3.2. Eksempel på styringssystemets innhold

I tabellen under er det listet opp et eksempel på hva styringssystemet for informasjonssikkerhet og personvern kan inneholde for en helsevirksomhet. Listene er veiledende og ikke uttømmende. Eksempelet betyr ikke at de ulike punktene som nevnes nødvendigvis bør være separate dokumenter.

Det er innholdet som er viktig – styringssystemet kan fordeles på få eller mange dokumenter iht. virksomhetens størrelse og behov. Hensikten med dette eksempelet er å vise de ulike temaene som naturlig inngår i et styringssystem.

1. Styrende del:
Beskrivelse av sikkerhetsmål og strategi for informasjonssikkerhet Overordnede føringer for bruk av informasjonsteknologi Beskrivelse av roller og ansvar i arbeidet med informasjonssikkerhet og personvern Oversikt over behandlinger av helse- og personopplysninger. Se Protokoll over behandlinger av helse- og personopplysninger i virksomheten, faktaark 13 (helsedirektoratet.no) Vurdering av akseptabel risiko Systemoversikt og klassifisering av systemer IKT-sikkerhetsinstruks Rutine for plan for og gjennomføring av risikovurdering og oppfølging av resultater fra risikovurderinger

1. Styrende del:

Beskrivelse av sikkerhetsmål og strategi for informasjonssikkerhet
Overordnede føringer for bruk av informasjonsteknologi
Beskrivelse av roller og ansvar i arbeidet med informasjonssikkerhet og personvern
Oversikt over behandlinger av helse- og personopplysninger. Se Protokoll over behandlinger av helse- og personopplysninger i virksomheten, faktaark 13 (helsedirektoratet.no)
Vurdering av akseptabel risiko
Systemoversikt og klassifisering av systemer
IKT-sikkerhetsinstruks
Rutine for plan for og gjennomføring av risikovurdering og oppfølging av resultater fra risikovurderinger

2. Gjennomførende del:
Rutine og mal for gjennomføring av risikovurdering (se kapittel om risikovurdering i Normens veileder om risikostyring i helse- og omsorgssektoren) Rutine for gjennomføring av DPIA, med tilhørende mal (se kapittel om vurdering av personvernkonsekvenser i Normens Veileder om risikostyring i helse- og omsorgssektoren) Mal for databehandleravtaler Oversikt over databehandlere og leverandører med avtaler Rutine (og eventuelt sjekkliste) for oppstart og endring av behandlingsaktiviteter (herunder ivaretakelse av personvernprinsippene Personvernprinsippene, faktaark 57 (helsedirektoratet.no) og kravene til overføring av personopplysninger til tredjeland Rutine for autorisering, endring og avslutning av tilganger Rutine for administrasjon av nøkler og adgangskort i adgangskontrollsystemet Rutine for oppretting og vedlikehold av autorisasjonsregister Rutine for å sammenstille logger med autorisasjonsregisteret Rutine for bruk av mobilt utstyr og hjemmekontor Rutine for den registrertes innsyn i helse- og personopplysninger Rutine for utlevering av helse- og personopplysninger til andre Rutine for ivaretakelse av reservasjonsretten (kan kombineres med rutine for håndtering av protester mot behandling av personopplysninger og krav om begrenset behandling av personopplysninger) Rutine for å gi informasjon til den registrerte om personvernrettigheter Rutine for innhenting av informert samtykke Rutine for håndtering av helse- og personopplysninger (herunder retting, oppbevaring, lagring og sletting/makulering) Konfigurasjonskart over informasjonssystemene og teknisk beskrivelse av konfigurasjonen Rutine for konfigurasjonskontroll og konfigurasjonsendringer Rutine for styring og håndtering av tekniske sårbarheter Rutine for endringsledelse i forbindelse med programendringer Regler for håndtering av passord Rutine for sikkerhetskopiering (back-up) Bruk av Norsk Helsenett (helsenettet) Regler for fysisk sikring av lokaler og områder Rutine for opplæring i informasjonssikkerhet Rutine for lagring av informasjon på egen brukerkonto Rutine for digital kommunikasjon med og om pasienter Rutine for bruk av e-post, telefaks og mobiltelefon Rutine for hendelsesregistrering Taushetserklæring for ansatte ved tiltredelse Rutine og skjema for taushets- og brukererklæring for andre som skal ha tilgang til helse- og personopplysninger Rutine for anonymisering av helse- og personopplysninger Rutiner for bruk av informasjonssystemer Nødrutine for alternativ drift uten bruk av informasjonssystemene Nødrutine for alternativ drift med delvis støtte fra informasjonssystemene Rutine for tilgang til helseopplysninger mellom virksomheter Rutine for kontroll av tilgang til helseopplysninger mellom virksomheter Rutine for forskning på helse- og personopplysninger Rutine for utlevering av helseopplysninger til kvalitetssikring og læring Rutine for tilkobling av teknisk utstyr til internett Rutine for håndtering av flyttbare datalagringsmedier Rutine for bruk datanettverk Rutine for bruk av trådløs teknologi Regler for sikkerhet i nettverks- og tilgangssoner Rutine for tilknytning av leverandør for fjernaksess Krav til IKT-leverandør ved service og vedlikehold

2. Gjennomførende del:

Rutine og mal for gjennomføring av risikovurdering (se kapittel om risikovurdering i Normens veileder om risikostyring i helse- og omsorgssektoren)
Rutine for gjennomføring av DPIA, med tilhørende mal (se kapittel om vurdering av personvernkonsekvenser i Normens Veileder om risikostyring i helse- og omsorgssektoren)
Mal for databehandleravtaler
Oversikt over databehandlere og leverandører med avtaler
Rutine (og eventuelt sjekkliste) for oppstart og endring av behandlingsaktiviteter (herunder ivaretakelse av personvernprinsippene Personvernprinsippene, faktaark 57 (helsedirektoratet.no) og kravene til overføring av personopplysninger til tredjeland
Rutine for autorisering, endring og avslutning av tilganger
Rutine for administrasjon av nøkler og adgangskort i adgangskontrollsystemet
Rutine for oppretting og vedlikehold av autorisasjonsregister
Rutine for å sammenstille logger med autorisasjonsregisteret
Rutine for bruk av mobilt utstyr og hjemmekontor
Rutine for den registrertes innsyn i helse- og personopplysninger
Rutine for utlevering av helse- og personopplysninger til andre
Rutine for ivaretakelse av reservasjonsretten (kan kombineres med rutine for håndtering av protester mot behandling av personopplysninger og krav om begrenset behandling av personopplysninger)
Rutine for å gi informasjon til den registrerte om personvernrettigheter
Rutine for innhenting av informert samtykke
Rutine for håndtering av helse- og personopplysninger (herunder retting, oppbevaring, lagring og sletting/makulering)
Konfigurasjonskart over informasjonssystemene og teknisk beskrivelse av konfigurasjonen
Rutine for konfigurasjonskontroll og konfigurasjonsendringer
Rutine for styring og håndtering av tekniske sårbarheter
Rutine for endringsledelse i forbindelse med programendringer
Regler for håndtering av passord
Rutine for sikkerhetskopiering (back-up)
Bruk av Norsk Helsenett (helsenettet)
Regler for fysisk sikring av lokaler og områder
Rutine for opplæring i informasjonssikkerhet
Rutine for lagring av informasjon på egen brukerkonto
Rutine for digital kommunikasjon med og om pasienter
Rutine for bruk av e-post, telefaks og mobiltelefon
Rutine for hendelsesregistrering
Taushetserklæring for ansatte ved tiltredelse
Rutine og skjema for taushets- og brukererklæring for andre som skal ha tilgang til helse- og personopplysninger
Rutine for anonymisering av helse- og personopplysninger
Rutiner for bruk av informasjonssystemer
Nødrutine for alternativ drift uten bruk av informasjonssystemene
Nødrutine for alternativ drift med delvis støtte fra informasjonssystemene
Rutine for tilgang til helseopplysninger mellom virksomheter
Rutine for kontroll av tilgang til helseopplysninger mellom virksomheter
Rutine for forskning på helse- og personopplysninger
Rutine for utlevering av helseopplysninger til kvalitetssikring og læring
Rutine for tilkobling av teknisk utstyr til internett
Rutine for håndtering av flyttbare datalagringsmedier
Rutine for bruk datanettverk
Rutine for bruk av trådløs teknologi
Regler for sikkerhet i nettverks- og tilgangssoner
Rutine for tilknytning av leverandør for fjernaksess
Krav til IKT-leverandør ved service og vedlikehold

3. Kontrollerende del:
Rutine for avviksbehandling (se kapittel 2.4 i denne veilederen) Rutine for ledelsens gjennomgang (gjennomføres minimum en gang i året) (Se kapittel 2.5/kapittel 2.3 i denne veilederen) Rutine for regelmessig gjennomføring av sikkerhetsrevisjoner. Se Sikkerhetsrevisjon , faktaark 06 (helsedirektoratet.no). Rutine for oppfølging av resultater av risikovurdering Rutine for oppfølging av logger i behandlingsrettede helseregistre (se Normens veileder om tilgangsstyring)

3. Kontrollerende del:

Rutine for avviksbehandling (se kapittel 2.4 i denne veilederen)
Rutine for ledelsens gjennomgang (gjennomføres minimum en gang i året) (Se kapittel 2.5/kapittel 2.3 i denne veilederen)
Rutine for regelmessig gjennomføring av sikkerhetsrevisjoner. Se Sikkerhetsrevisjon , faktaark 06 (helsedirektoratet.no).
Rutine for oppfølging av resultater av risikovurdering
Rutine for oppfølging av logger i behandlingsrettede helseregistre (se Normens veileder om tilgangsstyring)

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 02. juni 2022