Om Normen
Norm for informasjonssikkerhet ble formelt lansert 7. september 2006, og har i dag sitt organisatoriske knutepunkt og sekretariat hos Direktoratet for e-helse.
Stadig større deler av kommunikasjonen i helse- og omsorgssektoren foregår elektronisk. De utfordringer dette medfører for personvernet ble bakgrunnen for at Helsedirektoratet i 2002 tok initiativ til å utarbeide omforente regler for trygg og sikker informasjonsutveksling mellom aktørene i sektoren.
Fra 1. januar 2016 har Norm for informasjonssikkerhet hatt sitt sekretariat hos Direktoratet for e-helse.
Om Normen
Normen skal bidra til å etablere mekanismer hvor virksomhetene kan ha gjensidig tillit til at behandling av helse- og personopplysninger gjennomføres på et forsvarlig sikkerhetsnivå.
Normen stiller krav som detaljerer og supplerer gjeldende regelverk. Normen er imidlertid ikke heldekkende. Helseregisterloven, personopplysningsloven og øvrig regelverk stiller enkelte krav til behandling av helse- og personopplysninger utover det som er tema for Normen.
Normen er utarbeidet av representanter for helse-, omsorgs- og sosialsektoren og forvaltes av styringsgruppen for Norm for informasjonssikkerhet.
Styringsgruppe
Styringsgruppen er sammensatt av representanter fra helse- og omsorgssektoren. Styringsgruppen møtes minimum halvårlig, men normalt fire ganger i året (februar/mars, juni, oktober og desember).
Direktoratet for e-helse er sekretariat for styringsgruppens arbeid, med fast deltakelse fra Norsk Helsenett (NHN).
| Medlem | Representant |
| KS | Trond Sundby Suhail Mushtaq |
| Den norske legeforening | Petter Hurlen |
| Den norske tannlegeforening | Kirsten Ahlsen |
| Norsk sykepleierforbund | Jo Cranner |
| Apotekforeningen | Ingar Dahl |
| Norsk farmaceutisk forening | Mathias Moen Østvold |
| Regionale helseforetak Helse Sør-Øst: Helse Vest: Helse Midt-Norge: Helse Nord: |
Henriette Henriksen Lars Erik Baugstø-Hartvigsen (leder)
Ida-Kristin Martinussen |
| Norsk Helsenett | Jostein Jensen |
| Helsedirektoratet | Lars Martin Birkeland |
| Direktoratet for e-helse | Kåre Ljungmann |
| Folkehelseinstituttet | Pål Solerød |
| As Med-Lab | Sten-Tore Fiskerud |
| NAV | Johs. Hammer |
| Den offentlige tannhelsetjeneste | |
| Norsk psykologforening | Julius Okkenhaug |
| Norsk Fysioterapeutforbund | Henrietta Richter Uitdenbogaardt |
| Observatører: | |
| Helse- og omsorgsdepartementet | Marte Rønningen |
| Difi | Jon Berge Holden |
Mandat for styringsgruppen for Normen
Mandatet beskriver formål, oppgaver, sammensetting, organisering og arbeidsform for styringsgruppen.
Mandat for styringsgruppen for forvaltning av Norm for informasjonssikkerhet (PDF)
Mandatet ble opprinnelig vedtatt i 2007. Det nåværende mandatet ble vedtatt av styringsgruppen i juni 2013.
Vedlegg til mandatet
Til mandatet finnes to vedlegg: En liste over styringsgruppens sammensetting, og oversikt over sekretariatets oppgaver.
Sammensetning av styringsgruppen for Norm for informasjonssikkerhet (PDF)
Historikk
Normen ble ferdigstilt i første halvdel av 2006, godkjent av styringsgruppen 28. juni 2006 og formelt lansert 7. september 2006.
Støttedokumenter
Parallelt med utviklingen av Normen, er det utarbeidet ulike støttedokumenter (veiledere og faktaark) som går i dybden på spesifikke temaer og områder.
I tråd med endringer i regelverk, teknologi og bransjepraksis, og med basis i innspill fra berørte aktører, endres jevnlig både Normen og tilhørende støttedokumenter.
Versjonshistorikk Normen
Versjon 1 - 28.juni 2006
Etter Sosial- og helsedirektoratets initiativ forelå første utgave av helsesektorens egen norm for informasjonssikkerhet. Normen ble utarbeidet av representanter for sektoren, herunder fra Den norske lægeforening, representanter for de regionale helseforetak, Norsk Sykepleierforbund, Norges Apotekerforening og Kommunenes Sentralforbund. I tillegg deltok Datatilsynet, Helsetilsynet, Rikstrygdeverket og Sosial- og helsedirektoratet i arbeidet.
Versjon 2 - 2.juni 2010
Styringsgruppen for Normen besluttet sommeren 2008 å innarbeide endringer i Normen som følge av lov- og forskriftsendringer og ønske om økt elektronisk samhandling mellom aktørene i sektoren. Nytt var også at Norsk Helsenett, private laboratorier, Den norske tannlegeforening, Den offentlige tannhelsetjenesten og Norges Farmaceutiske Forening går inn i styringsgruppen for Normen. I tillegg ble Helse- og omsorgsdepartementet og Direktoratet for forvaltning og IKT (Difi) observatører i arbeidet. Helsetilsynet trådte, etter eget ønske, ut av styringsgruppen. Styringsgruppen besluttet høsten 2009 å utvide Normens virkeområde. Normen gjaldt nå både helse-, omsorgs- og sosialsektoren. Samtidig ble det vedtatt at problemstillinger knyttet til de ansattes personvern skulle inkluderes i Normen så langt det passet.
Versjon 2.1 - 29. november 2012
Styringsgruppen for Normen besluttet å endre kravet til sikkerhetsnivå 4, slik at det er mulig med alternative løsninger under forutsetning av at risikovurdering dokumenterer og bekrefter at alternativ løsning har tilstrekkelig sikkerhet.
Versjon 3 - 5. desember 2013
Styringsgruppen for Normen besluttet å innarbeide endringer som følge av forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap. I tillegg er ansvaret for autorisasjonsregister i kjernejournal presisert, regler for utlevering av helseopplysninger til kvalitetssikring og læring innarbeidet og det er referert til dokumentet "Kravspesifikasjon for PKI i offentlig sektor" for minimumskrav til krypteringsstyrke.
Versjon 4 - 5. juni 2014
Styringsgruppen besluttet å innarbeide endringer som følge av at sosialtjenesteloven fra 1991 (LOV-1991-12-13-81) er opphevet. Virkeområdet for Normen ble samtidig endret til helse- og omsorgstjenesten. I tillegg er det tydeliggjort at Normen gjelder for tjenester i Arbeids- og velferdsetaten som er tilknyttet helsenettet og for kommunale tjenester i lokalt NAV-kontor som er tilknyttet helsenettet.
Versjon 5 - 12. februar 2015
Styringsgruppen for Normen besluttet 12. februar 2015 å innarbeide endringer som følge av ny helseregisterlov, pasientjournallov og forskrift om tilgang til helseopplysninger mellom virksomheter.
Kontakt
Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren: sikkerhetsnormen@ehelse.no