Prosjekt KomUt Kommunal utbredelse av meldinger

1. Prosjekt KomUtKommunal utbredelse av meldinger Normen – hva og for hvem? Roller og ansvar i en kommune

2. Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren - Normen Normen… • Basisdokumentet (42 sider) er utarbeidet av representanter for sektoren, blant annet Legeforeningen, Sykepleierforbundet, Tannlegeforeningen, KS, Apotekerforeningen og regionale helseforetak. • Alle aktører i sektoren som er tilknyttet Norsk Helsenett er avtalerettslig forpliktettil å følge Normen. • Nettsider: www.normen.no

3. Normen • ​Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren er en samling krav og retningslinjer som skal bidra til tilfredsstillende informasjonssikkerhet hos den enkelte virksomhet og i sektoren generelt. • Normen omfatter alle krav som må tilfredsstilles for å oppfylle lov- og forskriftskrav til informasjonssikkerhet i helse-, omsorgs- og sosialsektoren. Normen kan også stille strengere krav enn det som følger av lovverket.

4. Fra papir/telefon/faks/muntlig overlevering til eMeldinger • Et av målene ifm. innføring av eMeldinger er å sørge for at innføringen skjer innenfor de rammers om Normen setter • Bruk av ny teknologi fører til nye arbeidsmetoder/prosesser – og krever ny kompetanse • Bevisst forhold til personvern er sentralt ifm. at man bytter papirbaserte prosesser med elektronisk meldingsutveksling • «Normen» er utviklet for å ivareta disse kravene

5. Forankring i ledelsen i kommunen • Strenge krav til at arbeidet med Normen har en forankring i ledelsen • Noen klipp fra «virksomhetsleders ansvar»(faktaark 1 og 2): «Virksomhetens leder skal påse at informasjons-behandlingen og informasjonssikkerheten organiseres slik at det er tydelig hvem som har ansvar for de ulike deler av informasjonsbehandlingen.» «Virksomhetens ledelse er ansvarlig for å etablere og innføre et styringssystem for informasjonssikkerhet.»

6. Fra Normen 3.1 Ansvar Det er virksomheten ved ledelsen som har ansvar for å etablere og opprettholde tilfredsstillende informasjonssikkerhet. Dette er blant forpliktelsene til databehandlingsansvarlig . Det skal angis i melding/konsesjonssøknad til Datatilsynet hvilken stilling som har det daglige ansvaret for oppfyllelse av virksomhetens plikter, herunder for informasjonssikkerheten.Det daglige ansvaret tilligger som oftest daglig leder i virksomheten. Den som har det daglige ansvaret for informasjonssikkerheten, kan overføre oppgaver til egne ansatte. Oppgaver kan også overføres til eksterne, f.eks. kan man delegere oppgaver til leverandører . Dette må gjøres i form av skriftlige avtaler. Uansett om oppgaver er delegert eller ikke, ligger det juridiske ansvaret hos databehandlingsansvarlig. Arbeidet med informasjonssikkerhet må omfatte styring, gjennomføring og kontroll. Kapitlene 4 til 6 i Del II er bygget opp etter denne strukturen med en styrende del, en gjennomførende del og en kontrollerende del.

7. Ansvarsfordeling for informasjonssikkerhet i en kommune • En kort gjennomgang av ansvarsfordeling innenfor helsesektoren. (Laget for SiO-samarbeidet av Inger Marie Øien, Hitra kommune.)

8. IKT-ansvarliges ansvar • Er ansvarlig for drift av IT-systemer (internt) og for at besluttede tiltak er operative og fungerer etter hensikten • Ansvar for at informasjonssystemet driftes og sikresiht. fastsatte krav • Ansvar for å etablere beredskapsløsninger • Ansvar for å vurdere eventuell løsning for fjernaksess i henhold til veileder for fjernaksess • Ansvar for å følge opp leverandører og databehandler • Se for øvrig faktaark for rollen IT-ansvarlig

9. Hvor skal vi starte?! • I SiO anbefalte vi kommunene å starte med å ta en avsjekkift. faktaark 6, Sikkerhetsrevisjon • Her ligger det en 8-punkts sjekkliste med minimumskrav som må oppfylles • Dette vil gi en god pekepinn på hvor man står og hva som bør tas tak i • Ellers ligger det en del dokumenter fritt tilgjengelig på www.siohelse.no under gruppe Normen som kanskje kan være til nytte