Denne veilederen skal gi veiledning til, og bidra til etterlevelse av, kravene i Normen knyttet til internkontroll. Veilederen er nyttig for alle ledere og medarbeidere i helse- og omsorgssektoren, særlig ved behov for å forstå hvordan ulike deler av internkontrollen fungerer i egen sektor eller virksomhet. Veilederen kan også være nyttig for systemleverandører og andre samarbeidspartnere til helse- og omsorgssektoren.
Bakgrunn
Internkontroll, styringssystem, ledelsessystem, styring og kontrollaktiviteter. Det kan være utfordrende for en virksomhet å få oversikt over hva som kreves for å ivareta eget ansvar. Mange aktiviteter inngår i den overordnede prosessen, og det er behov for å se hvordan de ulike delene av den samlede internkontrollen for informasjonssikkerhet og personvern bidrar til forsvarlige helse- og omsorgstjenester.
Normens veiledningsmateriell for ulike aktiviteter som inngår i internkontrollen har vært fordelt på en rekke ulike faktaark, som
- Faktaark 01 – Ansvar og organisering (sanert)
- Faktaark 02 – Styringssystem for informasjonssikkerhet og personvern (sanert)
- Faktaark 08 – Avviksbehandling (sanert)
- Faktaark 09 – Opplæring av ledere og medarbeidere (sanert)
- Faktaark 27 – Retningslinjer for daglig informasjonssikkerhet.(sanert)
Normen inkluderer krav til personvern i tillegg til informasjonssikkerhet, som var hovedfokus i faktaarkene nevnt over. Videre har Normen tidligere ikke hatt egen veiledning på sikkerhetskultur, et tema som får stadig mer oppmerksomhet i sektoren og som henger naturlig sammen med temaer som opplæring, kompetanse og det daglige informasjonssikkerhetsarbeidet.
På bakgrunn av denne utviklingen har det vært naturlig å oppdatere veiledningsmateriellet på internkontrollområdet for å sette de ulike delaktivitetene inn i en større sammenheng, i en egen veileder om internkontroll for helse- og omsorgssektoren.
Tema for veilederen
Denne veilederen skal gi veiledning til, og bidra til etterlevelse av, kravene i Normen knyttet til internkontroll.
Med internkontroll menes i Normen planlagte og systematiske tiltak som skal sikre at virksomhetens aktiviteter planlegges, organiseres, utføres og vedlikeholdes i samsvar med krav fastsatt i eller i medhold av lovgivningen.
Det omfatter en formalisering av hvordan virksomheten planlegger, gjennomfører, evaluerer, kontrollerer og korrigerer etterlevelse av relevant regelverk, krav og avtaler. Den som har det overordnede ansvaret for virksomheten, skal sørge for at det etableres og gjennomføres systematisk styring av virksomhetens aktiviteter (internkontroll).
Kravene i Normen beskrives overordnet i kapittel 1.4 Krav i Normen, mens nærmere utdypning av kravene og hvordan de kan løses i praksis følger i kapittel 2 Internkontroll i helse- og omsorgssektoren.
Målgruppe
Målgruppen for veilederen er virksomheter som omfattes av Normen og som skal sikre etterlevelse av Normens krav, herunder dataansvarlig.
Veilederen er nyttig for alle ledere og medarbeidere i helse- og omsorgssektoren, særlig ved behov for å forstå hvordan ulike deler av internkontrollen fungerer i egen sektor eller virksomhet. Lederansvaret får særlig fokus i kapittelet om roller og ansvar, men ledere i helse- og omsorgssektoren er en særlig viktig målgruppe for veilederen som helhet.
Veilederen kan også være nyttig for systemleverandører og andre samarbeidspartnere til helse- og omsorgssektoren, som på grunn av sin leveranse eller engasjement er omfattet av Normen 6.0 gjennom avtale med virksomheten eller Norsk Helsenett SF.
Krav i Normen
Denne veilederen tar i all hovedsak for seg kravene i Normens kapittel 2. Ledelse og ansvar og 5. Informasjonssikkerhet. Krav i kapittel 3. Risikostyring vil behandles kort, men først og fremst for å vise sammenhengen med Normens Veileder om risikostyring i helse- og omsorgssektoren.
Tabellen som følger, gir en oversikt over sentrale krav for internkontroll fra Normen. Merk at tabellen ikke er uttømmende for en virksomhets totale internkontroll, og at mer om hvordan kravene i tabellen kan løses i praksis følger i kapittel 2 Internkontroll i helse- og omsorgssektoren.
| Virksomheten er ansvarlig for å |
|---|
| Sørge for at virksomheten følger gjeldende krav til informasjonssikkerhet og personvern, inkludert å sørge for velfungerende styring og kontroll. Dette ansvaret ligger hos virksomhetens øverste ledelse, og bør ivaretas som en del av arbeidet med virksomhetsstyring og kvalitetsforbedring. Les mer om kravet i Normen, kapittel 2. Ledelse og ansvar. |
Ivareta ansvaret som dataansvarlig, blant annet ved å
Les mer om kravet i kapittel 2.2 Dataansvarliges ansvar |
| Bistå dataansvarlig med å sikre overholdelse av forpliktelser til informasjonssikkerhet i de tilfeller der virksomheten er databehandler, og være ansvarlig for at underleverandører oppfyller sine forpliktelser. Databehandler har selvstendig ansvar for informasjonssikkerhet og for ivaretakelse av den registrertes personvern. Les mer om kravet i kapittel 2.3 Databehandlers ansvar |
| Etablere et styringssystem for informasjonssikkerhet og personvern (internkontroll). Informasjonssikkerhet og personvern bør inngå som en del av det totale styringssystemet i virksomheten. Dette ansvaret ligger hos virksomhetens øverste ledelse. Les mer om kravet i kapittel 2.4 Styringssystem |
| Gjennomgå virksomhetens aktiviteter innen informasjonssikkerhet og personvern minst en gang i året. Dette ansvaret ligger hos virksomhetens øverste ledelse. Les mer om kravet i kapittel 2.5 Ledelsens gjennomgang |
| Etablere koordinerte aktiviteter for å rettlede og kontrollere virksomheten med hensyn til risiko (risikostyring). Les mer om kravet i kapittel 3. Risikostyring; Se Veileder om risikostyring for detaljering av dette kravet. |
| Kontinuerlig lære opp medarbeidere i krav om ivaretakelse av taushetsplikten, informasjonssikkerheten og personvernet. Les mer om kravet i kapittel 5.1 Medarbeidere, kompetanse og holdningsskapende arbeid; Avsnitt om Vilkår og betingelser |
| Etablere tiltak som sørger for at alle som gis tilgang til informasjonssystemer og tilhørende informasjon, har tilstrekkelig kompetanse til å benytte systemene og til å ivareta informasjonssikkerheten og personvernet til den registrerte. Les mer om kravet i kapittel 5.1. Medarbeidere, avsnitt om Opplæring og kompetanse |
| Behandle uønskede hendelser (for eksempel brudd på rutiner, personvernet eller informasjonssikkerheten) som avvik. Etablere rutiner for å oppdage og håndtere avvik, og behandle disse for å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse. Kapittel 5.8 Håndtering av informasjonssikkerhetsbrudd; avsnitt om avvikshåndtering |
Relevante lov- og forskriftsbestemmelser, standarder og andre rammeverk
Forskrift for ledelse og kvalitetsforbedring i helse- og omsorgstjenesten skal bidra til faglig forsvarlige helse- og omsorgstjenester, kvalitetsforbedring og pasient- og brukersikkerhet, og at øvrige krav i helse- og omsorgslovgivningen etterleves.
Dette skal blant annet gjøres ved at den som har det overordnede ansvaret for virksomheten skal sørge for at det etableres og gjennomføres systematisk styring av virksomhetens aktiviteter i tråd med forskriften, og at medarbeiderne i virksomheten medvirker til dette.
Styringssystemet skal tilpasses virksomhetens størrelse, egenart, aktiviteter og risikoforhold og ha det omfang som er nødvendig, og det beskrives en rekke relevante plikter i § 6-9 av forskriften Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten - (lovdata.no)
Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) beskriver virksomheters plikter ved behandling av helseopplysninger, og § 23 Internkontroll beskriver at dataansvarlige skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med lovgivningen, og at tiltakene skal dokumenteres og være tilgjengelig både for medarbeidere og tilsynsmyndighetene Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) (lovdata.no)
Videre plikter alle virksomheter som omfattes av arbeidsmiljøloven å innføre og utøve internkontroll etter forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter (internkontrollforskriften) Forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter (Internkontrollforskriften) (lovdata.no)
Det er flere artikler fra Lov om behandling av personopplysninger (personopplysningsloven) som er relevante for kravene som dekkes av denne veilederen. Loven gjennomfører personvernforordningen (GDPR) i Norge. Et av personvernprinsippene som beskrives i forordningens artikkel 5 Lov om behandling av personopplysninger (personopplysningsloven) (lovdata.no) er at den dataansvarlige er ansvarlig for og skal kunne påvise at virksomheten behandler opplysninger i samsvar med de andre prinsippene.
For mer om personvernprinsippene, se Normens faktaark om Personvernprinsippene
Forordningens artikkel 24 beskriver dataansvarliges ansvar. Artikkelen fremhever at virksomheten skal ta hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad, for å gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen av personopplysninger utføres i samsvar med kravene i forordningen Lov om behandling av personopplysninger (personopplysningsloven) (lovdata.no)
Artikkelen omhandler med andre ord internkontroll, og den fordrer risikobaserte tiltak for å sikre og påvise at behandlingen utføres i samsvar med forordningen.
I tillegg til Normens krav, som er grunnlaget for Normens veiledning, baseres metoden for internkontroll på innhold blant annet fra Digitaliseringsdirektoratets veiledning Internkontroll i praksis – informasjonssikkerhet (digdir.no) samt sentrale krav og aktiviteter som beskrives i Digitaliseringsdirektoratets sammenstilling av standarden ISO/IEC 27001:2013 tilpasset norsk offentlig sektor (digdir.no)
Videre ser veilederen hen på blant annet Veiledning i helhetlig styring og kontroll av informasjonssikkerhet, som er resultatet av et samarbeid mellom Nasjonalsikkerhetsmyndighet, Direktoratet for forvaltning og økonomistyring og Digitaliseringsdirektoratet, med bidrag fra Datatilsynet og KS. Helhetlig styring og kontroll av informasjonssikkerhet (digdir.no)
Avgrensing
Denne veilederen er avgrenset til internkontroll innenfor Normens temaområder i helse- og omsorgssektoren, informasjonssikkerhet og personvern. Risikostyring behandles kort, først og fremst for å vise sammenhengen med Normens Veileder om risikostyring i helse- og omsorgssektoren.
Selv om risikostyring som prosess er en del av virksomhetens internkontroll, beskrives ikke kravene til denne nærmere i denne veilederen. De beskrives i Veileder om risikostyring for informasjonssikkerhet og personvern, som ble utviklet parallell med denne veilederen. Det vil være nyttig å lese også den veilederen, for å sørge for en god forståelse av hvordan disse prosessene henger sammen og utfyller hverandre.
Når anbefalingene i veilederen tas i bruk i virksomheten, må de tilpasses med utgangspunkt i virksomhetens kompleksitet og størrelse, samt konkrete behov og oppgaver. Det kan være ulike måter å etterleve enkeltkrav på.
Internkontroll for informasjonssikkerhet og personvern er en prosess som er en del av en virksomhets helhetlige internkontroll. Likevel tar ikke denne veilederen for seg øvrige krav som er en del av internkontrollen på andre områder.
Virksomheter i helse- og omsorgssektoren må ta hensyn til virksomhetens interne systemer som håndterer blant annet ansattopplysninger, på samme måte som virksomheter i andre sektorer.
Denne veilederen avgrenser ikke mot behandling av ansattopplysninger, men har heller ikke fokus på det. Prinsipper for behandling av helse- og personopplysninger som beskrives i denne veilederen vil kunne være nyttige også med tanke på behandling av opplysninger om egne ansatte.
Veilederen tar heller ikke for seg krav til internkontroll for informasjonssikkerhet og personvern utover det som faller inn under Normens virkeområde, som er helse- og omsorgssektoren.
