Hopp til hovedinnhold

Direktoratet for e-helse blir en del av Helsedirektoratet

Fra 01.01.2024 er vi en del av Helsedirektoratet. Frem til juni vil vi jobbe med å overføre innholdet på denne siden til helsedirektoratet.no. Les mer om sammenslåingen her.

En norm også for kommuner!

En veiledning til deg som jobber i kommuner til hvordan bruke Normens veiledere og faktaark.

Jobber du i en kommune og trenger hjelp til å bruke Normen? Da må du fortsette å lese!

Om veiledere og faktaark

I tilknytning til Normens hoveddokument er det utarbeidet veiledning som dekker flere sentrale områder innenfor informasjonssikkerhet og personvern. Mange av disse veilederne og faktaarkene inneholder temaer som er svært aktuelle for kommuner. I denne artikkelen gir vi en kort veiledning til hvordan du som jobber i kommune, som medarbeider eller leder kan benytte Normens mange veiledere og faktaark i deres arbeid med personvern og informasjonssikkerhet i den kommunale helse- og omsorgstjenesten. For komplett oversikt over veiledere og faktaark finnes på normen.no. Denne artikkelen gjengir bare noen av de mest sentrale veilederne og faktaarkene som er relevante for kommuner.

Normens faktaark beskriver nærmere i kortform hvordan virksomheter kan oppfylle enkelte sentrale krav i Normen og gir praktisk veiledning til dette. Veilederne til Normen er større støttedokumenter som går i dybden på temaet for den spesifikke veilederen. Det er kun Normens hoveddokument som stiller bindende krav til kommunene, teksten i veiledningsmateriellet er ikke bindende.

Alle disse dokumentene kan vi dele inn i to ulike områder basert på hva slags veiledning og råd din kommune trenger: Kontroll og ledelse i egen virksomhet, og prosjektbasert veiledning som f.eks. når kommunen skal anskaffe/ implementere/risikovurdere spesifikke løsninger.

Styring og kontroll

Normen har flere faktaark og veiledere innenfor det man kan kalle internkontroll eller ledelse og kontroll som handler om å ha styring på arbeidet med personvern og informasjonssikkerhet internt i virksomheten. For å ha tilfredsstillende styring og kontroll bør virksomheten starte med å utarbeide en protokoll (oversikt) over de behandlinger av helse- og personopplysninger som gjennomføres i kommunen. I dette faktaarket du også finne forslag til mal for hvordan en slik protokoll kan se ut, i tillegg til eksempler på behandlinger av helse- og personopplysninger i den kommunale helse- og omsorgstjenesten.

Kommunen skal også ha et styringssystem/internkontroll/ledelsessystem for informasjonssikkerhet og personvern. Dette skal sikre at arbeidet med personvern og informasjonssikkerhet er en kontinuerlig prosess og ivaretas på en systematisk og dokumentert måte. Se veileder om internkontroll for informasjonssikkerhet og personvern (særlig kapittel 2.2).

Virksomheten skal også organisere seg slik at det kommer frem hvem som er ansvarlig for hva på ulike nivå og hva de er ansvarlige for. Se veileder om internkontroll for informasjonssikkerhet og personvern (særlig kapittel 2.1).

I styringssystemet bør også kommunen ha rutine for å kartlegge og klassifisere systemer i henhold til kritikalitet som skal dokumenteres før behandlinger starter. Se veileder om risikostyring i informasjonssikkerhet og personvern (særlig kapittel 2.2).

Ut over dette kan også kommunen lese andre faktaark og veiledere som er innenfor teamet styringssystem og sørge for å ha rutiner for følgende områder (ikke uttømmende, helheten finner dere på normen.no):

Veileder om internkontroll i for informasjonssikkerhet og personvern

Veileder om risikostyring i informasjonssikkerhet og personvern

Sikkerhetsrevisjon (faktaark 06)

Bruk av databehandler (faktaark 10)

Logging og innsyn i logg (faktaark 15)

Fysisk sikring av områder og utstyr (faktaark 17)

Sikring av bærbart utstyr (faktaark 18)

Lagringstid og sletting av helse- og personopplysninger​ (faktaark 25)

Testing og testdata (faktaark 43)

Tilgangsstyring

Normen har også veiledning innenfor området tilgangsstyring, som er svært aktuelt for å etablere styring og kontroll med tilganger til systemer og helse- og personopplysninger. Dette kan også være materiell som kan brukes i prosjekter knyttet til kravspesifikasjoner ved anskaffelser og lignende:

Veileder for tilgang til helse- og personopplysninger

Veileder for fjernaksess

Tilgangsstyring (faktaark 14)

Prosjektbasert veiledning

I mange tilfeller vil det også være behov for temaspesifikk veiledning knyttet til prosjekter eller annet mer tidsbegrenset arbeid. Det kan være risikovurderinger av systemer, prosesser o.l, eller ved anskaffelser og implementering av løsninger i virksomheten, revisjoner mv.

Velferdsteknologi og medisinsk utstyr

De aller fleste kommunene arbeider i dag med velferdsteknologi. Normen har en egen veileder som tar for seg utvalgte tema er innen personvern og informasjonssikkerhet ved velferdsteknologi, innenfor anskaffelse, implementering og drift.

I tillegg har Normen også en egen veileder for medisinsk utstyr som tar for seg behandling av helse- og personopplysninger i det medisinske utstyret og hvordan det kan beskyttes mot angrep på digital infrastruktur.

Skytjenester

Flere kommuner tar i økende grad i bruk skytjenester. Normens skyveileder gir veiledning til personvern og informasjonssikkerhetsutfordringer som er særlig gjeldende ved skytjenester som ansvar, risikoområder og trusler osv.

Tjenesteutsetting

Normen har flere faktaark og veiledere som kommuner kan benytte som personvern og informasjonssikkerhet ved tjenesteutsetting av kommunale helse- og omsorgstjenester:

Databehandleransvar og avtaler i forbindelse med tjenesteutsetting (faktaark 46)

Videokonsultasjon (faktaark 54)

Veileder for bruk av video, lyd og bildeopptak i helse- og omsorgssektoren

Tiltak ved konvertering og bytte av EPJ (faktaark 53)

Oversikt over Normens krav

I tillegg til Normen finnes det også et eget vedlegg til Normen som viser en oversikt over samtlige krav som kommunene er pliktige til å følge. Denne oversikten kan benyttes ved anskaffelse av systemer og teknologier, eller ved revisjon av kommunens helse- og omsorgstjeneste og leverandører/databehandlere som benyttes.