Bakgrunn og tema for veilederen
Helse- og omsorgstjenesten er avhengig av private leverandører innen IKT-området, og sektoren ønsker at sikkerhetsutfordringen løses i fellesskap, i tråd med EU/EØS-krav og beste standard internasjonalt.
Denne veilederen er utarbeidet for å lette arbeidet med anskaffelser og leverandøroppfølging og bidra med kompetanseheving for å sikre at krav til Informasjonssikkerhet og personvern blir ivaretatt i anskaffelsesprosessen, innføring av teknologi og i den videre oppfølging av leverandør.
Veilederen skal gi veiledning til, og bidra til etterlevelse av kravene i Normen knyttet til anskaffelser og bruk av leverandører.
Målgruppe
Målgruppen er leverandører til helse og omsorgstjenesten, og ansatte hos virksomheter i helse- og omsorgstjenesten som forvalter og anskaffer teknologi og programvare.
Målgruppen for veilederen er virksomheter som omfattes av Normen og som skal sikre etterlevelse av Normens krav, herunder dataansvarlig.
Veilederen kan også være nyttig for systemleverandører og andre samarbeidspartnere til helse- og omsorgssektoren, som på grunn av sin leveranse eller engasjement er omfattet av Normen gjennom avtale med virksomheten eller Norsk Helsenett SF.
Om Normen
Normen er en bransjenorm for informasjonssikkerhet og personvern for helse- og omsorgssektoren. Det er et sett med krav til virksomheter i sektoren for hvordan de skal jobbe med dette. Under Normen er det også utviklet veiledningsdokumenter som utdyper og supplerer kravene i bransjenormen.
Normen stiller krav som detaljerer og supplerer gjeldende regelverk. Den er likevel ikke heldekkende. Helseregisterloven, personopplysningsloven og annet regelverk stiller visse krav til behandling av helse- og personopplysninger utover det som er tema for Normen.
Normen skal blant annet styrke og forenkle arbeidet med informasjonssikkerhet og personvern, bidra til at virksomheter som følger Normen har egnede tekniske og organisatoriske tiltak på plass, fremme samhandling gjennom tillit i helse- og omsorgssektoren og bidra til god pasientsikkerhet og godt personvern.
Normen blir forvaltet av Styringsgruppen for Norm for informasjonssikkerhet og personvern.
Relevante lov- og forskriftsbestemmelser, standarder og andre rammeverk
Helsetjenesten er underlagt omfattende regulering gjennom lover, forskrifter, normer og standarder. IKT og utstyr som brukes i helsetjenesten må enten oppfylle disse kravene direkte eller gjøre det mulig for virksomheten å oppfylle dem. Utover nasjonal helselovgivning og personvernlovgivning kan følgende være relevant (listen er ikke uttømmende):
- NSM Grunnprinsipper for IKT-sikkerhet
- MDR - Regelverket for medisinsk utstyr
- NIS2 – direktivet
- MDCG 2019-16 Rev.1 Guidance on Cybersecurity for medical devices
- Lov om nasjonal sikkerhet (Sikkerhetsloven)
- Relevante ISO-standarder for informasjonssikkerhets- og personvern
- CIS Critical Security Controls
Leverandøren har et selvstendig ansvar å følge relevante lov- og forskriftsbestemmelser, standarder og andre rammeverk.
Utvikling av veilederen
Utviklingen av denne veilederen er gjort i samarbeid med en referansegruppe bestående av fagpersoner fra helsesektoren innen IKT, medisinsk teknologi og innkjøp (både kommune og spesialisthelsetjenesten). Leverandører var godt presentert med kompetanse innen personvern, innkjøp, IKT og medisinsk teknologi.
Leseveiledning
Med systemer menes i denne veilederen elektroniske pasientjournaler, medisinske fagsystemer, merkantile systemer som understøtter pasientbehandling og Operasjonell teknologi som kan påvirke virksomhetens evne til å yte helsehjelp. Operasjonell teknologi (heretter OT) – omfatter systemer som regulerer og overvåker infrastruktur, logistikk og klima i en bygningsmasse.
Normen og en del annet lovverk bruker begrepet virksomhet og leverandør. Når det gjelder behandling av helse- og personopplysninger brukes begrepene dataansvarlig og databehandler. Denne veilederen bruker også begrepet kunde. Begrepene brukes om hverandre, der dette er hensiktsmessig ut fra kontekst.
