Bakgrunn
Nåværende versjon av Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen) har økt fokus på risikostyring utover selve risikovurderingen, sammenlignet med tidligere versjoner av Normen.
Helse- og omsorgsdepartementet har også gjennom rundskriv av 2019 gitt oppmerksomhet til temaet, og klargjort en del problemstillinger knyttet til informasjonshåndtering, pasientsikkerhet, personvern og informasjonssikkerhet.
Normens veiledningsmateriell for ulike aktiviteter som inngår i risikostyringen i helse- og omsorgssektoren har tidligere vært fordelt på en rekke ulike faktaark, som
- Faktaark 4 – Kartlegge og klassifisere systemer (sanert)
- Faktaark 5 – Fastsette nivå for akseptabel risiko (sanert)
- Faktaark 7 – Risikovurdering (sanert)
Implementeringen av personvernforordningen tydeliggjorde kravet til vurdering av personvernkonsekvenser, som gjorde det naturlig for Normen å også knytte dette temaet nærmere de andre aktivitetene.
På bakgrunn av denne utviklingen har det vært behov for å oppdatere veiledningsmateriellet på risikoområdet for å sette de ulike risikorelaterte aktivitetene inn i en større sammenheng, i en egen veileder om risikostyring for helse- og omsorgssektoren.
Om veilederen
Denne veilederen skal gi veiledning til, og bidra til etterlevelse av, kravene i Normen knyttet til risikostyring.
Risikostyring beskrives i Normens kapittel 3 som koordinerte aktiviteter for å rettlede og kontrollere en organisasjon med hensyn til risiko.
Det omfatter å få oversikt over informasjon og teknologi i virksomheten, identifisere trusler og mulige uønskede hendelser for både virksomheten og de registrerte, analysere risikoen og etablere tiltak for å opprettholde nivå for akseptabel risiko.
Veilederen gjengir Normens krav overordnet i kapittel 1.4 Krav i Normen, mens nærmere utdypning av kravene og hvordan de kan løses i praksis følger i kapittel 2 Risikostyring i helse- og omsorgssektoren.
Målgruppe
Målgruppen for veilederen er virksomheter som omfattes av Normen og som skal sikre etterlevelse av Normens krav, herunder dataansvarlig.
Veilederen er nyttig for alle ledere og medarbeidere i helse- og omsorgssektoren med en rolle innenfor risikostyringen, eller som har behov for å forstå hvordan risiko styres og håndteres i egen sektor eller virksomhet. Lederansvaret får særlig fokus i kapittelet om roller og ansvar, men ledere i helse- og omsorgssektoren er en særlig viktig målgruppe for veilederen som helhet. Kapittelet om risikovurdering vil være særlig relevant for medarbeidere som skal delta i en risikovurdering.
De som skal lede risikovurderingsprosesser i virksomheten bør lese hele veilederen.
Veilederen kan også være nyttig for systemleverandører og andre samarbeidspartnere til helse- og omsorgssektoren, som på grunn av sin leveranse eller engasjement er omfattet av Normen 6.0 gjennom avtale med virksomheten eller Norsk Helsenett SF. Særlig gjelder dette der databehandlere eller andre skal bidra til risikovurderinger eller andre deler av dataansvarliges risikostyring.
Krav i Normen
Denne veilederen tar i all hovedsak for seg kravene i Normens kapittel 3. Risikostyring. Øvrige krav som berøres inkluderer krav om roller og ansvar i kapittel 2. Ledelse og ansvar.
Tabellen som følger, gir en oversikt over sentrale krav for risikostyring fra Normen. Merk at tabellen ikke er uttømmende for en virksomhets totale risikostyring, og at mer om hvordan kravene i tabellen kan løses i praksis følger i kapittel 2 Risikostyring i helse- og omsorgssektoren.
Virksomheten er ansvarlig for å | Se mer om kravet i Normen |
Sørge for at virksomheten følger gjeldende krav til informasjonssikkerhet og personvern, og at virksomhetens informasjonsbehandling gir et sikkerhetsnivå som er egnet med hensyn til risikoen og behandlingens art. Dette inkluderer å sette føringer for vurdering og håndtering av risiko, herunder fastsette kriterier for å akseptere risiko, samt å sørge for velfungerende styring og kontroll. Dette ansvaret ligger hos virksomhetens øverste ledelse. | Kapittel 2. Ledelse og ansvar; Kapittel 2.2 Dataansvarliges ansvar
|
Bistå dataansvarlig med personvern og informasjonssikkerhet slik at egnet sikkerhetsnivå blir ivaretatt i de tilfeller der virksomheten er databehandler. | Kapittel 2. Databehandlers ansvar |
Etablere koordinerte aktiviteter for å rettlede og kontrollere virksomheten med hensyn til risiko (risikostyring). | Kapittel 3. Risikostyring |
Etablere forholdsmessige tekniske og organisatoriske tiltak. | Kapittel 3.1 Forholdsmessighet ved valg av tiltak |
Sørge for at virksomhetens behandlinger har et egnet sikkerhetsnivå i tråd med Normens minimumskrav til informasjonssikkerhet og eventuelt egne informasjonssikkerhetsmål | Kapittel 3.2 Minimumskrav for å sikre konfidensialitet, integritet, tilgjengelighet og robusthet |
Ha oversikt over teknologi og behandling av helseopplysninger, inkludert
| 3.3 Oversikt over teknologi og behandling av helse- og personopplysninger
|
Vurdere og håndtere risiko, med utgangspunkt i kartlegging av informasjonsverdier og hva som vil bli konsekvensen av hendelser som rammer tilgjengeligheten, integriteten og konfidensialiteten til informasjonsverdiene. Virksomheten skal vurdere sannsynligheten for og mulige konsekvenser av at en hendelse inntreffer. Dersom risikoen er uakseptabel, skal virksomheten gjennomføre tiltak for å redusere risikoen. | Kapittel 3.4 Risikovurdering og risikohåndtering |
Vurdere hvilke konsekvenser behandling av helse- og personopplysninger medfører for den registrerte. Hvis det er sannsynlig at en behandling medfører høy risiko for de registrerte, skal virksomheten gjennomføre en mer grundig personvernkonsekvensvurdering, også kalt DPIA. | Kapittel 3.5 Vurdering av personvernkonsekvenser; Kapittel 3.5.1 Personvernkonsekvensvurdering |
Relevante lov- og forskriftsbestemmelser, standarder og andre rammeverk
Forskrift for ledelse og kvalitetsforbedring i helse- og omsorgstjenesten skal bidra til faglig forsvarlige helse- og omsorgstjenester, kvalitetsforbedring og pasient- og brukersikkerhet, og at øvrige krav i helse- og omsorgslovgivningen etterleves.
Dette skal blant annet gjøres ved å etablere internkontroll og arbeide systematisk, og særlig § 5-6 er relevante for kravene som ligger til grunn for denne veilederen. De beskriver henholdsvis at man skal tilpasse styringssystemet sitt etter blant annet risikoforhold; og at man skal ha oversikt over områder med risiko i virksomheten og hvordan man kan minimalisere denne Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten - (lovdata.no)
Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) beskriver virksomheters plikter ved behandling av helseopplysninger, og § 22 fremhever at dataansvarlige og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, og viser til personvernforordningens artikkel 32 Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) - (lovdata.no)
Det er flere artikler fra Lov om behandling av personopplysninger (personopplysningsloven) som er relevante for kravene som dekkes av denne veilederen. Loven gjennomfører personvernforordningen (GDPR) i Norge. Forordningens artikkel 24 beskriver dataansvarliges ansvar, og beskriver at virksomheten skal gjennomføre egnede tekniske og organisatoriske tiltak basert på risiko for fysiske personers rettigheter og friheter Lov om behandling av personopplysninger (personopplysningsloven) - (lovdata.no).
Det samme fremheves i forordningens artikkel 32, som fremhever at virksomheten skal ta hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad, for å gjennomføre egnede tekniske og organisatoriske tiltak.
Videre beskrives at ved vurderingen av egnet sikkerhetsnivå skal det særlig tas hensyn til omstendighetene og risikoene forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet Lov om behandling av personopplysninger (personopplysningsloven) - (lovdata.no)
Se for øvrig vedlegget til Normen, med samlet oversikt over alle Normens krav og lovhjemmel for disse.
I tillegg til Normens krav, som er grunnlaget for Normens veiledning, baseres metoden for risikovurdering blant annet på elementer fra NS 5814 – Krav til risikovurderinger fra Norsk Standard. Standarden ble første gang utgitt i 2008 og den nyeste utgaven kom i mai 2021. Standarden har innlemmet aktiviteter, begreper og kvaliteter fra to andre risikostandarder,NS 5832 og NS-ISO 31000, for å vise risikovurderingenes plass i den overordnede risikostyringen (standard.no)
Videre ser denne veilederen hen til Digitaliseringsdirektoratets veiledningsmateriell innen internkontroll og risikostyring, som Internkontroll i praksis – informasjonssikkerhet (digdir.no)
samt sentrale krav og aktiviteter som beskrives i Digitaliseringsdirektoratets sammenstilling av standarden ISO/IEC 27001:2013 tilpasset norsk offentlig sektor (digdir.no).
Det samme gjelder Veiledning i helhetlig styring og kontroll av informasjonssikkerhet (digdir.no) som er resultatet av et samarbeid mellom Nasjonal sikkerhetsmyndighet, Direktoratet for forvaltning og økonomistyring og Digitaliseringsdirektoratet, med bidrag fra Datatilsynet og KS.
Avgrensing
Denne veilederen er avgrenset til risikostyring innenfor Normens temaområder i helse- og omsorgssektoren. Det er i all hovedsak kravene i Normens kapittel 3. Risikostyring som behandles i denne veilederen. Øvrige krav som berøres inkluderer krav om roller og ansvar i kapittel 2. Ledelse og ansvar.
Når anbefalingene i veilederen tas i bruk i virksomheten, må de tilpasses med utgangspunkt i virksomhetens kompleksitet og størrelse, samt konkrete behov og oppgaver. Det kan være ulike måter å etterleve enkeltkrav på.
Selv om risikostyring er en prosess som er en del av en virksomhets helhetlige internkontroll tar ikke denne veilederen for seg øvrige krav som er en del av internkontrollen. Disse beskrives i Veileder om internkontroll, som ble utviklet parallell med denne veilederen. Det vil være nyttig å lese særlig kapittel 2.1 om roller og ansvar i internkontrollveilederen, for å sørge for en god forståelse av disse prosessene.
