Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

Om Normen

Normen for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Formål og målgrupper 

Normen for informasjonssikkerhet og personvern er et rammeverk utviklet for å sikre trygg og forsvarlig håndtering av helse- og personopplysninger i helse- og omsorgssektoren. Den gir veiledning til virksomheter om hvordan de kan ivareta informasjonssikkerhet og personvern gjennom både tekniske og organisatoriske tiltak. Disse tiltakene tilpasses virksomhetens størrelse og risikobildet.
 
Normen bygger på gjeldende lovgivning, som Helseregisterloven og Personopplysningsloven, men dekker ikke nødvendigvis alle krav i lovverket. I tillegg omfatter Normen enkelte spesifikke krav til behandling av helse- og personopplysninger som går utover det som er direkte regulert av lov.
 
Formålet med Normen er også å styrke tilliten mellom aktørene i sektoren ved å etablere et felles sett med krav og retningslinjer som sikrer en enhetlig tilnærming til informasjonssikkerhet og personvern.

Normen gjelder for enhver virksomhet som har forpliktet seg til å følge Normens krav via avtale med Norsk Helsenett (NHN), og den skal bidra til at pasienter, ansatte og andre berørte har et godt personvern. Den er utarbeidet av representanter fra helse- og omsorgssektoren, og forvaltes av en styringsgruppe med deltakelse fra ulike aktører innen helsesektoren. Helsedirektoratet er sekretariat for arbeidet i styringsgruppen og har ansvaret for daglig drit av Normen, med fast deltagelse fra Norsk Helsenett (NHN).

Definisjoner og struktur

Normen består av et hoveddokument som definerer krav og anbefalinger for helsesektoren, supplert av veiledninger, faktaark, og andre støttende dokumenter som gir ytterligere utdypninger. Produktene i Normen deles inn i fire nivåer:

  1. Normen – Hoveddokumentet: Dette dokumentet regulerer forhold av vesentlig betydning for hele sektoren. Endringer i Normens krav vil kreve bred involvering fra sektoren og relevante myndigheter. Sekretariatet utreder om det er behov for en konsekvensutredning ved større endringer.
  2. Veiledere og faktaark til Normen: Disse dokumentene gir utdypende veiledning om spesifikke temaer og prioriteres ut fra relevans for sektoren. Utvikling og oppdatering skjer i samråd med styringsgruppen og utvalgte interessenter.
  3. Eksterne dokumenter: Dokumenter fra andre organisasjoner som er relevante for sektoren kan inkluderes dersom de oppfyller krav til objektivitet og nøytralitet. Slike dokumenter krever ikke konsekvensutredning, men vurderes jevnlig for relevans.
  4. Øvrige produkter – Fagartikler Normen: Dette nivået inkluderer dokumenter som ikke nødvendigvis er en del av Normen, men som anses nyttige for helsesektoren. Sekretariatet jobber kontinuering med    vurdering av behovet for å henvise til disse produktene.

Involvering av interessenter

Utviklingen av Normen skjer gjennom en kontinuerlig styringssyklus hvor interessenter fra hele sektoren bidrar. Styringsgruppen har ansvaret for å sikre at Normen til enhver tid er relevant og oppdatert, med støtte fra redaksjonskomiteer og arbeidsgrupper.

Kontroll og etterlevelse

Normen inneholder ingen eksplisitte krav om kontroll eller sanksjoner for manglende etterlevelse, men virksomheter som velger å følge Normen forplikter seg til å implementere de anbefalte tiltakene i praksis.

Mandat for styringsgruppen

Mandatet beskriver formål, oppgaver, sammensetting, organisering og arbeidsform for styringsgruppa. Mandatet ble opprinnelig vedtatt av styringsgruppen februar 2007.  Det nåværende mandatet ble vedtatt av styringsgruppen september 2020. Mandatet er gjeldende fra 1. januar 2021.

Målene med Norm

Styringsgruppens overordnede mål for Normen er god og sikker informasjonsbehandling. Normen skal, innenfor lovverkets rammer, søke en balansert tilnærming til konfidensialitet, tilgjengelighet, integritet og robusthet. Normen skal bidra til gode helsetjenester, god pasientsikkerhet, kvalitetssikring, helsepersonellets læring, godt personvern og til å realisere pasientenes helsetjeneste.

Formålet med styringsgruppen

Formålet med styringsgruppen er å sikre at Normen forvaltes og videreutvikles som en bransjenorm og formidles til aktørene i sektoren. Styringsgruppen er et uavhengig organ og kan ikke instrueres av andre.

Forventninger til styringsgruppens medlemmer

Medlemmet skal gjennom sin representant i styringsgruppen fremme synspunkter fra virksomheten/organisasjonen de representerer, og være bindeleddet mellom styringsgruppen og medlemmet de representerer. Samtidig skal styringsgruppens medlemmer søke å tilstrebe løsninger som er til det beste for sektoren som helhet. Ved bemanning av arbeidsgrupper og referansegrupper ønskes det at medlemmene bidrar med representanter fra egen virksomhet/organisasjon.

Ansvar og oppgaver

For å ivareta ansvaret for forvaltning, videreutvikling og formidling av Normen, skal styringsgruppen legge til rette for og bidra til: 

  • å sikre at innholdet i Normens hoveddokument er oppdatert og presenteres på en brukervennlig måte
  • forvaltning og videreutvikling Normens støttemateriell, herunder sikre tilstrekkelig bred involvering ved utarbeidelse av nytt materiell
  • tilstrekkelig formidling og tilgjengeliggjøring av Normens hoveddokument og støttemateriell til aktørene i helse- og omsorgssektoren
  • at det finnes hensiktsmessige arenaer for dialog og formidling knyttet til Normen, og vurdere endringer med grunnlag i behov og forslag fremmet av brukerne av Normen

Styringsgruppen skal:

  • hver høst vedta prioritert handlingsplan for kommende år, som innspill til budsjettprosesser og virksomhetsplaner for Normen og Normens sekretariat.
  • gi innspill til myndighetene på områder der styringsgruppen mener det er behov for å endre eller utvikle regulatoriske bestemmelser på området

Sammensetning

Styringsgruppen skal søkes sammensatt av medlemmer (virksomheter/organisasjoner) som utgjør et representativt utvalg fra ulike hovedgrupper av aktører i norsk helse- og omsorgssektor som bestemmelser i Normen får betydning for.

Styringsgruppen består av det antall medlemmer og representanter som vurderes hensiktsmessig til enhver tid. Styringsgruppen bestemmer selv om den ønsker å endre sammensetningen, herunder invitere nye virksomheter/organisasjoner til å delta. Nye medlemmer kan tas opp i styringsgruppen etter skriftlig forespørsel fra virksomheten/organisasjonen. Styringsgruppen gjør i tillegg hvert tredje år en selvstendig vurdering av hvilke virksomheter og organisasjoner som skal tilbys å være medlemmer og antallet medlemmer. Hvilke virksomheter/organisasjoner som er medlem av styringsgruppen, fremgår av vedlegg til dette mandatet.

Styringsgruppen kan gi virksomheter/organisasjoner anledning til å delta som observatører. Observatører har tale- og forslagsrett. Medlemmene velger selv sine representanter og vararepresentanter. Det skal i sammensetningen søkes oppnådd en bredde i fagkompetansen som dekker områdene nevnt i målene med Normen.

Organisering og arbeidsform

Styringsgruppen velger selv leder og nestleder blant medlemmenes representanter. Styringsgruppen skal utnevne en valgkomite som skal innstille kandidater til leder- og nestledervervene. Leder og nestleder velges for to år av gangen, henholdsvis annet hvert år. Nærmere beskrivelse av valgkomiteen og dens oppgaver fremgår av vedlegg til dette mandatet.

Styringsgruppen kan opprette et arbeidsutvalg, ad hoc arbeidsgrupper og referansegrupper der styringsgruppen finner dette hensiktsmessig. Vurderingen av behovet for arbeidsutvalg og arbeidsgrupper skal gjøres i forbindelse med vedtak av prioritert handlingsplan. Styringsgruppen bestemmer gruppenes mandat, arbeidsform og leveringsfrist.

Konsensus skal søkes oppnådd for beslutninger om prinsipielle forhold eller som får store konsekvenser for sektoren.

Møter i styringsgruppen avholdes minimum halvårlig.

Reise- og oppholdskostnader for representantenes deltakelse på styringsgruppemøtene dekkes av de respektive medlemmene.

Styringsgruppen skal ha et sekretariat som gis fullmakt til å håndtere enkle saker og henvendelser, herunder formidle sin faglige forståelse av Normens hoveddokument og støttedokumenter. Nærmere beskrivelse av sekretariatets oppgaver står i vedlegg til dette mandatet.

Agenda og referater fra styringsgruppens møter skal offentliggjøres

Representasjon i styringsgruppen (vedlegg til mandat)

Se også Normens sekretariat

Følgende virksomheter/organisasjoner deltar i styringsgruppen som medlemmer.

Virksomheter/organisasjonerAntall medlemmer
 Apotekforeningen       1
De regionale helseforetakene       4
Den norske legeforening       1
Norsk fysioterapeutforbund       1
Helsedirektoratet       2
Folkehelseinstituttet       1
KS       2
Foreningen kommunal informasjonssikkerhet (KINS)       1
Norsk Helsenett SF       1
Norsk psykologforening       1
Norsk sykepleierforbund              1
Den norske tannlegeforening       1
Norges farmaceutiske forening       1

Private helsevirksomheter: (felles representanter)

  • Fürst medisinske laboratorium 
      1-2

Følgende virksomheter/organisasjoner deltar i styringsgruppen som observatører med tale- og forslagsrett:

Virksomheter/organisasjonerAntall medlemmer
 Digitaliseringsdirektoratet       1
NAV       4

Bransjeorganisasjoner for leverandører (felles representanter)

  • IKT-Norge
       1 -2

Pasient- og brukerorganisasjoner

  • FFO-Funksjonshemmedes Fellesorganisasjon
  • WSO (We shall overcome) 
  • Senior Norge 
       1-2

Oversikten er oppdatert etter vedtak i styringsgruppen 4.2.21 om opptak av nye medlemmer / observatører

Sekretariatet:

  • Helsedirektoratet med fast representasjon fra Norsk Helsenett.

Instruks for sekretariatet (vedlegg til mandat)

Se også Normens sekretariat

Ansvar

Styringsgruppen for Normen bistås av et sekretariat som koordinerer og utfører Normens daglige arbeid. Sekretariatet skal være pådriver for bruk av Normen. Sekretariatet skal blant annet utrede og forberede saker for styringsgruppen, gjennomføre vedtak som er fattet, håndtere enkle saker og henvendelser, og rapportere til styringsgruppen. Nærmere beskrivelse av sekretariatets oppgaver følger av denne instruksen

Oppgaver

Generelt

  • Forvalte Normens produkter i tråd med forvaltningsmodellen, herunder:
  • Iverksette tiltak som framgår av den årlige handlingsplanen.
  • Lede prosjekter og medvirke faglig i utvikling, oppdatering og endring av Normens produkter.
  • Gjennomføre forberedelser og etterarbeid for styringsgruppens møter, herunder orientere styringsgruppen om relevante saker, som høringer og regelverksendringer.

Normerende og veiledende dokumenter

  • Forvalte normerende og veiledende dokumenter i tråd med forvaltningsmodellen, herunder:
  • Initiere identifisering av nye og endrede behov.
  • Saksforberede behovet for nye dokumenter, herunder aktuelle dokumenter som er utgitt av andre enn styringsgruppen, og behovet for evaluering og revidering av gjeldende dokumenter. 
  • Gjennomføre konsekvensutredninger der forvaltningsmodellen eller beslutninger i styringsgruppen legger opp til det.
  • Ta initiativ til løpende dialog med andre aktører om faglige forhold eller tolkningsuttalelser som er relevante for normerende og veiledende dokumenter.

Digitale verktøy

  • Utgi nyhetsbrev i etterkant av styringsgruppens møter eller ved behov.
  • Forvalte normen.no innholdsmessig, bl.a. publisere nyheter, fagartikler, oppdaterte Normdokumenter, lenker til andre relevante produkter og annen relevant informasjon.
  • Administrere Normens kontoer i sosiale medier, jevnlig publisere innlegg og opprette annonser der ved behov. 
  • Svare på spørsmål om Normen, herunder som rettes til normen@helsedir.no
  • Vurdere om gjeldende, nye og endrede behov kan løses (bedre) ved hjelp av (nye) digitale verktøy og fremme forslag om dette til styringsgruppen.

Kompetanse- og nettverksaktiviteter 

  • Arrangere eller holde foredrag, kurs og webinarer (både fysiske og digitale).
  • Tilrettelegge for nettverksaktiviteter, herunder arrangere årlig normkonferanse.
  • Gi råd om bruk og forståelse av Normen.
  • Bidra til samhandling om informasjonssikkerhet og personvern på vegne av styringsgruppen

Forvaltningsmodell

Formål og målgrupper

Formålet med forvaltningsmodellen for normen for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen), er å bidra til oppnåelse av det overordnede målet for Normen beskrevet i mandatet  for Normen.  Forvaltningsmodellen skal sikre at Normen dekker sektorens behov ved at den er relevant, har tilstrekkelig kvalitet og med et omfang som er dekkende og mulig å holde oppdatert. Forvaltningsmodellen skal også sikre at Normen kommuniseres og tilgjengeliggjøres på egnet måte for relevante aktører i sektoren, samt at aktørene involveres ved identifisering av endringsbehov og i utviklingsarbeid.

Forvaltningsmodellen retter seg mot styringsgruppen for Normen (Styringsgruppen) og sekretariatet til Styringsgruppen (Sekretariatet). I tillegg rettes modellen mot brukere av Normen og andre aktører som kan involveres ved identifisering av behov i sektoren samt ved utvikling og oppdatering av produktene.

For Styringsgruppen og Sekretariatet er modellen et omforent rammeverk for forvaltningen av Normen. For brukere og andre aktører er modellen en informasjonskilde om forvaltningen, spesielt hvordan de kan involveres.

Begrepsforklaring

I forvaltningsmodellen menes følgende med disse begrepene:

  1. Normen: Normens hoveddokument med veiledninger og faktaark.
  2. Produkter: Normens hoveddokument, veiledninger, faktaark, nyhetsartikler, fagartikler og lignende, samt kurs og (digitale) verktøy, rettet mot brukerne av Normen.
  3. Interessenter: Aktører som er premissgivere for regelverk, teknologi og fagområder som Normen er ment å omhandle, brukere av Normen og andre aktører som Normen har eller kan få betydning for

Styringssyklusen

Forvaltningsmodellen gjelder for hele livssyklusen til produkter under Normen (styringssyklus). Hovedfasene i syklusen er planlegging, gjennomføring, evaluering og forbedring. I figuren under illustreres styringssyklusen for Normen. Hovedfasene og illustrasjonen bygger på anerkjente og utbredte modeller for styringssykluser :

Figur 1: Styringssyklusen med hovedfaser
Figur 1: Styringssyklusen med hovedfaser

Til hver av hovedfasene i styringssyklusen skal det foreligge prosessbeskrivelse og om nødvendig nærmere prosedyrer, med et tilstrekkelig omfang og detaljnivå

Roller, ansvar og involvering av interessenter

Oversikt over hovedgrupper av interessenter.

 

Figur 2: Oversikt over ulike grupper av interessenter som gir bidrag til Normens produkter.
Figur 2: Oversikt over ulike grupper av interessenter som gir bidrag til Normens produkter.

En virksomhet kan inngå i mer enn én hovedgruppe. Eksempelvis er de regionale helseforetakene både medlemmer av Styringsgruppen og forpliktede virksomheter, og enkelte fagmyndigheter er også medlem av Styringsgruppen. I det følgende blir de ulike hovedgruppene beskrevet nærmere.

Styringsgruppen

Styringsgruppens ansvar og oppgaver er beskrevet i mandatet til Styringsgruppen. 

Ansvar og oppgaver til medlemmene av Styringsgruppen og deres representanter er beskrevet i mandatet til Styringsgruppen. Det er Styringsgruppen selv som beslutter endringer i sammensetningen av Styringsgruppen.

Sekretariatet for Styringsgruppen

Styringsgruppen bistås av et sekretariat (Sekretariatet). Sekretariatets ansvar og oppgaver er kort beskrevet i mandatet til Styringsgruppen og utdypet i vedlegg til mandatet.  Leder og medarbeidere i Sekretariatet er ansatt i Helsedirektoratet eller Norsk helsenett (NHN) og avgitt til Styringsgruppen. Sekretariatet utfører oppdrag for Styringsgruppen og kan ikke instrueres av Helsedirektoratet eller NHN om faglige forhold eller forvaltningen av Normen. Helsedirektoratet og NHN tar imidlertid del i beslutninger som medlem av Styringsgruppen.

Redaksjonskomite

For å lettere avdekke om det har oppstått endringer eller nye behov i sektoren, som tilsier at produkter som Styringsgruppen har utgitt bør evalueres eller revideres, skal det brukes en eller flere redaksjonskomiteer. Redaksjonskomiteene skal foreta gjennomgangene jevnlig og minimum årlig. 

Redaksjonskomiteen kan bestå av representanter i Styringsgruppen eller andre personer hos medlemmene eller observatørene i Styringsgruppen. Redaksjonskomiteer etableres av Styringsgruppen.

Arbeidsgrupper og referansegrupper

For å sikre sektorinvolvering i utarbeidelse av Normens produkter som f.eks. veiledere og faktaark, kan det etableres arbeidsgrupper og/eller referansegrupper. Arbeidsgrupper bidrar aktivt med å utarbeide produkter. Referansegrupper gir innspill til forslag til produkt utarbeidet av sekretariatet og/eller arbeidsgrupper.

Referansegrupper kan også brukes for å gi innspill til udekkede behov i sektoren som det bør vurderes om skal dekkes av Normen. Se delprosessene «Identifisere behov» og «Utvikle» i prosessdiagrammet Figur 6: Prosessen for utvikling og endring av produkter. 

Arbeidsgrupper og referansegrupper etableres av Styringsgruppen eller Sekretariatet.

Forpliktede virksomheter

Normen gir en samlet oversikt, utdyping og konkretisering av bestemmelser om informasjonssikkerhet og personvern i ulike lover og forskrifter som gjelder for sektoren. I tillegg kan Styringsgruppen beslutte egne krav i Normen. Virksomheter kan selv velge å forplikte seg til å følge Normen. En slik forpliktelse kan f.eks. kreves av Norsk Helsenett SF for virksomheter som skal tilknyttes helsenettet. Videre kan oppdragsgivere i sektoren stille krav i konkurransegrunnlag, kontrakter og databehandleravtaler at leverandører skal følge hele eller deler av Normen. I tillegg kan overordnede virksomheter pålegge underordnede virksomheter de har instruksjonsmyndighet overfor å følge Normen.

Forpliktede virksomheter er viktige interessenter og en viktig kilde til å fange opp behov i arbeidet med Normen.

Fag- og tilsynsmyndigheter

Fordi Normen i stor grad bygger på regulatoriske krav til informasjonssikkerhet og personvern, vil en del fag- og tilsynsmyndighetene være viktige premissgivere for Normens innhold. Myndighetene kan gi Styringsgruppen og Sekretariatet verdifulle bidrag til tolkning av lover og forskrifter på området, risikobildet for sektoren og hvordan produkter under Normen best kan bidra til at risikoen håndteres. Det gjelder spesielt Helsedirektoratet, Digitaliseringsdirektoratet, Nasjonal sikkerhetsmyndighet, Helsetilsynet og Datatilsynet. Styringsgruppen skal likevel være uavhengig av myndighetene (og andre). Fag- og tilsynsmyndighetene kan derfor ikke instruere Styringsgruppen om innholdet i Normens hoveddokument eller andre produkter under Normen.

Sekretariatet kan ha løpende dialog med fag- og tilsynsmyndigheter fra sak til sak. De mest relevante fag- og tilsynsmyndighetene tilbys å være medlemmer eller observatører i Styringsgruppen.

Andre bidragsytere

I tillegg til ovennevnte roller vil det også være en del andre viktige bidragsytere. Det kan være offentlige fagorganer (som ikke nødvendigvis er gitt fag- eller tilsynsmyndighet), foreninger, nettverk, leverandører, eksperter og andre med interesser eller kompetanse innen informasjonssikkerhet, personvern, teknologi eller sektorens behov. Denne typen bidragsytere kan gi verdifulle bidrag til spesielt risikobildet og hvordan produkter under Normen best kan bidra til at risikoen håndteres.

I denne gruppen inngår også organene i nasjonal styringsmodell for e-helse, som er etablert av og rapporterer til Direktoratet for e-helse. Organene består av Nasjonalt e-helsestyre (NEHS), Prioriteringsutvalget (NUIT) og Fag- og arkitekturutvalget (NUFA). Det er naturlig at styringsgruppen og sekretariatet for Normen har dialog med NUIT og NUFA. Samtidig har styringsgruppen for Normen et eget ansvar for å innhente innspill fra sine medlemmer og sektoren samt foreta prioriteringer som gjelder Normen, og kan ikke overlate dette til (eller bli instruert av) henholdsvis NUFA og NUIT.

Det er ikke plass til alle slike bidragsytere i Styringsgruppen, men enkelte av disse kan inngå som observatører i Styringsgruppen, i referansegrupper eller ha løpende dialog med Sekretariatet fra sak til sak.

Strategi og handlingsplan

De overordnede og langsiktige målene for Normen skal være beskrevet i mandatet til Styringsgruppen og i Normens hoveddokument.

For å oppnå de overordnede og langsiktige målene for Normen, skal det foreligge en strategi for Normen. Strategien skal beskrive hvordan målene skal nås på mellomlang sikt og besluttes av Styringsgruppen. Strategien gjelder for tre til fire år om gangen, men kan oppdateres og endres årlig.

For å gjennomføre strategien skal det foreligge en handlingsplan for Normen. Handlingsplanen er et verktøy for styring av oppgaveporteføljen og skal beskrive konkrete tiltak. Planen besluttes av Styringsgruppen og gjelder for ett år om gangen.

Struktur for produkter

Se beskrivelse under kapittel definisjon og struktur

Digitale verktøy og kompetanse- og nettverksaktivitete

En del av Normens produkter skal gi oppdatert og tilgjengelig informasjon, eller økt kompetanse og erfaringsdeling, om Normen:

  • Digitale verktøy. Bruk av digitale plattformer til å publisere og tilgjengeliggjøre produkter, f.eks. normen.no, elektroniske nyhetsbrev eller sosiale medier. Der kan det legges ut også nyhets- eller fagartikler og lenker til andre relevante produkter.
  • Kompetanse- og nettverksaktiviteter. Kan bestå av fysiske eller digitale foredrag, kurs, og webinarer, samt nettverksaktiviteter som årlig normkonferanse. Foretas i samsvar med handlingsplanen.

Temainndeling

Innholdet i Normens produkter skal deles opp tematisk under hovedkategoriene kjernetemaer og andre relevante temaer:

  • Kjernetemaer. Omfatter temaer som gjelder kjernen av kravene i Normen og i stor grad særskilte for helse- og omsorgssektoren. Eksempler: Behandlingsgrunnlaget for personopplysninger om pasienter og tilgang til helseopplysninger.
  • Andre relevante temaer. Omfatter rettigheter, plikter, risikoområder eller teknologi som er relevante for helse- og omsorgssektoren, men ikke nødvendigvis sektorspesifikke. Eksempler: Personer med adressesperre og IT-sikkerhet ved betalingsterminaler.

Oppsummering om strukturen på produktene

I figuren under illustreres en oppsummering av strukturen på produktene

 

Figur 3: Strukturen på Normens produkter
Figur 3: Strukturen på Normens produkter

 

Differensiering av forvaltningen

Nivåinndeling og dokumentoversikt

Forvaltningen av Normens produkter er inndelt i fire nivåer. Inndelingen er gjort for at forvaltningsprosessene skal kunne differensieres etter vesentlighet og risiko knyttet til de ulike typene av produkter.

Styringsgruppen kan beslutte at et produkt skal forvaltes på et annet nivå enn det som er utgangspunktet i modellen .

Ved utvikling og oppdatering av produkter skal kjernetemaer prioriteres. Blant produkter som omhandler kjernetemaer kan man igjen gjøre prioriteringer basert på andre faktorer, som f.eks. hvor stor interessen for produktet har vært (antall elektroniske nedlastinger), intervall siden for forrige endring og dagsaktuelle behov. For produkter under nivå 2 og 3, skal det vedlikeholdes en dokumentoversikt med grunnleggende informasjon om de ulike normerende og veiledende dokumentene, som f.eks. kategori, dato for forrige endring og antall nedlastinger. Dokumentoversikten vil være et sentralt verktøy for å holde oversikt over dokumentporteføljen og kunne prioritere utvikling og endring av dokumentene.

Figur 4: Differensiering av forvaltningen av produkter under Normen
Figur 4: Differensiering av forvaltningen av produkter under Normen

I det følgende beskrives de fire forvaltningsnivåene nærmere.

Nivå 1: Normens hoveddokument

  • Normalt skal forhold som kan få vesentlige konsekvenser for sektoren reguleres i Normens hoveddokument.
  • Ved utvikling av forhold av vesentlig art skal Styringsgruppen etablere en eller flere arbeidsgrupper som består av utvalgte medlemmer og en eller flere referansegrupper med eksterne deltakere.
  • Ved endringer av vesentlig art skal det foretas en bred innspillsrunde til hele sektoren og sentrale aktører utenfor sektoren (f.eks. Datatilsynet, Digdir og NSM), slik som ved forskrifter.
  • Ved endringer av vesentlig art skal det vurderes om det skal foretas en konsekvensutredning av forslaget. Et krav i lov eller forskrift som bare gjentas i Normens hoveddokument, behøver imidlertid ikke konsekvensutredes i denne prosessen
  • Redaksjonskomiteen vurderer minst en gang i året, som et grunnlag til neste års handlingsplan, om det har oppstått endringer eller nye behov som tilsier at produktet bør revideres

Nivå 2: Veiledere og faktaark som utgis av Styringsgruppen

  • Ved utvikling og oppdatering av veiledningsmateriell skal materiell som omhandler kjernetemaer prioriteres. Når prioriteringene foretas, skal det tas hensyn til opplysningene i dokumentoversikten og andre faktorer nevnt i. Nivå 1: Normens hoveddokument. Prioriteringene skal tas inn i handlingsplanen for neste år.
  • Ved utvikling av forhold av vesentlig art skal Styringsgruppen etablere en eller flere arbeidsgrupper som består av utvalgte medlemmer og en eller flere referansegrupper med eksterne deltakere.
  • Innspill skal innhentes fra medlemmene av Styringsgruppen og utvalgte aktører i eller utenfor sektoren som blir berørt eller antas å kunne bidra med faglige innspill.
  • Konsekvensutredning er ikke nødvendig for denne typen produkter.
  • Dette nivået omfatter også mandatet for Styringsgruppen med vedlegg og forvaltningsmodellen (dette dokumentet) for Normen. Ved evaluering og revidering av mandatet og forvaltningsmodellen kan imidlertid interessenter som ikke er medlem av Styringsgruppen involveres på annen måte enn etablering av referansegruppe.
  • Redaksjonskomiteen vurderer minst en gang i året, som et grunnlag til neste års handlingsplan, om det har oppstått endringer eller nye behov som tilsier at produktet bør revideres

Nivå 3: Dokumenter utgitt av andre enn Styringsgruppen

  • I denne kategorien inngår produkter som er utgitt av f.eks. fagmyndigheter, foreninger eller andre virksomheter i eller utenfor sektoren. I vurderingen av produktet skal det legges vekt på om utgiver fremstår tilstrekkelig objektiv og om innholdet er tilstrekkelig relevant og nøytralt (f.eks. teknologi- og leverandøruavhengig).
  • Innspill skal innhentes fra medlemmer og utvalgte sektoraktører som blir berørt eller antas å kunne bidra med faglige innspill. Det skal være dialog med utgiver i forkant av beslutningen.
  • En slik tilslutning medfører ingen forpliktelser for virksomheten eller organisasjonen som har utgitt produktet.
  • Gjelder produktet kjernetemaer skal Sekretariatet jevnlig undersøke om det gjøres endringer i produktet og orientere Styringsgruppen dersom endringene er vesentlige. Gjelder produktet andre relevante temaer er det tilstrekkelig at Sekretariatet årlig revurderer om produktet fortsatt er relevant for Normen.
  • Referansegrupper og konsekvensutredning er ikke nødvendig for denne typen produkter.

Nivå 4: Øvrige produkter

  • I denne kategorien inngår også produkter som er utgitt av andre og av ulike grunner ikke er tatt inn under Normen, men som Sekretariatet finner det nyttig å henvise til. Brukerne av Normen kan da selv vurdere i hvilken grad produktet er relevant for sin oppfyllelse av Normen.
  • Utvikling og vurdering av slike produkter skjer kun internt i Sekretariatet. Sekretariatet avklarer ved behov med Styringsgruppens leder om det er forhold som bør fremlegger for Styringsgruppen til orientering eller beslutning.
  • Sekretariatet er selv ansvarlig for å holde produktet oppdatert og initiere endringer. 
  • Referansegrupper og konsekvensutredning er ikke nødvendig for denne typen produkter

Oppsummering om differensiering av forvaltningen

I figuren under illustreres en oppsummering av den differensierte forvaltning av produktene

Figur 5: Oversikt over nivåene for differensieringen av forvaltningen av Normen
Figur 5: Oversikt over nivåene for differensieringen av forvaltningen av Normen

Prosess for utvikling og endring av produkter

Prosessen for utvikling og endring av produkter på nivå 1, 2 og 3 består av følgende delprosesser:

Figur 6: Prosessen for utvikling og endring av produkte
Figur 6: Prosessen for utvikling og endring av produkte

 

Delprosessene vil være de samme for alle typer produkter. Omfanget av prosessene vil variere avhengig av produktets type, omfang og innhold.

Når behov skal identifiseres og alternativer prioriteres, skal det vektlegges om det ut ifra kompetanse er mer naturlig at andre aktører utvikler produktet (utenfor Normen).

Prosjektplanen skal beskrive hvordan utvikling av produktet skal gjennomføres, og kan inneholde tidsplan, ressurser som skal inngå i arbeidet, krav til kompetanse, eventuell bruk av arbeids- og referansegrupper etc

For produkter som er utgitt av andre og aktuelle å gjøre til en del av Normen, gjelder naturlig nok ikke delprosessen «Utvikle produktet». Også for slike produkter vil imidlertid øvrige delprosesser være nødvendige, om enn i noe mindre omfang enn der Styringsgruppen skal utgi produktet.

Oppdatering kan være alt fra redaksjonelle justeringer som foretas av Sekretariatet til innholdsmessige endringer som legges frem for Styringsgruppen.

Styringsgruppen skal sørge for at redaksjonskomiteen og Sekretariatet følger opp behovet for revidering av produkter. Det skal være prosedyrer og verktøy som sikrer at det ved bestemte intervaller evalueres om et produkt fortsatt er relevant og tilstrekkelig oppdatert. Produkter om kjernetemaer, risikobildet og teknologi skal evalueres oftere enn produkter om andre typer temaer. Dersom evalueringen ikke har skjedd innen fristen eller resultatet av evalueringen er at produktet ikke lenger er relevant eller tilstrekkelig oppdatert, skal produktet ikke lenger publiseres som en gjeldende versjon.

Som del av utviklingsarbeidet skal det utarbeides en plan for publisering og tilgjengeliggjøring av produktet. Planen skal vedtas av Styringsgruppen.

Formidling av produktene

Publisering og tilgjengeliggjøring

Produkter skal publiseres på normen.no. Formatet på produktene skal være i samsvar med prinsippene i forskrift om IT-standarder i offentlig forvaltning .

Ved tilgjengeliggjøring av produkter skal det legges vekt på at innholdet systematiseres slik at det gir god gjenfinnbarhet basert på filtrering av temaer og målgrupper. Det bør unngås duplisering av innhold. Systematikken og verktøyet bør være slik at senere oppdateringer blir enkelt å gjennomføre.

For produkter på nivå 1 og 2 der det skal utarbeides en plan for tilgjengeliggjøring av produktet.

Bevisstgjøring og kompetanseutvikling

Styringsgruppens medlemmer er selv ansvarlig for bevisstgjøring og kompetanseutvikling om Normen til egne ansatte og leverandører. Styringsgruppen kan bli enig om felles tiltak for bevisstgjøring og kompetanseutvikling om Normen overfor grupper av virksomheter i sektoren, f.eks. i samarbeid med relevante fagmyndigheter eller organisasjoner, og delegere gjennomføringen til Sekretariatet. Slike tiltak skal være i samsvar med strategien og om mulig fremgå av handlingsplanen med en angitt gjennomføringsansvarlig.

Det er ikke alltid mulig å planlegge for aktuelle oppdukkende temaer der det bør bevisstgjøres om Normens relevans. Bevisstgjøringstiltak bør derfor ikke være avgrenset til kun det som står i handlingsplanen.

Det skal årlig avholdes minst en konferanse om aktuelle temaer relevant for Normen.

Andre relevante plattformer og kanaler som kan brukes til bevisstgjøring eller kompetanseutvikling er nettsider, sosiale, medier, fagtidsskrifter, e-postgrupper (for nyhetsbrev), webinarer og fysiske eller digitale kurs.

Kontroll av etterlevelse og sanksjoner

Det er i Normens hoveddokument ingen krav om kontroll av at Normen etterleves eller sanksjoner ved manglende etterlevelse.

Krav om kontroll og sanksjoner bør imidlertid inngå i avtaler om at Normens hoveddokument, og eventuelt også veiledere til hoveddokumentet, skal etterleves. Slike avtalevilkår kan eksempelvis gjelde for tilgang til helsenettet, i kontrakter ved anskaffelser og i databehandleravtaler

 

Kontakt

Sekretariatet for Normen

Først publisert: 28.06.2006 Siste faglige endring: 18.12.2024 Se tidligere versjoner

Normen

Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.