Alle virksomheter i helse- og omsorgstjenesten skal etablere styringssystem for informasjonssikkerhet og personvern.
Se også personvernforordningen artikkel 24 og 32, pasientjournalloven §§ 22 og 23,
helseregisterloven §§ 21 og 22 og forskrift om ledelse og kvalitetsforbedring i helse- og
omsorgstjenesten §§ 3 og 5 til 9.
Begrepene styringssystem, ledelsessystem og internkontroll benyttes om hverandre i faglitteraturen. Styringssystem og ledelsessystem benyttes typisk når det er snakk om informasjonssikkerhet, og begrepet internkontroll benyttes når det er snakk om personvern.
Med styringssystem menes formalisering av hvordan virksomheten planlegger, gjennomfører, evaluerer og korrigerer etterlevelse av relevante eksterne og interne føringer, som eksempelvis føringer i lov og forskrift, tildelingsbrev, avtaler med leverandører og kunder, og interne policyer, retningslinjer og krav.
Et godt styringssystem bidrar til at virksomheter i helse- og omsorgssektoren oppnår sine virksomhetsmål om å levere gode tjenester for pasienter og brukere, i tillegg til etterlevelse.
NS-ISO/IEC 27701 beskriver informasjonshåndteringssystem for personvern (PIMS) basert på ledelsesstandarden for informasjonssikkerhet, NS-EN ISO/IEC 27001, og kan være et nyttig verktøy for å integrere styringssystem også på personvernområdet.
Styringssystemet kan også fremstilles som et tredelt hierarki, med en styrende, gjennomførende og kontrollerende del. Dette illustreres i figuren som følger.
Formålet med et styringssystem for informasjonssikkerhet og personvern er å:
- sikre at virksomheten har tilstrekkelig styring og kontroll på informasjonssikkerheten, herunder sikring av informasjonens konfidensialitet, integritet og tilgjengelighet
- sikre og påvise virksomhetens etterlevelse av personvernlovgivningen i samsvar med kravene som beskrives i personvernforordningen artikkel 5 og artikkel 24, pasientjournalloven § 23 og helseregisterloven § 22
- sikre at arbeidet med informasjonssikkerhet og personvern ivaretas på en systematisk måte
- være et verktøy for sikre at nødvendige sikkerhetstiltak etableres i virksomheten mot tilsiktede og utilsiktede hendelser som kan påvirke behandlingen av helse- og personopplysninger.
For alle offentlige virksomheter i sektoren skal det beskrives mål og etableres en strategi for informasjonssikkerhet.
Forskrift om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften) § 15 beskriver videre at internkontroll på informasjonssikkerhetsområdet skal basere seg på anerkjente standarder for styringssystem for informasjonssikkerhet.
Dette er med på å danne grunnlaget for styringssystemet. Også private virksomheter bør beskrive mål og etablere en informasjonssikkerhetsstrategi i samsvar med god praksis.
Se ISO/IEC 27001 kapittel 6.2 (digdir.no)
Risikostyringsprosessen er en svært viktig del av styringssystemet, og danner grunnlag for å avklare hvilke eksisterende tiltak som er tilfredsstillende, samt hvilke tiltak som må gjennomføres for å oppnå tilstrekkelig informasjonssikkerhet og personvern. Flere detaljer om denne prosessen finnes i Veileder om risikostyring i helse- og omsorgssektoren.
At oppbyggingen av styringssystem for personvern og informasjonssikkerhet skal være risikobasert, følger av personvernforordningen artikkel 24 og 32, pasientjournalloven §§ 22 og 23, helseregisterloven §§ 21 og 22. Dette har også støtte i forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten § 5, som uttrykkelig pålegger virksomheten å ta hensyn til risikoforhold når den utarbeider styringssystem som skal sikre ivaretakelse av krav i helse- og omsorgslovgivningen.
Omfanget av styringssystemet og valg av egnede sikkerhetstiltak skal tilpasses virksomhetens størrelse, egenart og aktiviteter og behandlingene av helse- og personopplysningenes art, omfang, formål og sammenhengen den utføres i. Dette innebærer at styringssystemet i mindre helsevirksomheter ikke trenger å være like omfattende som styringssystemet til mer komplekse virksomheter. (LENKE Normen 6, kap 2.4?)
Kontinuerlig forbedring
Styringssystem for informasjonssikkerhet og personvern skal sikre at arbeidet med personvern og informasjonssikkerhet blir en kontinuerlig prosess. Det betyr at virksomheten hele tiden bør søke å forbedre seg og videreutvikle systemet i takt med endringer som påvirker informasjonssikkerhet og personvern i virksomheten. Virksomheten må også følge opp svakheter i styringsaktiviteter og tiltak må identifiseres og korrigeres.
For å sikre en helhetlig styring av risiko, anbefales det at styringssystemet for informasjonssikkerhet og personvern integreres i det totale styringssystemet i virksomheten.
Virksomheten oppnår flere fordeler knyttet til effektivitet og samordning ved å gjøre dette. Eksempelvis vil virksomheten unngå å operere med, og vedlikeholde, flere parallelle styringssystemer som i verste fall kan være motstridende på enkelte punkter. Videre er det enklere for ledelse å prioritere ressursfordeling ved å se på det helhetlige risikobildet virksomheten står overfor.
De aller fleste prosesser og aktiviteter som utføres i helse- og omsorgs-virksomheter involverer behandling av informasjon med beskyttelsesbehov i større eller mindre grad. Det er naturlig at den største oppmerksomheten rettes mot informasjon som behandles av helsepersonell ifm. ytelse av helsehjelp.
Det er imidlertid viktig med oppmerksomhet om informasjonssikkerhet og personvern også der informasjonen brukes «sekundært», som for eksempel ved betaling og fakturering, forskning og som arbeidsgiver.
Krav til dokumentasjon
Det er krav til at styringssystemet dokumenteres, og at dokumentene holdes løpende oppdatert og eldre versjoner arkiveres.[26] Avslutningsvis i dette kapitlet vises et eksempel på hvilke typer dokumenter som skal eller bør utarbeides i virksomhetens styringssystem.
Dokumentasjon av risiko og tiltak knyttet til informasjonssikkerhet skal sikres ut fra de behov for sikkerhet som foreligger. Dersom dokumentasjon skal deles med annen virksomhet må dataansvarlig vurdere om detaljert informasjon som kan ha sikkerhetsmessig betydning skal fjernes før utlevering. Dette kan være for eksempel være informasjon om sårbarheter i egne virksomhetsprosesser eller systemer.
I dette kapitlet presenteres et eksempel på oppbygging av dokumentasjonen for et styringssystem for informasjonssikkerhet og personvern hos en helsevirksomhet. Dette eksempelet tar utgangspunkt i en hierarkisk oppbygning, med en styrende, gjennomførende og kontrollerende del.
Den styrende dokumentasjonen inneholder ledelsens krav til informasjonssikkerhet og personvern og beskriver de overordnede føringene som gjelder i virksomheten. Videre beskrives sikkerhetsorganisasjonen med hvilke roller som er ansvarlig for oppgavene på ulike nivåer. Som utgangspunkt for arbeidet med informasjonssikkerhet og personvern skal det utarbeides og vedlikeholdes en oversikt over hvilke behandlinger av helse- og personopplysninger virksomheten utfører.
Den gjennomførende dokumentasjonen inneholder detaljerte rutiner, instrukser og prosessbeskrivelser som skal sikre etterlevelse av kravene til informasjonssikkerhet og personvern som er beskrevet i den styrende dokumentasjonen.
Reglene og kravene gjelder både ledelsen, den enkelte medarbeider og ansvarlige for informasjonsteknologi. Det handler ikke nødvendigvis om å beskrive nye rutiner, instrukser og prosessbeskrivelser, det kan like gjerne være dokumentasjon av allerede eksisterende aktiviteter. I sin enkleste form kan en prosessbeskrivelse være en sjekkliste.
Den kontrollerende dokumentasjonen beskriver kontrollmekanismene som skal benyttes for å kontrollere at målene oppnås, kravene etterleves samt at rutinene følges. Den kontrollerende dokumentasjonen kan for eksempel være rutine for ledelsens gjennomgang, revisjonsplaner og -rapporter, logger fra systemene og avviksrapporter.
I Vedlegg 3.2 er det listet opp et eksempel på hva styringssystemet for informasjonssikkerhet og personvern kan inneholde for en helsevirksomhet.
