Hopp til hovedinnhold

Direktoratet for e-helse blir en del av Helsedirektoratet

Fra 01.01.2024 er vi en del av Helsedirektoratet. Frem til juni vil vi jobbe med å overføre innholdet på denne siden til helsedirektoratet.no. Les mer om sammenslåingen her.

Tilbakerapportering av resultater fra IKT-driften (faktaark 12)

Alle virksomheter skal ha tilbakerapportering av resultater fra IKT-driften. Omfanget av rapporteringen må tilpasses den enkelte virksomhet og tjeneste. Ansvaret for tilbakerapporteringen av resultater fra IKT-driften skal plasseres hos databehandler, leverandører, driftsansvarlige, etc. Virksomhetens ledelse må følge opp og behandle resultater fra tilbakerapporteringen.

Om faktaarket

Dette faktaarket gir veiledning om hva som bør inkluderes i rapportering av sikkerhetsmessig betydning ved oppfølging av leverandører. Faktarket inneholder eksempler på informasjon og indikatorer som kan inngå i rapportering fra leverandør til kunde (virksomheter i helse- og omsorgssektoren) ved ulike typer leveranser.

Formålet med faktaarket er å bidra til at virksomhetene i sektoren får rapportert sikkerhetsrelevant informasjon fra sine leverandører slik at nødvendige tiltak kan iverksettes.

 

Dette faktaarket er spesielt relevant for

Målgruppen for faktaarket er virksomheter som behandler helse- og personopplysninger og deres leverandører

Krav i Normen 

Faktaarket gjelder følgende kapittel i Normen

Relevante lov- og forskriftsbestemmelser, standarder og rammeverk

Tilbakerapportering av resultater fra IKT-driften

Leverandører til helse- og omsorgssektoren skal tilrettelegge for at dataansvarlig som tar i bruk leverandørens produkter og tjenester, kan oppfylle lovbestemte krav og krav i Normen. Den dataansvarlige har ansvaret for at krav til informasjonssikkerhet og personvern følges gjennom hele leveransekjeden. I leveranser av f.eks. tjenester, maskinvare eller systemer skal det avtales skriftlig med leverandører hvilke sikkerhetskrav som skal oppfylles for at den dataansvarlige skal kunne oppfylle sitt ansvar.

Avtalen bl.a. bør innholde krav til sikkerhetsrelevant rapportering fra leverandør til kunde. Faktaarket innholder eksempler på hva som kan inngå i slik rapportering.

Informasjonssikkerhet og personvern knyttet til anskaffelser og leverandøroppfølging skal inngå i virksomhetens styringssystem for informasjonssikkerhet. Alle faser i leverandørstyring, fra anskaffelse til avtalen er avsluttet, skal omfattes.

Avgrensning

Faktaarket gir ikke utfyllende detaljer om rapportering fra underleverandører, eller andre aspekter ved leverandøroppfølging og anskaffelser.

Kompletterende veiledningsmateriell

NSM grunnsprinsipper for IKT-sikkerhet: 2.1.9 og 2.1.10

NSM: Sikkerhetsfaglige anbefalinger ved tjenesteutsetting

Direktoratet for e-helse: Informasjonssikkerhet ved bruk av private leverandører

 

Driftsstatus på kritiske system

Driftsstatus på kritiske system

Generell driftsstatus på kritiske IKT-system, for eksempel elektronisk pasientjournalsystem (EPJ) bør jevnlig rapporteres til virksomhetens ledelse. Eksempel på parametere som kan inngå i rapportering:

  • Oppetid på systemer
  • Planlagte avbrudd og tidslengde på avbrudd
  • Feilsituasjoner som ikke blir definert som avvik
  • Mislykkede pålogginger, glemte passord etc.
  • Feilsituasjoner som fremkommer i hendelsesregistre
  • Utvikling og trender for indikatorer og nøkkeltall

Oppfølging av avviksrapportering

Alvorlige feil og hendelser skal rapporters som avvik. Spesielt bør dette gjøres når det er avdekket avvik fra vedtatte prosedyrer og nivå for akseptabel risiko. Oppfølging og status på avviksrapportering bør rapporteres jevnlig som en del av resultatene fra driften. Oppfølgingen bør omfatte både avvik og andre forhold som blir rapportert. For mer informasjon, se Veileder om internkontroll for informasjonssikkerhet og personvern.

Meldingskommunikasjon (EDI)

Status på meldingskommunikasjonen sier noe om hvordan virksomheten ivaretar elektronisk samhandling med andre (for eksempel henvisning, epikrise, resepter, behandlerkrav, laboratoriesvar, SMS, applikasjonskvittering, osv). Gode prosedyrer rundt elektronisk samhandling er viktig for å ivareta tilfredsstillende informasjonssikkerhet. Parametere som kan inngå i rapportering er for eksempel 

  • Meldinger uten kvittering
  • Ikke-planlagte stans i meldingskommunikasjon
  • Planlagte stans i meldingskommunikasjon
  • Feilsendte meldinger (for eksempel meldinger med feil mottaker og -adresse)
  • Meldinger med negativ applikasjonskvittering – antall og feiltype

Systemleverandør

Rapportering fra systemleverandører (for eksempel for EPJ) er viktig med tanke på ha stabil og god drift av viktige systemer. Rapporteringer bør foregå jevnlig og inneholde viktig informasjon i forhold til informasjonssikkerhet. Eksempel på parametere som kan inngå i rapportering:

  • Planlagte endringer, forventet effekt og tidspunkt de skal utføres
  • Sikkerhetsoppdateringer (med angivelse av resultat)
  • Feilrettinger
  • Systemoppdateringer (med angivelse av resultat)

Databehandler

Databehandler skal iht databehandleravtalen jevnlig gi statusrapporter om resultater fra sine ansvarsområder tilbake til dataansvarlig (som vanligvis er virksomhetens ledelse). Det presiseres at en databehandler er en ekstern person/virksomhet utenfor den dataansvarliges virksomhet. Eksempel på parametere som kan inngå i rapportering:

  • Planlagte endringer, forventet effekt og tidspunkt de skal utføres 
  • Feilsituasjoner 
  • Konfigurasjonsendringer
  • Oppetid
  • Feilsituasjoner som fremkommer i hendelsesregistre 
  • Manglende oppfyllelse av SLA (servicenivåavtale) og mulig årsaker

Nettleverandører (for eksempel Norsk Helsenett)

Nettleverandøren er som regel ansvarlig for at kommunikasjonskanalen er tilgjengelig og sørger for transport av kommunikasjon over nettet. At nettet fungerer som det skal er en viktig forutsetning for å kunne etablere sikker elektronisk kommunikasjon. Eksempel på parametere som kan inngå i rapportering:

  • Feilsituasjoner, nedetid
  • Endringer i nettet som kan gi konsekvenser for virksomheten
  • Manglende oppfyllelse av SLA (servicenivåavtale) og mulig årsaker

Ondsinnet programvare

Ondsinnet programvare kan være en reell trussel mot informasjonssikkerheten og kan komme for eksempel gjennom e-post, minnepinne eller ved nedlasting av data fra andre nett. Eksempel på parametere som kan inngå i rapportering: 

  • Hendelser som har medført konsekvenser for virksomheten
  • Hvilke tiltak som er iverksatt og resultater av disse
  • Forslag til eventuelle forebyggende tiltak

Status for sikkerhetsbarriere (for eksempel brannmur)

Trafikk som slipper gjennom sikkerhetsbarrierer kan være ondsinnede angrep som prøver å få tilgang til virksomhetens datanettverk. Sikkerhetsbarrierer krever jevnlige oppdateringer og konfigurasjonsendringer. Eksempel på parametere som kan inngå i rapportering:

  • Hendelser som har medført konsekvenser for virksomheten
  • Hvilke tiltak som er iverksatt og resultater av disse
  • Forslag til eventuelle forebyggende tiltak

 

 

Sist oppdatert: 03. mai 2023