Dokumenter i TrinnVis

TrinnVis inneholder en mengde skreddersydde maldokumenter, som du kan utforske her. Som TrinnVis-bruker trenger du ikke å forholde deg til alle sammen, fordi systemet filtrerer og tilpasser dokumentene til din virksomhet.

Prøv TrinnVis gratis

Mål for informasjonssikkerhetsarbeidet

Her skal det overordnete målet med behandlingen av helse-og personopplysninger beskrives, og det skal beskrives hvordan informasjonsteknologi benyttes for slik behandling. Det skal angis nivå for den risiko for sikkerhetsbrudd som virksomheten er villig til å akseptere uten å iverksette sikkerhetstiltak.

Valg av sikkerhetsnivå vil kunne innebære prioritering av motstridende hensyn. Dersom helseopplysninger skal benyttes for akutt hjelp, kan det f.eks. være nødvendig å la behovet for tilgang til helseopplysninger gå foran behovet for konfidensialitet. Slik prioritering må fremgå av strategidokumentet.

Normen Faktaark 02 – Styringssystem for informasjonssikkerhet

Normen Faktaark 03 – Dokumenter i styringssystemet

Normen Faktaark 04 – Kartlegge og klassifisere systemer

Normen Faktaark 05 – Fastsette nivå for akseptabel risiko

Normen Faktaark 13 – Oversikt over behandlinger av helse – og personopplysninger i virksomheten

1. Mål for behandling av helse og personopplysninger

Vi registrerer og behandler helseopplysninger slik at helsehjelp kan gis på en forsvarlig og effektiv måte. Helseopplysningene kan knyttes til enkeltpersoner, og behandles i hovedsak elektronisk i pasientjournaler, programvare tilknyttet medisinsk utstyr og moduler for ekstern kommunikasjon. Pasientinformasjonen inneholder sensitive personopplysninger og skal derfor sikres ekstra nøye hos oss med konfidensialitet, integritet og tilgjengelighet av tilstrekkelig kvalitet. Brudd på konfidensialiteten kan medføre alvorlig tap av anseelse for pasienten. Vi skal ha høy standard på opplysningenes integritet og tilgjengelighet, da behandling av pasientene ellers kan bli feil eller forsinket, noe som kan medføre fare for tap av liv og helse. Taushetsplikten skal overholdes, også gjennom måten vi organiserer vårt informasjonssystem.
Virksomhetens informasjonssystem skal kun benyttes for å utføre oppgaver den enkelte medarbeider er pålagt å utføre. Privat bruk av informasjonssystemet er forbudt, og ethvert avvik fra dette skal godkjennes av daglig leder. Ved bruk av eksterne samarbeidspartnere eller tilknytning til eksterne virksomheter, skal det etableres avtaler som sørger for at sikringen av personopplysningene ikke svekkes.

2. Metoden vi bruker for å oppnå sikkerhetsmål og tallfeste akseptabel risiko

For å sikre personopplysningene etableres sikkerhetstiltak. Disse springer ut fra risikovurderinger som er gjort i forhold til akseptkriterier og valgt sikkerhetsnivå. TrinnVis brukes som verktøy ved risikovurdering. Risiko graderes ut fra mulige hendelsers sannsynlighet og konsekvenser, og det utarbeides akseptkriterier for hvilken grad av risiko vi er villig til å godta. Sikkerhetstiltak innføres der graden av risiko overstiger akseptkriteriene. Risikovurderinger gjennomføres før endringer i organisasjon eller informasjonssystem som kan ha betydning for informasjonssikkerheten.
Ved utarbeidelse av nivå for akseptabel risiko (akseptkriterier) bruker vi en skala for konsekvens og sannsynlighet. På en skala fra 1-4 deler vi opp konsekvensenes grad av alvorlighet (Ubetydelig til Kritisk). Vi skal fastsette konsekvenser for både konfidensialitet, integritet og tilgjengelighet . På samme måte lager vi en sannsynlighetsskala fra 1 til 4 (Usannsynlig til Sannsynlig).
På hver av disse skalaene bestemmer vi maksimalt akseptable konsekvens og sannsynlighet.
Ved å multiplisere tallet for maksimal akseptabel konsekvens med tallet for maksimal akseptabel sannsynlighet gir dette tall som representerer nivå for akseptabel risiko. For all risikovurdering som kommer ut med et høyere tall enn nivå for akseptabel risiko, skal det iverksettes tiltak for å bringe sikkerheten innenfor et akseptabelt nivå. Metoden er et hjelpemiddel som skal brukes med fornuftig skjønn.

Våre verdier for sannsynlighet

  • hvert 50. år eller sjeldnere = Lav = 1
  • hvert 10. år eller sjeldnere = Moderat = 2
  • årlig eller sjeldnere = Høy = 3
  • flere ganger i året = Svært høy = 4

Våre verdier for konsekvens (konfidensialitet, integritet og tilgjengelighet)

  • Ikke fare for pasienters helse. Intet brudd på personvernet. Ubetydelig økonomisk tap. Intet tap av rennomé eller rykte. = Ubetydelig = 1
  • Ikke fare for pasienters helse. Brudd på personvernet for et lite antall pasienter. Gjenopprettelig økonomisk tap. Moderat tap av rennomé eller rykte. = Moderat = 2
  • Fare for pasienters helse og liv. Brudd på personvernet for et stort antall pasienter. Alvorlig økonomisk tap. Alvorlig tap av rennomé eller rykte.= Alvorlig = 3
  • Tap av liv. Uopprettelig økonomisk tap. = Katastrofal = 4

Våre akseptkriterier

  • Lav risiko ≤ 3 ingen tiltak kreves
  • Moderat risiko = 4 tiltak vurderes
  • Høy risiko ≥ 9 umiddelbare tiltak

 

3. Prioritering av sikkerhetshensyn

I akutte situasjoner vil tilgang til helseopplysninger kunne utgjøre forskjellen mellom liv og død. I slike situasjoner vil behovet for tilgang til helseopplysninger kunne overstyre behovet for konfidensialitet når det gjelder relevante opplysninger. Informasjonssystemet skal tillate, men registrere og regulere hvem som kan utføre nødtilgang til pasientinformasjon. Det vil ikke være akseptabelt at ikke-faglig personale får tilgang på pasientopplysninger.

Vi bruker informasjonskapsler (cookies) på trinnvis.no for å forbedre brukeropplevelsen, for eksempel slik at du kan slippe å se denne meldingen neste gang du besøker oss.