Du er her: Telemed.no > Nyhetsarkiv > >

Styringssystem for informasjonssikkerhet ved legekontor

2003.08.15 av Eva Skipenes

Personopplysningsloven stiller krav om at virksomhetene gjennom planlagte og systematiske tiltak skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå en slik tilfredsstillende sikkerhet må informasjonssystemet og sikkerhetstiltakene dokumenteres. NST har laget et eksempel på styringssystem for informasjonssikkerhet og på risikovurdering ved et legekontor.

I forskriftene til personopplysningsloven stilles det krav om at den enkelte virksomhet (ved databehandlingsansvarlig) skal etablere et internt styringssystem for informasjonssikkerhet, med jevnlig sikkerhetsrevisjon. Helseforetak og institusjoner er gjennom personopplysningsforskriften § 2-4 pålagt å gjennomføre risikovurdering.

Datatilsynet gjennomførte i 2002 og 2003 flere kontroller i helsevesenet, både på sykehus og ved legekontor.
Resultatene var til dels dårlige. Blant de tingene som Datatilsynet fant som mangelfulle i sine kontroller var rutiner for internkontroll, dokumentasjon av sikkerhetssystemer, risikovurderinger og struktur på ansvar og myndighet.

For å hjelpe legekontorene med å komme i gang med dette arbeidet har Nasjonalt senter for telemedisin (NST) laget et eksempel på styringssystem for informasjonssikkerhet, og et eksempel på risikovurdering ved et legekontor. Selv om eksempelet er "skreddersydd" for legekontor, vil det kunne gi nyttige tips om utforming av styringssystem for informasjonssikkerhet også for andre mindre virksomheter. Vi tar gjerne imot tilbakemeldinger på eksemplene (mangler, kompleksitet, omfang etc.). Kommentarer kan sendes til eva.skipenes@telemed.no og eva.henriksen@telemed.no.

Styringssystemet består av flere typer dokumenter. Eksemplene under punktene 1, 2 og 3 (bortsett fra Prosedyre for intern opplæring) kan finnes ved å følge de respektive linkene. Eksempelet på risikovurdering inkludert konkrete trusseleksempler finnes under den respektive linken.

1. Overordnet styringsdokument

Dokumentet skal inneholde beskrivelse av de beslutninger som ligger til grunn for sikkerhetsarbeidet - det vil si beskrivelse av sikkerhetsmål og sikkerhetsstrategi.

Ansvar og myndighet knyttet til sikkerhetsarbeidet skal beskrives, samt ansvar og myndighet knyttet til informasjonssystemet.

2: Systemdokumentasjon

Dette er en overordnet beskrivelse av informasjonssystemet.

3: Prosedyredokumenter

· Retningslinjer for bruk av datasystemene ved XX legekontor

· Prosedyre for sikkerhetskopiering (backup)

· Prosedyre for avviksregistrering

· Prosedyre for sikkerhetsrevisjon

· Prosedyre for forebyggende systemvedlikehold (inkludert sikkerhet)

· Prosedyre for intern opplæring

4. Rapporteringer

· Risikovurderingsrapport (er)

· Referat fra sikkerhetsgjennomganger

· Rapporter fra avviksbehandling

5. Andre dokumenter

· Kontrakter med underleverandører

· Brukerhåndbøker, et sett.

· Interne installasjonsveiledere

· Nødvendige spesifikasjoner av systeminnstillinger

· Signaturlister for gjennomført brukeropplæring

Styringssystemet skal revideres årlig og være underlagt versjonskontroll. Når det gjøres endringer skal gamle versjoner arkiveres i papirformat i 5 år etter revisjonen.

Del på Facebook

Del på Twitter

Tips en venn
Send til e-post:
Fra e-post:
Melding:
Kode	Vennligst skriv inn anti-SPAM-koden du ser nedenfor.