sette seg inn i normen.

Normen er utarbeidet for å sikre tillit til at alle sider ved informasjonssikkerhet i helsesektoren blir tilfredsstillende ivaretatt. Den skal være en veileder for hver enkelt aktør i deres arbeid med informasjonssikkerhet.

Normen skal også bidra til å etablere mekanismer hvor virksomhetene kan ha gjensidig tillit til at øvrige virksomheters behandling av helse- og personopplysninger gjennomføres på et forsvarlig sikkerhetsnivå.  Normen ble sist revidert i 2010 og kan i sin helhet leses på Helsedirektoratets sider.

Normen omtaler følgende punkter:

  • Oversikt: Ansvar, oversikt og dokumentasjon

  • Styring og organisering av arbeidet: Styringssystem, sikkerhetsmål, risikovurderinger

  • Gjennomførende del: Taushetsplikt, Tilgangsstyring, Behandling av helse og personopplysninger, Sikring av områder og utstyr, etablering og drift av informasjonssystemet, opplæring, datakommunikasjon, avtaler

  • Kontrollerende del: Sikkerhetsrevisjon, Risikovurdering, Avvikshåndtering, Ledelsens gjennomgang, Kontroll av tilganger

Risikovurdering

Når nye løsninger utvikles og settes i drift er det viktig å få en oversikt over risikoer og behovet for tiltak. I slike situasjoner bør man gjennomføre en risikoanalyse (ROS – analyse). ROS - analyse er en prosess for å klarlegge sannsynlighet for og konsekvenser av uønskede hendelser.

Organisasjonen er gjennom Norm for informasjonssikkerhet i helsesektoren (se Normen, punkt 4.6) forpliktet til å gjennomføre jevnlige risikovurderinger. Risikovurdering skal gjennomføres før behandling av helse- og personopplysninger startes, og ved endringer av behandlinger som kan påvirke sikkerheten

Mal for gjennomføring av risikovurdering finnes her.

Gjennomført ROS - analyse for bruk av videokonferanse i SI og kommuner, finnes HER.