Søk

Kommuneguide til Normens veiledere og faktaark

En veiledning til deg som jobber i kommuner til hvordan bruke Normens veiledere og faktaark

Jobber du i en kommune og trenger hjelp til å bruke Normen? Da må du fortsette å lese!

Om veiledere og faktaark

I tilknytning til Normdokumentet er det utarbeidet veiledere og faktaark som dekker flere sentrale områder innenfor informasjonssikkerhet og personvern. Mange av disse veilederne og faktaarkene inneholder temaer som er svært aktuelle for kommuner. I denne artikkelen gir vi en kort veiledning til hvordan du som jobber i kommune, som medarbeider eller leder kan benytte Normens mange veiledere og faktaark i deres arbeid med personvern og informasjonssikkerhet i den kommunale helse- og omsorgstjenesten. For komplett oversikt over veiledere og faktaark finnes på normen.no. Denne artikkelen gjengir bare noen av de mest sentrale veilederne og faktaarkene som er relevante for kommuner.

Normens faktaark beskriver nærmere i kortform hvordan virksomheter kan oppfylle enkelte sentrale krav i Normen og gir praktisk veiledning til dette. Veilederne til Normen er større støttedokumenter som går i dybden på temaet for den spesifikke veilederen.

Alle disse dokumentene kan vi dele inn i to ulike områder basert på hva slags veiledning og råd din kommune trenger: Kontroll og ledelse i egen virksomhet, og prosjektbasert veiledning som f.eks når kommunen skal anskaffe/ implementere/ risikovurdere spesifikke løsninger.

Kontroll i eget hus?

Styring og kontroll

Normen har flere faktaark innenfor det man kan kalle internkontroll eller ledelse og kontroll som handler om å ha styring på arbeidet med personvern og informasjonssikkerhet internt i virksomheten. For å ha tilfredsstillende styring og kontroll bør virksomheten starte med å utarbeide en protokoll (oversikt) over de behandlinger av helse- og personopplysninger som gjennomføres i kommunen: https://ehelse.no/normen/faktaark/faktaark-13-protokoll-over-behandlinger-av-helse-og-personopplysninger-i-virksomheten. I dette faktaarket du også finne forslag til mal for hvordan en slik protokoll kan se ut, i tillegg til eksempler på behandlinger av helse- og personopplysninger i den kommunale helse- og omsorgstjenesten.

Kommunen skal også ha et styringssystem/ internkontroll/ ledelsessystem for informasjonssikkerhet og personvern. Dette skal sikre at arbeidet med personvern og informasjonssikkerhet er en kontinuerlig prosess og ivaretas på en systematisk og dokumentert måte: https://ehelse.no/normen/faktaark/faktaark-02-styringssystem-for-informasjonssikkerhet-og-personvern

Virksomheten skal også organisere seg slik at det kommer frem hvem som er ansvarlig for hva på ulike nivå og hva de er ansvarlige for: https://ehelse.no/normen/faktaark/faktaark-01-ansvar-og-organisering

I styringssystemet bør også kommunen ha rutine for å kartlegge og klassifisere systemer i henhold til kritikalitet som skal dokumenteres før behandlinger starter: https://ehelse.no/normen/faktaark/faktaark-04-kartlegge-og-klassifisere-systemer

Ut over dette kan også kommunen lese andre faktaark som er innenfor teamet styringssystem og sørge for å ha rutiner for følgende områder (ikke uttømmende, helheten finner dere på normen.no):

Tilgangsstyring

Normen har også veiledere og faktaark innenfor området tilgangsstyring, som er svært aktuelt for å etablere styring og kontroll med tilganger til systemer og helse- og personopplysninger. Dette kan også være materiell som kan brukes i prosjekter knyttet til kravspesifikasjoner ved anskaffelser o.l:

Prosjektbasert veiledning

I mange tilfeller vil det også være behov for temaspesifikk veiledning knyttet til prosjekter eller annet mer tidsbegrenset arbeid. Det kan være risikovurderinger av systemer, prosesser o.l, eller ved anskaffelser og implementering av løsninger i virksomheten, revisjoner mv.

Velferdsteknologi og medisinsk utstyr

De aller fleste kommunene arbeider i dag med velferdsteknologi. Normen har en egen veileder som tar for seg utvalgte temaer innen personvern og informasjonssikkerhet ved velferdsteknologi, innenfor anskaffelse, implementering og drift: https://ehelse.no/normen/veiledere/Veileder-informasjonssikkerhet-personvern-velferdsteknologi I tillegg har Normen også en egen veileder for medisinsk utstyr som tar for seg behandling av helse- og personopplysninger i det medisinske utstyret og hvordan det kan beskyttes mot angrep på digital infrastruktur: https://ehelse.no/normen/veiledere/veileder-i-personvern-og-informasjonssikkerhet-medisinsk-utstyr

Skytjenester

Flere kommuner tar i økende grad i bruk skytjenester. Normens skyveileder gir veiledning til personvern og informasjonssikkerhetsutfordringer som er særlig gjeldende ved skytjenester som ansvar, risikoområder og trusler osv.: https://ehelse.no/normen/veiledere/veileder-i-bruk-av-skytjenester-til-behandling-av-helse-og-personopplysninger

Tjenesteutsetting

Normen har flere faktaark og veiledere som kommuner kan benytte som personvern og informasjonssikkerhet ved tjenesteutsetting av kommunale helse- og omsorgstjenester; https://ehelse.no/normen/faktaark/faktaark-46-databehandlingsansvar-og-avtaler-i-forbindelse-med-tjenesteutsetting , etablering av videokonsultasjon; https://ehelse.no/normen/faktaark/faktaark-54-videokonsultasjon eller når kommunen skal konvertere eller bytte EPJ; https://ehelse.no/normen/faktaark/faktaark-53-tiltak-ved-konvertering-og-bytte-av-epj

Oversikt over Normens krav

I tillegg til Normen finnes det også et eget vedlegg til Normen som viser en oversikt over samtlige krav som kommunene er pliktige til å følge. Denne oversikten kan benyttes ved anskaffelse av systemer og teknologier, eller ved revisjon av kommunens helse- og omsorgstjeneste og leverandører/databehandlere som benyttes: https://ehelse.no/normen/oversikt-over-normens-krav-og-mapping-mellom-iso-og-normen

Fant du det du lette etter?
Ja Nei