Normens krav og anbefalinger fra



Normens krav og anbefalinger fra

kravspek til innføringsprosjekt

13.02.2020

Innhold


Normens krav


Krav til medisinsk utstyr


Nærmere om Normens krav til leverandøroppfølging og avtaler


Databehandleravtale

Om krav i Normen

Er minimumskrav

Xxxxxx selvsagt ikke for risikovurdering

Bruk av andre «beste praksis» kan være nødvendig


Normen er teknologinøytral


«Tekniske krav»

Noen uendret fra 2006

Mange krav er oppdatert i versjon 6.0


Normens krav dekker alle

Fra fotpleieren på hjørnet til nasjonale løsninger

Hvordan skalerer kravene?

Sakset fra utallige kravspesifikasjoner…



«Leverandøren skal følge kravene i Normen»


Hva betyr egentlig det?

Gjennom tilknytning til Gjennom avtaler med Gjennom krav til systemer helsenettet helsevirksomheter, f.eks. og programvare i Normen

Databehandleravtaler som stilles ved

Fjernsupport anskaffelser


Tekniske løsninger, styringssystem (ISMS), rutiner osv


Krav til funksjonalitet i programvare


5

Hvordan treffes leverandører av Normens krav?



Databehandler, tjenestetilbyder, support osv


Programvare – eller hardwareleverandør

Oversikt over Normens krav


Normen 5.3: Normen 6.0:

Vedlegg til Normen 6.0: Samlet oversikt over Normens krav



Krav til medisinsk utstyr



OUS (del av felles styringssystem HSØ):

Kravspesifikasjon ved anskaffelser av MTU-løsninger med IKT-grensesnitt og tilkobling til nettverk

xxxxx://xxxxxxxxxx.xxx- xx.xx/xxxxxxxx/000000/xxxxxx/00

Informasjonssikkerhetskrav til bruk ved anskaffelser av MU i Helse Vest

Overordnet systembeskrivelse

Overvåkning og endrings- / oppdateringsregime

Redundanskrav

Lisenshåndtering

Nettverk

Maskinvare

OS og programvare

Informasjonssikkerhet og IDM

Backup

Integrasjoner

IKT-relatert drift og forvaltning

5.7 Leverandørforhold og avtaler


Leverandøren skal tilrettelegge for at dataansvarlig som tar i bruk leverandørens produkter og tjenester, kan oppfylle lovbestemte krav og krav i Normen.


Taushetsplikt

Leverandøren skal forsikre at de har rutiner som pålegger alle medarbeidere taushetsplikt om helse- og personopplysninger og annen taushetsbelagt informasjon.

Leverandøren kan selv administrere og oppbevare taushetserklæringer for eget personell, men den dataansvarlige skal sikres innsyn ved behov.


Den dataansvarlige har ansvaret for at krav til informasjonssikkerhet og personvern følges gjennom hele leveransekjeden.


I leveranser av f.eks. tjenester, maskinvare eller systemer skal det avtales skriftlig med leverandører hvilke sikkerhetskrav som skal oppfylles for at den dataansvarlige skal kunne oppfylle sitt ansvar.

Hvilke av Normens krav - avhengig av hva slags leveranse

Tjenesteutsetting


Dokumentert risikovurdering

Ved tjenesteutsetting av IKT-tjenester til andre land bør forhold ved vertslandet vurderes fordi de kan påvirke risikovurderingen.


Beskrive hvilke oppgaver av sikkerhetsmessig betydning som er omfattet, og ansvarsforholdene for disse


Beskrivelse av leverandørens løsning og grensesnitt mot virksomheten i form av konfigurasjonskart


Rett til revisjon (3. partsrevisjon er en mulighet)


Exit-strategi- signert erklæring sletting / tilbakelevering


Viktige begreper


Behandlingsansvarlig

Den som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes

Kan utpekes i lov eller forskrift

Er ansvarlig for behandlingen av personopplysninger

Dataansvarlig

Begrepet som brukes om behandlingsansvarlig i helse

Eget begrep i lovgivningen i vår sektor for å unngå forveksling med ansvar for pasientbehandling

Databehandler

En som behandler personopplysninger på vegne av behandlingsansvarlig




Databehandler


Databehandler skal ikke behandle helse- og personopplysninger på annen måte enn det som er avtalt med databehandlingsansvarlig.

Databehandleren skal ikke engasjere underleverandører uten at det på forhånd er innhentet særlig eller generell skriftlig tillatelse til dette fra den dataansvarlige.

Databehandler har et selvstendig ansvar for informasjonssikkerhet

Databehandlingsansvarlig skal sikres innsynsrett

Skiller mellom data tilhørende ulike kunder

Tilgangsstyring – hvem kan ha tilgang

Når trengs det (ikke) databehandleravtale?



Se mer i faktaark 10

+


Quiz: Når trengs databehandleravtale?



Leverandør drifter EPJ- system for legekontor


Programvareleverandør får kundens data for å gjennomføre prøvekonvertering



Leverandøren skal skifte en server hos kunden


Leverandør oppgraderer programvare hos kunden

Servicetilgangsavtale – eksempel fra Helse Midt-Norge


Denne avtalen gjelder for tjenesteoppdrag som omfatter installasjon, konfigurasjon, vedlikehold og andre tekniske tjenester som utføres av leverandøren på elektromedisinsk utstyr som eies, leies eller på annen måte disponeres av oppdragsgiveren

Systemleverandører


Virksomheter i helse- og omsorgssektoren som tar i bruk informasjonssystemer som behandler helse- og personopplysninger, skal stille krav om innebygd personvern i løsningene.

Informasjonssystemene ha funksjonalitet som oppfyller lovbestemte krav og relevante krav i Normen

Samlet oversikt over Normens krav

Leverandøroppfølging


Informasjonssikkerhet og personvern knyttet til anskaffelser og leverandøroppfølging skal inngå i virksomhetens styringssystem for informasjonssikkerhet.


Alle faser i leverandørstyring, fra anskaffelse til avtalen er avsluttet, skal omfattes.


Virksomheten skal sikre:

Klarhet i ansvar og roller

Kompetanseressurser innen informasjonssikkerhet og personvern

deltar

Involvering av ledelse (og styret)

Dekkende risikovurdering

Som skal omfatte leverandørens tilgang til helse- og personopplysninger og annen taushetsbelagt informasjon


Bestillerkompetanse og relevante sikkerhetskrav

Overføring av opplysninger til utlandet

Personopplysninger kan fritt overføres til disse statene. Dette forutsetter at personopplysningslovens øvrige vilkår er oppfylt -> Risikovurdering, landrisikovurdering

Virksomheter som overfører personopplysninger til utlandet, skal passe på at beskyttelsesnivået i personopplysningsloven ikke undergraves ved overføringen.

EU/EØS

Godkjente tredjeland


Når virksomheten overfører personopplysninger til stater utenfor EU/EØS- området, såkalte «tredjeland», skal den bruke et av overføringsgrunnlagene i forordningen

Ha tilstrekkelig kompetanse tilgjenglig

Se ellers Datatilsynets veileder

Krav til


Test

Test

Faktaark 43 - Bruk av testdata i systemer som inneholder helse- og personopplysninger

Faktaark 48 - Informasjonssikkerhet ved utførelse av testing

Document Metadata

Filed: February 13th, 2020