Hva er Normen?
Normen er et omforent grunnlag for personvern og informasjonssikkerhet som sektoren selv har utarbeidet.
Normen bygger på gjeldende bestemmelser om personvern og informasjonssikkerhet, bl.a. reglene i personopplysningsloven og helseregisterloven.
Hva er faktaark?
Faktaarkene beskriver kort hvordan virksomhetene kan oppfylle enkelte sentrale krav i Normen og gir praktisk veiledning til dette.
Hva er veiledere?
Veiledere gir utfyllende beskrivelse av særskilte sikkerhetsområder og virksomhetsområder.
Hvilke virksomheter i helse- og sosialsektoren gjelder Normen for?
Normen gjelder for enhver virksomhet i helse- og sosialsektoren som ved avtale har forpliktet seg til å følge Normen, herunder:
- Legevirksomheter
- Helseforetak
- Tannklinikker
- Sykehus
- Apotek
- Apotekkjeder
- Kommuner
- Fylkeskommuner
- Frittstående laboratorier
- Røntgeninstitutter
- Psykologpraksis
- Fysioterapiinstitutter
- Bandasjistvirksomheter
- Rehabiliteringsinstitusjoner
Normen gjelder også for disse virksomhetenes leverandører og andre i den grad de behandler helse- og personopplysninger og de ved avtale har forpliktet seg til å følge Normen.
Må vi følge Normen?
Alle som knytter seg til helsenettet er - gjennom avtalen om tilknytning - forpliktet til å følge Normen. Normen er en sammenstilling av lovverkets krav til informasjonssikkerhet, men stiller i noen tilfeller strengere krav.
De fleste kravene i Normen er derfor bindende for alle, uavhengig av om virksomheten ved avtale har forpliktet seg til å følge Normen.
Hvilket lovverk bygger Normen på?
Normen er først og fremst basert på personvern- og helselovgivningens krav til å etablere tilfredsstillende informasjonssikkerhet for systemer inneholdende helse- og personopplysninger, jf. personopplysningsloven § 13, helseregisterloven § 16 og personopplysningsforskriften kapittel 2.
I tillegg bygger Normen på andre særlover og forskrifter.
Hvem tok initiativet til Normen og hvordan blir den forvaltet?
Helsedirektoratet tok initiativet til Normen.
Normen blir forvaltet av en styringsgruppe med representanter fra helse- og sosialsektoren. Helsedirektoratet er sekretariat.
Hvem er tilsynsmyndighet på personvern- og informasjonssikkerhetsområdet?
Datatilsynet.
Hva er Helsedirektoratets rolle i forbindelse med Normen?
Helsedirektoratet er sekretariat for styringsgruppen som forvalter Normen.
Hva er helsenettet og hva har det med Normen å gjøre?
Alle som tilknyttes helsenettet skal følge Normen.
Finnes det kurs i Normen og er disse i så fall tilpasset «min» virksomhet?
Per i dag fins det kurs for kommunal sektor, men det vil bli utviklet kurs for andre virksomhetsområder.
Kan jeg foreslå endringer i Norm-dokumentene, eventuelt at det utarbeides nye dokumenter?
Hva er personvern og informasjonssikkerhet i korte trekk?
Personvern skal sikre privatlivets fred og regulere bruk av helse- og personopplysninger.
Informasjonssikkerhet er virkemidler for å sikre personvernet.
I forbindelse med oppgradering av IT-systemet som inneholder pasientopplysninger, ber leverandøren om en kopi av databasen for en testkonvertering. Er dette tillatt?
Oversending og testing av sensitiv database hos leverandør stiller meget strenge formelle krav til sikkerhet, slik det fremgår av følgende faktaark:
- faktaark 43: ”Bruk av testdata i systemer som inneholder helse- og personopplysninger”
- faktaark 48: ”Informasjonssikkerhet ved utførelse av testing”
- faktaark 10: ”Bruk av databehandler”
Det må eksistere en databehandleravtale med leverandøren, som bl a regulerer sikkerhet/taushetsplikt. Avtalen må også regulere sletting etter utført behandling. Det må også være foretatt en risikovurdering, og en vurdering av om det er nødvendig å bruke faktiske pasientdata i test.
Erfaringsvis er dette en såpass krevende prosess, at det er fordelaktig at konverteringen/testingen foregår i kommunens lokaler, hvis man er villig til å gi dem adgang. Her gjelder også kravene til taushetsplikt med mer, som angitt i faktaarkene.
Samme problemstilling gjelder konvertering av databaser til nytt format.