Normen sier i kapittel 5.3.6 Medisinsk utstyr, at medisinsk utstyr som behandler helse- og personopplysninger skal inkluderes i virksomhetens arbeid med informasjonssikkerhet, herunder i risikovurderinger, tilgangsstyring, endringskontroll og rutiner for bruk, på linje med andre informasjonssystemer.
For mer informasjon om styringssystem (ledelsessystem) for informasjonssikkerhet, se Normens kapittel 2. Ledelse og ansvar, og Normens veileder for internkontroll for informasjonssikkerhet og personvern
Noen dokumenter og områder i styringssystemet der MU bør inkluderes:
- Ansvar for forvaltning av MU synliggjøres i beskrivelse av sikkerhetsorganisasjonen. Hvis det er etablert egne sikkerhetsfunksjoner knyttet til MU (f.eks. medical it-network risk manager) skal dette fremgå av beskrivelsen.
- Virksomheten bør etablere faste samarbeidsfora mellom miljøene som er ansvarlig for sikkerhet, MU og IKT. Hvis virksomheten har etablert et sikkerhetsforum, bør representanter for forvaltning av MU inngå her. Klinisk side bør også være representert.
- Leverandører av medisinsk utstyr som f.eks. yter fjernsupport eller supporttjenester på MU som behandler helse- og personopplysninger bør inngå i oversikt over leverandører.
- MU og systemer som benyttes i tilknytning til MU som behandler helse- og personopplysninger, skal inngå i protokoll over behandlinger av helse- og personopplysninger.
- Nødvendige avtaler med leverandører skal være på plass, f.eks. databehandleravtaler.
- MU skal inkluderes i den gjennomførende delen av styringssystemet, f.eks.:
- Opplæring og bevisstgjøring
- Tilgangsstyring og hendelsesregistrering
- Rutiner for bruk
- MU skal inkluderes i den kontrollerende delen av styringssystemet.
- Avviksbehandling ved brudd på informasjonssikkerheten og personopplysningssikkerheten: Dersom bruddet har medført middels eller høy risiko for den registrerte, skal avviket rapporteres til Datatilsynet innen 72 timer. Dette inkluderer avvik som fører til utilsiktet, eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret, eller på annen måte behandlet. Virksomhetene må også være oppmerksom på at hendelser som skyldes informasjonssikkerhetsbrudd kan være aktuelle å melde etter retningslinjer for meldeplikt etter forskriftene om medisinsk utstyr
- Inkludere MU i virksomhetens sikkerhetsrevisjoner, f.eks. ved etterkontroll av gjennomførte sikkerhetstiltak.
- Inkludere MU i gjennomføring av risikovurderinger. Det er vesentlig å involvere klinisk ansvarlige i risikovurderingene.
- Inkludere MU i ledelsens gjennomgang, f.eks. ved å diskutere hvilke deler av den medisinske utstyrsparken der sikkerhetstiltak skal prioriteres etter gjennomførte risikovurderinger.
