Mål og strategi for informasjonssikkerhet
og personvern i Helse Midt-Norge (HMN)
Versjon 1.2
POLICY
(ISP)
|
Versjonsnummer |
Dato |
Behandling/endring |
Godkjent av |
|
1.0 |
16.12.2021 |
|
Styret Helse Midt-Norge RHF |
|
1.1 |
04.06.2024 |
Lagt til presisering i siste avsnitt, første kulepunkt. |
|
|
1.2 |
16.12.2025 |
Mindre språklige endringer |
|
|
Begreper |
Forklaring |
|
Styringssystem |
De aktiviteter, systemer og prosesser som tas i bruk for å planlegge, gjennomføre, evaluere og korrigere virksomheten slik at den samsvarer med krav fastsatt i lover, standarder, avtaler og forpliktende retningslinjer. |
|
Informasjonssikkerhet |
Informasjonssikkerhet dreier seg om å håndtere risiko relatert til Helse Midt-Norges informasjonsverdier og behandling av personopplysninger. |
|
Personvern |
Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger. Personvern er også en samlebetegnelse for rettsregler som særlig tar sikte på vern for individet. |
|
HMN |
Forkortelse for Helse Midt-Norge, som inkluderer alle helseforetakene i, i regionen |
|
Kultur |
Kultur er hvordan samspillet mellom verdier, holdninger og normer, som deles av individer i en virksomhet, påvirker deres atferd. Dette blir her sett i sammenheng med informasjonssikkerhet og personvern, ofte kalt «informasjonssikkerhetskultur» |
Formålet med dette dokument er å etablere mål og strategi for informasjonssikkerhet og personvern som del av Helse Midt-Norges (HMN) regionale styringssystem for fagområdene. Videre er formålet å beskrive ledelsens intensjon og engasjement, som skal gi grunnlag for systematisk arbeid med informasjonssikkerhet og personvern. Dokumentet spesifiserer også de overordnede prinsipper, roller og ansvar for hvordan informasjonssikkerhet og personvern skal ivaretas i HMN. Dokumentet gir de overordnede føringene til alle underliggende dokumenter og prosesser.
Dette dokumentet gjelder for all informasjonsbehandling i HMN, både manuell og maskinell, analog og digital, lagret og kommunisert. Dokumentet skal gi felles rammer og retning for enhetlig arbeid med informasjonssikkerhet og personvern i HMN.
Innhold og føringer i dette dokumentet gjelder alle som behandler eller forvalter informasjon som ansatt eller på oppdrag for Helse Midt-Norge. I det etterfølgende er disse referert til som
«medarbeidere». Innholdet og føringene kan gjøres gjeldende for tredjeparter og leverandører gjennom avtaler.
Informasjonssikkerheten og personvernet skal ivaretas gjennom tydelige roller og ansvar.[1]
Ansvar og myndighet for informasjonssikkerhet og personvern skal følge det ordinære linjeansvaret.
Virksomheten v/administrerende direktør er dataansvarlig for all behandling av helse og personopplysninger med tilknytning til virksomheten. Administrerende direktør er videre endelig ansvarlig for informasjonssikkerhet og personvern i egen virksomhet. Videre gjelder følgende:
• Administrerende direktør er ansvarlig for innhold og godkjenning av dette dokumentet.
• Ledere på alle nivåer har ansvar for etterlevelse av dokumentet i egen enhet.
• Ledere på alle nivå er ansvarlig for å opprettholde en kultur som kontinuerlig bevisstgjør og forebygger brudd på konfidensialiteten, tilgjengeligheten og integriteten ved behandling av personopplysninger.
• Alle medarbeidere er ansvarlig for å etterleve de dokumentene i styringssystemet som er relevant for sin rolle i virksomheten.
• Alle medarbeidere er ansvarlig for å rapportere uønskede hendelser, avvik og svakheter i informasjonssikkerheten
Det overordnede målet for informasjonssikkerheten er at
• informasjon, systemer og tjenester er tilgjengelig ved behov (tilgjengelighet)
• informasjon ikke endres utilsiktet eller av uvedkommende (integritet)
• informasjon blir ikke kjent for uvedkommende (konfidensialitet)
For å oppnå dette må organisasjonen og informasjonssystemene være motstandsdyktige mot trusler, være i stand til å oppdage og reagere på hendelser, samt ha evne til raskt å gjenopprette normaltilstand etter en hendelse(robusthet). Videre gjelder følgende mål:
• Helse Midt-Norge skal ivareta konfidensialitet, integritet og tilgjengelighet til informasjonsverdiene i henhold til gjeldende lover, forskrifter, føringer fra myndighetene, samfunnsoppdraget og informasjonseiernes interesser. Kontinuerlig oppfølging, evaluering og forbedring av styringssystemet for informasjonssikkerhet og personvern skal sikre at dette blir ivaretatt. Norm for informasjonssikkerhet og personvern i helsesektoren (Normen) skal følges.
• Informasjonssikkerhet og personvern skal være en integrert og naturlig del i alle prosesser, tjenester og systemer ved Helse Midt-Norge
• Hensynet til informasjonssikkerhet og personvern skal være en integrert del av all virksomhetsstyring i HMN
• Informasjonssikkerhets- og personvernarbeidet skal være risikobasert. Risikovurderinger skal gjennomføres jevnlig og ved endringer som har betydning for informasjonssikkerheten og personvernet.
Ved målkonflikter skal det legges stor vekt på å ivareta helseberedskap og pasientsikkerhet. Målkonflikter skal håndteres i henhold til gjeldende risikostyringsprosess og ansvarsmatrise.
Alle helseforetak i regionen skal ha et relevant og oppdatert styringssystem for informasjonssikkerhet og personvern basert på lov, forskrift og anerkjent standard og bransjenorm. Helseforetakene skal benytte Helse Midt-Norge RHF sine styringsdokumenter supplert med foretaksinterne dokumenter, slik at det overordnet er en samlet og lik håndtering av informasjonssikkerhet i regionen.
Styringssystemet for informasjonssikkerhet og personvern skal være en del av internkontrollen for helhetlig risikostyring i helseforetakene. I dette ligger krav fra ledelsen at:
• krav til informasjonssikkerhet og personvern skal kommuniseres i styrende dokumenter, og at lederlinjen er ansvarlig for systematisk bruk av risikovurderinger.
• organisering, roller og ansvar, samt krav om tilstrekkelig kompetanse innen informasjonssikkerhet og personvern skal være klart definert.
• helseforetakene har god oversikt og kontroll over sine informasjonsverdier og de høyeste risikoene knyttet til disse
• virksomheten har tilstrekkelige ressurser og tiltak for å beskytte informasjon og informasjonssystemer, samt for å håndtere uønskede hendelser
• virksomheten har kontroll med tilganger og at tilgang til systemer og informasjon kun gis til medarbeidere etter vurdering av tjenstlig behov og i samsvar med taushetsplikten.
• risikoreduserende tiltak velges basert på risikovurderinger, vesentlighet, kost-nytte-vurderinger og ledelsens føringer for risikohåndtering, samt et effektivt sikkerhetsarbeid
• Sikringstiltakene skal være brukervennlige, tilpasset øvrige arbeidsprosesser og innrettet slik at de i minst mulig grad medfører merarbeid for brukere
• risikostyring innen informasjonssikkerhet følger den ordinære risikostyringen i Helse Midt-Norge og at det utformes akseptkriterier slik at avgjørelser om aksept av risiko kan tas på riktig ledernivå med et tilstrekkelig beslutningsgrunnlag.
• det føres oversikt over behandlinger av personopplysninger, samt sørger for at all registrering og bruk av helse- og personopplysninger er i overensstemmelse med taushetsplikten, følger alle personvernprinsipper iht. lovverket og at grunnlaget for databehandlingen er vurdert og godkjent.
• krav til informasjonssikkerhet og personvern er ivaretatt når det benyttes databehandlere og dokumenteres i databehandleravtaler for alle behandlinger der Helse Midt-Norge engasjerer en databehandler eller selv opptrer som databehandler.
• opplæring og arbeid med informasjonssikkerhetskultur og personvern er et prioritert område for å etterleve krav i mål og strategi for informasjonssikkerhet. Sikkerhetsarbeidet skal også være basert på intern og ekstern tilgjengelig kunnskap om trusler, sårbarheter, metoder og beste praksis
• det jobbes med kontinuerlig forbedringsarbeid og systematisk oppfølging av avvik i henhold til gjeldene avviksrutiner for å skape en god rapporterings- og læringskultur. Samt at evaluering, jevnlige revisjoner og jevnlige gjennomganger av at styringssystemet fungerer som tilsiktet. Ledelsen skal minst en gang i året gjennomgå virksomhetens aktiviteter innen informasjonssikkerhet og personvern.
Helseforetakene skal samarbeide for å effektivisere og styrke informasjonssikkerhetsarbeidet på tvers og for å ivareta likeverdige tjenestetilbud. Dette skal skje gjennom samarbeidsforum, informasjonsutveksling og ved å utnytte felles løsninger.
• Måloppnåelse innen informasjonssikkerhet og personvern, samt effekt av tiltak skal måles og rapporteres til ledelsen, slik at hvert helseforetak og Helse Midt-Norge RHF kan vurdere måloppnåelse på ulike nivå. Dette må beskrives nærmere i foretakets styringssystem for informasjonssikkerhet og personvern.
• Helse Midt-Norge RHF kan i foretaksmøtet gi regionale rammer og føringer for ivaretakelsen av informasjonssikkerhet og personvern i regionen.
[1] Organisering, roller og ansvar for informasjonssikkerhet er nærmere beskrevet i styringssystemets dokument – Organisering av informasjonssikkerhets og personvernarbeidet i Helse Midt-Norge.