Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og...
Transcript of Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og...
![Page 1: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/1.jpg)
Normens veileder for
Informasjonssikkerhet og personvern -medisinsk utstyr
Åpent kurs 2. april 2019
![Page 2: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/2.jpg)
Bakgrunn
![Page 3: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/3.jpg)
Side 3
Det er hverken relevant eller mulig
å sikre medisinsk utstyr mot cyber-trusler
![Page 4: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/4.jpg)
Målrettet cyber-angrep mot Helse Sør-Øst
![Page 5: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/5.jpg)
Ny teknologi - nye utfordringer
Side 5
Skyen, apper, bigdata…
Lange og komplekse digitale verdikjeder
Der også pasientens / brukerens eget
utstyr /apper inngår
Vanskelige risikovurderinger
Forventninger fra pasienter og
pårørende
![Page 6: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/6.jpg)
![Page 7: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/7.jpg)
Conficker i Helse Vest 2009
![Page 8: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/8.jpg)
Side 8
30.04.18
![Page 9: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/9.jpg)
Noen kjente hendelser knyttet til MU og informasjonssikkerhet…
Side 9
«GE-saken»
![Page 10: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/10.jpg)
10
![Page 11: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/11.jpg)
Før: Nå:
Side 11
Stand-alone utstyr hvor operatør måtte
oppsøke utstyret for å gjøre endringer
og avlese verdier
Liten eller ingen mulighet for
brukertilpasninger
«Alt» er tilkoblet nettverk
Måleresultater og innstillinger overføres
til sentrale servere/applikasjoner
Muligheter for brukertilpasset menyer,
alarmer, bilder osv.
Sikkerhetsfunksjoner for å unngå
feilbehandling.
Hentet fra foredrag av Geir-Erlend Myhre Johansen, St. Olavs Hospital HF for MedTek Norge juni 2016
![Page 12: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/12.jpg)
Klinisk beste løsning – eller løsning som støtter best integrasjon og sikkerhet?
Legen sier: «Klinisk beste løsning!»
Men:
Leverandøren leverer ikke HL7 eller DICOM interface
Leverandøren støtter lagring, men kun filshare
Pålogging, ingen støtte for dette
Må være lokal-administrator på PC
Hendelseslogg – viser til Windows logg
Antivirus – ikke tale om!
Sikkerhetspatchinger av OS – kun fra leverandør
Side 12Hentet fra foredrag av Geir-Erlend Myhre Johansen, St. Olavs Hospital HF for MedTek Norge juni 2016
![Page 13: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/13.jpg)
Medisinsk utstyr og informasjonssikkerhet – hva er problemet?
Fra stand-alone til hyper-konnektivitet (IoT)
Svak endepunkt-sikkerhet
Kjente sårbarheter eksisterer
Kan utnyttes som brohode som «svakeste ledd»
Gap i forvaltning Organisatorisk
Kompetanse
Metodikk (safety vs security)
Side 13
![Page 14: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/14.jpg)
Side 14
Det er hverken relevant eller mulig
å sikre medisinsk utstyr mot cyber-trusler
![Page 15: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/15.jpg)
FDA - ressurser
https://www.fda.gov/MedicalDevices/DigitalHealth/ucm373213.htm
Side 15
Dispelling the myths:
![Page 16: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/16.jpg)
Side 16
![Page 17: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/17.jpg)
Side 17
Det er hverken relevant eller mulig
å sikre medisinsk utstyr mot cyber-trusler
![Page 18: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/18.jpg)
Riksrevisjonens selskapskontroll 2014
Side 18
Sak 3: Helseforetakenes ivaretakelse av
informasjonssikkerhet i medisinsk-teknisk utstyr
Hovedfunn:• Helseforetakene stiller ikke tilstrekkelige krav om informasjonssikkerhet i avtaler
med leverandører av medisinsk-teknisk utstyr og har mangelfull oppfølging av
leverandører.
• Helseforetakene har mangelfull oversikt over risiko knyttet til informasjonssikkerhet i
medisinsk-teknisk utstyr.
• Det er uklare ansvarslinjer for informasjonssikkerhet i medisinsk-teknisk utstyr
internt i helseforetakene og mellom helseforetakene og de regionale it-enhetene.
![Page 19: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/19.jpg)
Veileder iPersonvern og informasjonssikkerhet
- medisinsk utstyr
Side 19
![Page 20: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/20.jpg)
Veileder iPersonvern og
informasjonssikkerhet- medisinsk utstyr
![Page 21: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/21.jpg)
Normens arbeid med informasjonssikkerhet og medisinsk utstyr
Publiserte veileder desember 2015
Deltakere i referansegruppen fra AHUS, Datatilsynet,
DSB, Helse Bergen, Helse Sør-Øst, Helsedirektoratet,
Helse Vest IKT, HEMIT, St. Olavs Hospital, Stavanger
universitetssjukehus, Sykehuset Telemark, Sykehuset
Østfold, Vingmed AS / Medtek Norge.
Revidert versjon 2017: Tatt inn lenke til generiske krav
ved anskaffelser
2017: Kurs for alle helseregioner basert på veilederen
2018: Arrangert åpne kurs
2019: Scenariene i veilederen under revisjon,
etter praktisk utprøving + tilpasning til nye versjoner av
Merida og Medusa
21
![Page 22: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/22.jpg)
Veileder iPersonvern og informasjonssikkerhet - medisinsk utstyr
Veilederen skal bidra til å skape felles forståelse for krav og tilnærming til informasjonssikkerhet hos Virksomheter som benytter MU Databehandlere Leverandører av medisinsk utstyr
Veilederen finnes her:https://ehelse.no/veileder-i-personvern-og-informasjonssikkerhet-medisinsk-utstyr
04.04.2019 | 22
Nettverk
![Page 23: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/23.jpg)
Hovedmomenter
To hovedtemaer i veilederen: Hvordan sikre at behandling av helse- og personopplysninger i tilknytning til
medisinsk utstyr skjer i tråd med lovverket
Hvordan medisinsk utstyr kan beskyttes mot angrep på digital infrastruktur
Utfordring: I vurderingen av sikkerhetstiltak for medisinsk utstyr, vil eventuell påvirkning
på funksjon og bruk av utstyret måtte tillegges stor vekt
Tilnærming: Forholdsmessighet i valg av tiltak
Risikobasert
04.04.2019 | 23
![Page 24: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/24.jpg)
Få oversikt – vurder risiko – prioriter tiltakEksempler på spørsmål
til hjelp for å
kategorisere
løsningene:
Behandles
pasientidentifiserbare
data?
Er utstyret
nettverkstilknyttet?
Har leverandør tilgang
via VPN?
24
Nettverk
Nettverk
Nettverk
Nettverk
Nettverk
Worklist / data
Nettverk
Worklist / data
Nettverk
Worklist / data
Nettverk
Worklist / data
Levrandør-nettverk
Helsenett / internettNettverk
Worklist / data
Leverandør-support
Teknisk logg
Levrandør-nettverk
Helsenett / internettNettverk
Worklist / data
Leverandør-support
Teknisk logg
Levrandør-nettverk
Helsenett / internettNettverk
Worklist / data
Leverandør-support
Teknisk logg
Nettverk
Mobilnett
Internett/helsenett
Lagring
Mobilnett
Virksomhet (f.eks. helseforetak)
Alternativt: Kommunikasjon / mellomlagring via
databehandler
Granskning
Nettverk
Virksomhet (f.eks. helseforetak)Hjemme hos pasient
Nettverk
Virksomhet (f.eks. helseforetak)Hjemme hos pasient
Nettverk
Lagring
Virksomhet (f.eks. helseforetak)
Lagring i skytjeneste
Granskning
Internett/helsenett
Hjemme hos pasient
Nettverk
Lagring
Virksomhet (f.eks. helseforetak)
Lagring i skytjeneste
Granskning
Internett/helsenett
Hjemme hos pasient
Nettverk
Databehandling (f.eks. «grovanalyse») i
skytjeneste
Lagring
Virksomhet (f.eks. helseforetak)
Granskning
JE468A
Internett/helsenett
Hjemme hos pasient
![Page 25: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/25.jpg)
Få oversikt – vurder risiko – prioriter tiltak
25
Nettverk
Nettverk
Nettverk
Nettverk
Nettverk
Worklist / data
Nettverk
Worklist / data
Levrandør-nettverk
Helsenett / internettNettverk
Worklist / data
Leverandør-support
Teknisk logg
Nettverk
Mobilnett
Internett/helsenett
Lagring
Mobilnett
Virksomhet (f.eks. helseforetak)
Alternativt: Kommunikasjon / mellomlagring via
databehandler
Granskning
Nettverk
Virksomhet (f.eks. helseforetak)Hjemme hos pasient
Nettverk
Virksomhet (f.eks. helseforetak)Hjemme hos pasient
Nettverk
Databehandling (f.eks. «grovanalyse») i
skytjeneste
Lagring
Virksomhet (f.eks. helseforetak)
Granskning
JE468A
Internett/helsenett
Hjemme hos pasient
Nettverk
Worklist / data
Nettverk
Worklist / data
Nettverk
Worklist / data
Nettverk
Worklist / data
Nettverk
Worklist / data
Nettverk
Virksomhet (f.eks. helseforetak)Hjemme hos pasient
Nettverk
Virksomhet (f.eks. helseforetak)Hjemme hos pasient
Nettverk
Virksomhet (f.eks. helseforetak)Hjemme hos pasient
Levrandør-nettverk
Helsenett / internettNettverk
Worklist / data
Leverandør-support
Teknisk logg
Levrandør-nettverk
Helsenett / internettNettverk
Worklist / data
Leverandør-support
Teknisk logg
Nettverk
Databehandling (f.eks. «grovanalyse») i
skytjeneste
Lagring
Virksomhet (f.eks. helseforetak)
Granskning
JE468A
Internett/helsenett
Hjemme hos pasient
1..2..
3..
![Page 26: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/26.jpg)
2. Frittstående MU uten lagring. 8. Nettverkstilkoplet MU som lagrer data/rapport både eksternt og internt.
26
Bruksscenarier
Delområde
Behandling av helse- og
personopplysningerJa
Direkte identifiserbare helse-
og personopplysningerJa
Avidentifiserte helse- og
personopplysningerNei
Overføring av data i lokale
nettverkNei
Overføring av data i eksterne
nettverkNei
Teknisk overvåkning NeiLeverandørtilknytning NeiTrådløs kommunikasjon NeiIntern lagring NeiEkstern lagring (f.eks. DVD) NeiServerbasert lagring NeiDatabehandler / skyløsning NeiHvem har
konfigurasjonskontrollVirksomheten
Delområde
Behandling av helse- og
personopplysningerJa
Direkte identifiserbare helse-
og personopplysningerJa
Avidentifiserte helse- og
personopplysningerNei
Overføring av data i lokale
nettverkJa
Overføring av data i eksterne
nettverkNei
Teknisk overvåkning NeiLeverandørtilknytning NeiTrådløs kommunikasjon NeiIntern lagring Ja, permanentEkstern lagring (f.eks. DVD) NeiServerbasert lagring JaDatabehandler / skyløsning NeiHvem har
konfigurasjonskontrollVirksomheten
11. MU som overfører data via mobilnettverk (f.eks. fra ambulanser)
…
Nettverk
Worklist / data
Permanentlagring
…
Delområde
Behandling av helse- og
personopplysningerJa
Direkte identifiserbare helse- og
personopplysningerJa
Avidentifiserte helse- og
personopplysningerNei
Overføring av data i lokale
nettverkJa
Overføring av data i eksterne
nettverkJa
Teknisk overvåkning NeiLeverandørtilknytning NeiTrådløs kommunikasjon JaIntern lagring JaEkstern lagring (f.eks. DVD) NeiServerbasert lagring JaDatabehandler / skyløsning KanHvem har
konfigurasjonskontrollKan være leverandør
Nettverk
Mobilnett
Internett/helsenett
Lagring
Mobilnett
Virksomhet (f.eks. helseforetak)
Alternativt: Kommunikasjon / mellomlagring via
databehandler
Granskning
![Page 27: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/27.jpg)
Eksempel på bruksscenario: Nettverkstilkoplet MU som lagrer data/rapport både eksternt og internt, med leverandørtilgang
27
Levrandør-nettverk
Helsenett / internettNettverk
Worklist / data
Leverandør-support
Teknisk logg
Utilsiktet lagring av helse- og personopplysninger
i tekniske logger.
Utilsiktet eksponering /
lagring av helse- og
personopplysninger
hos leverandør
!
!
Manglende tilgangsstyring
Manglende logging. !
Digitale angrep. !
Innsyn fra uvedkommende!
Feil / nedetid!
Utstyret og programvaren
utfører ikke kun de
funksjoner som er
formålsbestemt
!
Tilstrekkelig sikring mot
innsyn fra uvedkommende
Fysisk sikring (4.6)
Kontroll på hvilke data som overføres til
tekniske logger, sikring av logger
Nettverkssikkerhet, sikkerhets-
oppdateringer og tiltak
mot skadelig kode (4.10)
Tilgangsstyring (kap 4.8) og
hendelsesregistrering (4.9) på
sentralt utstyr
Sikring av leverandørtilgang
(4.5.3 og egen veileder)
Regulere konfigurasjonskontroll
gjennom avtale (Normen kap.
5.5.1)
Sikkerhetstiltak ved
datalagring (4.7)
Eksempel: MR.
Rådata og bilder blir lagret lokalt mens bilder også lagres eksternt.
Tekniske data overføres til en teknisk logg til bruk i feilsøking og systemadministrasjon.
Leverandør/produsent trenger VPN-tilgang til utstyret for å drive f.eks. driftsovervåking
![Page 28: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/28.jpg)
Liten gruppeoppgave:
1. Alle i gruppa finner en type medisinsk utstyr / system man kjenner
godt til
2. Behandles pasientidentifiserbare data?
3. Er utstyret nettverkstilknyttet?
4. Har leverandør tilgang via VPN?
5. Diskuter i fellesskap hvilke av bruksscenariene som best beskriver
utstyret
![Page 29: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/29.jpg)
Mulig metodikk for risikovurdering: IEC 80001 Application of risk management for IT-networksincorporating medical devices
Roller, ansvar og aktiviteter når medisinsk utstyr
tilknyttes virksomhetens IT-nettverk
Tre «Key properties» skal adresseres i
risikostyringen:
«Safety» (tilsvarende trygghet / sikkerhet som
brukt i konteksten HMS eller pasientsikkerhet)
«Effectiveness» (evne til å skape ønsket resultat
for pasient og virksomheten)
«Data and system security» (tilsvarende
informasjonssikkerhet)
Viktig rolle: «Medical it-network risk manager»
Beskriver risikostyring gjennom endringsstyring
i livsløpsperspektiv for medisinske IT-nettverk
29
![Page 30: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/30.jpg)
Ivareta den registrertes rettigheter
Taushetsplikt
Behandlingsgrunnlag
Innsynsrett
Retting og sletting
Databehandlingsansvarlig
Opplæring og kompetanse
Kravstilling ved anskaffelser
Service og support fysisk hos
virksomheten
Taushetserklæringer han håndteres av
leverandøren
30
Basis sikkerhetstiltak
![Page 31: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/31.jpg)
Beskrive roller og ansvar Delta på felles arenaer
Inkludere leverandører og systemer i oversikter
Avtaler
Inkludere i den gjennomførende delen
Inkludere i den kontrollerende delen Avvik
Sikkerhetsrevisjoner
Risikovurderinger
Ledelsens gjennomgang
31
Inkludere MU i styringssystem for informasjonssikkerhet
![Page 32: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/32.jpg)
Sikkerhetstiltak ved behov (risikoavhengig)
32
Tiltak ved fjernsupport
Bruk av databehandler
Databehandleravtale når
leverandør behandler data
Innsyn i helse- og
personopplysninger utløser i seg
selv ikke behov for
databehandleravtale
(men taushetserklæring)
Fysisk sikring
Tilgangsstyring
Hendelsesregistrering
Nettverkssikkerhet og tiltak mot
skadelig kode
Skytjenester
Tilgang til helseopplysninger
utover virksomhetsgrenser
Utlevering av helseopplysninger
til utlandet
![Page 33: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/33.jpg)
Databehandleravtale
Side 33
Dataansvarlig skal ikke behandle helse-
og personopplysninger på annen måte
enn det som er avtalt med
databehandlingsansvarlig.
Dataansvarlig har et selvstendig ansvar
for informasjonssikkerhet
Dataansvarlig skal sikres innsynsrett
Skiller mellom data tilhørende ulike
kunder
Tilgangsstyring – hvem kan ha tilgang
Se mer i faktaark 10
Mer om dette dag 2!
Dataansvarlig
![Page 34: Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak](https://reader035.fdocument.pub/reader035/viewer/2022071109/5fe4be72d31a312efe7d5bf5/html5/thumbnails/34.jpg)
Nettverkssikkerhet og tiltakmot skadelig kode
34
Vanlige tiltak:
Anti-virus programvare
Programvareoppdateringer
Ikke tildel sluttbrukere
administrator-rettigheter
Blokker kjøring av ikke-autoriserte
programmer («hvitelisting»)
Segmentere MU på dedikerte
nettverk
Skadelig kode kan fortsatt infisere
via f.eks. minnepenner
Still krav til leverandøren om å dokumentere hvordan cyber-sikkerhet ivaretas for utstyret i hele utstyrets levetid
Krav til kodesignatur for programvare oppdateringer
Mulighet for sikkerhetsmonitoreringMU
Informasjon til sluttbruker om handling ved mistanke om sikkerhetsbrudd
«Fail-safe» modus ved digitale angrep
Mulighet for autorisert bruker å rulle tilbake opprinnelig konfigurasjon