2.3. Ledelsens gjennomgang

Normen stiller krav om at virksomhetens ledelse selv skal gjennomgå virksomhetens aktiviteter innen informasjonssikkerhets og personvern. Dette er en viktig del av lederansvaret i helse- og omsorgssektoren.

Formålet med ledelsens gjennomgang er å sikre at styringssystemet for informasjonssikkerhet og personvern er tilstrekkelig og virkningsfullt ut ifra formålet, kravene og risikoene til virksomheten. Gjennomgangen skal gi ledelsen et grunnlag for å fatte velinformerte strategiske beslutninger om hva som skal gjøres for å utvikle og forbedre informasjonssikkerheten og personvernet.

Hva som bør inngå i ledelsens gjennomgang

Virksomhetens øverste ledelse skal selv gjennomgå virksomhetens aktiviteter innen informasjonssikkerhet og personvern minst en gang i året. Følgende forhold vil normalt inngå i beslutningsgrunnlaget:

Resultat fra risikovurderinger og personvernkonsekvensvurderinger
Resultat av avviksbehandling
Oppfølging av leverandører og databehandleravtaler
Vurderinger av akseptabel risiko, Normens veileder for risikostyring

Hva som er akseptabelt risikonivå vil variere, og vil bero på de konkrete omstendighetene. I henhold til personvernforordningens artikkel 32 skal det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter.

I tillegg bør også en del andre forhold inngå i beslutningsgrunnlaget, for eksempel:

Status for tiltak besluttet under tidligere ledelsens gjennomganger
Status for tiltak fastsatt i planer for risikohåndtering
Oppnåelse av beskrevne sikkerhetsmål (f.eks. i målrapporteringen, ofte formulert som «Key Performance Indicators» (KPIer) på området)
Endringer i eksterne krav innen informasjonssikkerhet og personvern (f.eks. lover, forskrifter og tildelingsbrev, samt avtaler med kunder, leverandører og andre samarbeidspartnere)
Endringer innen infrastruktur, informasjonssystemer og behandlinger av helse- og personopplysninger
Resultat fra interne målinger og evalueringer, herunder fra inntrengningstester i informasjonssystemer, målinger av sikkerhetskultur og evalueringer etter øvelser, samt antall deltakere på kompetansetiltak om informasjonssikkerhet og personvern
Resultat fra interne revisjoner og offentlige tilsyn
Relevante vurderinger og råd fra nasjonale sikkerhetsmyndigheter eller sektormyndigheter (årlige rapporter eller temarapporter)
Muligheter for forbedring av styringssystemet.

Mange av disse forholdene fremgår av NS-ISO/IEC 27001 kapittel 9, som må anses å uttrykke beste praksis på område

Dersom gjennomgangen avdekker at virksomhetens risikonivå ikke er akseptabelt, skal det vedtas tiltaksplaner for å rette opp dette, med tidsfrister og plassering av ansvar. Fordi tiltak innen informasjonssikkerhet og personvern ofte har økonomiske kostnader, og prioritet opp imot andre tiltak må avklares, bør tiltaksplanen inngå i budsjettprosessen til virksomheten.

Hvem som skal eller bør delta i ledelsens gjennomgang

Det fremgår av Normens krav om ledelsens gjennomgang, at gjennomgangen skal foretas av virksomhetens øverste ledelse. I tillegg bør ledere og sentrale fagpersoner på områder av betydning for informasjonssikkerhet og personvern, delta.

Gjennomgangen fasiliteres ofte av informasjonssikkerhetsleder, men denne oppgaven kan også være hensiktsmessig for personell med roller innen f.eks. personvern, virksomhetsstyring eller internrevisjon.

For små og mellomstore virksomheter som f.eks. en behandlingsklinikk eller et privat sykehus, kan det være naturlig at også ledergruppen er involvert i hele gjennomgangen. For de aller minste virksomhetene vil det kanskje være realistisk at alle de ansatte «tar sikkerhetspraten» i felleskap.

I store virksomheter som f.eks. et helseforetak, vil ansvarsområdet kunne omfatte mange og komplekse forhold. Mens selve ledelsens gjennomgang skal være på et overordnet nivå tilpasset toppledelsen, vil det være særlig viktig å gjennomgå detaljer med berørte enheter i virksomheten som en del av prosessen.

Hvordan ledelsens gjennomgang bør gjennomføres og dokumenteres

Ledelsens gjennomgang bør være på agendaen i et møte. Den som er gitt ansvaret for å fasilitere gjennomgangen bør utarbeide en agenda og sørge for at det blir avsatt tilstrekkelig tid.

Grunnlagsinformasjonen til møtet kan bestå av mange dokumenter med mye informasjon – spesielt i store virksomheter. Et tips kan være å ikke fremlegge dokumentene i sin helhet. Men i stedet utarbeide et saksfremlegg med en liste over hvilke dokumenter eller datauttrekk som utgjør grunnlaget, en oppsummering av de viktigste resultatene og utviklingstrekkene, og med tydelige anbefalinger om beslutninger.

Det er mulig å gjennomføre ledelsens gjennomgang for alle de ulike områdene i én og samme prosess, spesielt der mye er integrert i et stort helhetlig styringssystem. Fordelen er at det da er lettere å se indre sammenhenger og gjøre mer helhetlige tiltak, for eksempel mellom informasjonssikkerhet, personvern og pasientsikkerhet.

I praksis kan imidlertid en full gjennomgang av alle områdene i én og samme prosess bli for omfattende og lett føre til en for overfladisk behandling av hvert av områdene. Her må virksomhetene selv vurdere hva som blir mest hensiktsmessig i praksis.

I noen tilfeller kan de som fasiliterer og forbereder gjennomgangen oppdage at det er lite strukturert informasjon å basere seg på, typisk hvis styringssystemet er umodent og har vesentlige mangler. Dette vil være et funn i seg selv som er nyttig for ledelsen å vite om.

Da vil de sentrale temaene under gjennomgangen kunne handle om å forbedre bl.a. risikostyring, måling, avviksrapportering eller revisjoner, slik at neste ledelsens gjennomgang får et bedre beslutningsgrunnlag.

Ledelsens gjennomgang skal dokumenteres. I tillegg til at agendaen og saksfremlegget bør være skriftlig, må det dokumenteres hvilke temaer som faktisk ble gjennomgått og hvilke beslutninger som ble fattet. Normalt bør det derfor utarbeides et møtereferat der dette, samt hvem som deltok på møtet, fremgår. Det må utarbeides en tiltaksplan, f.eks. som vedlegg til referatet eller som et eget dokument.

Når det gjelder frekvensen på ledelsens gjennomgang, er minstekravet i Normen én gang i året. Virksomheten må selv vurdere om det er behov for noe utover dette. Det kan være særlig relevant når virksomheten gjennomgår endringer som for eksempel ved oppstart av nye oppgaver, omorganiserer, endret infrastruktur eller behandling av helse- og personopplysninger.

Eksempel:

Normland Helsesenter skal ta sikkerhetspraten – de skal gjennomføre ledelsens gjennomgang for første gang, i forbindelse med et møte for de ansatte. Helsesenterets leder Lena leder møtet. Helsesekretær Maren lager referat.

Hovedpunkter fra møtet:

Sjekkliste for sikkerhet: Må supplere oversikt over eksterne avtalepartnere med leverandør som håndterer makulering av papirdokumenter. Det mangler rutine for håndtering av elektroniske meldinger. Hva gjør vi hvis vi får feilmeldinger ved sending av f.eks henvisninger? Tiltak: Maren og kollega Morten lager forslag til rutine. Lena har overordnet ansvar for at det blir utført.
Avvik: Det har flere ganger ligget igjen sensitive dokumenter som pasienter har glemt igjen på venterommet. Tiltak er instruks til renholder: Finner man slike dokumenter skal de låses inn på resepsjonskontoret. Til Maren og kollega Morten lager forslag til rutine. Lena har overordnet ansvar for at det blir utført.
Risiko: Scenarioer gjengitt i veiledningsmateriell fra Normen er gjennomgått. Avdekket et scenario med ikke akseptabel risiko: Papirdokumenter scannes inn på feil pasient. Tiltak: Maren og kollega Morten lager forslag til rutine. Lena har overordnet ansvar for at det blir utført.
Oversikter (bl.a. ansvar, funksjoner og oppgaver): Ingen endringer utover makulering som nevnt over • Oppfølging av leverandører og databehandlere: Dårlig tilgjengelighet på support hos EPJtjenesteleverandør. Følges opp av Lena mot kontaktperson.
Maren lagrer referatet i internkontrollsystemet etter at det er godkjent av Lena.

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 02. juni 2022