Faktaark

Faktaark 0 - Målgruppe i faktaark

Faktaark 0 beskriv kva ansvar dei ulike målgruppene i faktaarkene har.

Faktaark 01 - Ansvar og organisering

Faktaark 1 beskriv korleis arbeidet med informasjonssikkerheit blir organisert slik at det kjem fram kven som er ansvarleg på ulike nivå, og kva dei er ansvarleg for.

Faktaark 02 Styringssystem for informasjonssikkerhet og personvern

Styringssystem for informasjonssikkerhet og personvern (internkontroll) skal sikre at arbeidet med personvern og informasjonssikkerhet blir en kontinuerlig prosess og ivaretatt på en systematisk og dokumentert måte

Faktaark 04 - Kartlegge og klassifisere systemer

Kartlegging og klassifisering av systemer i henhold til kritikalitet skal dokumenteres før behandling av helse- og personopplysninger starter.

Faktaark 05 - Fastsette nivå for akseptabel risiko

Nivå for akseptabel risiko skal fastsettes før behandling av helse- og personopplysninger startes og før risikovurderinger gjennomføres.

Faktaark 06 - Sikkerhetsrevisjon

En sikkerhetsrevisjon omfatter kontroll og verifikasjon av nødvendige sikkerhetstiltak i virksomheten, og skal gjennomføres jevnlig.

Faktaark 07 - Risikovurdering

Faktaarket skal dokumentere at databehandlingsansvarlig har sett i verk tilstrekkelege tiltak og at behandlingane blir utførte innanfor nivå for akseptabel risiko.

Faktaark 08 - Avviksbehandling

Avviksbehandling er ein sentral del av arbeide med sikkerheit.

Faktaark 09 - Opplæring av ledere og medarbeidere

Formålet med opplæring i informasjonssikkerhet er å gi virksomhetens medarbeidere kompetanse slik at de kan ivareta et godt personvern etter gjeldende krav.

Faktaark 10 - Bruk av databehandler

Faktaarket skal sikre at helse- og personopplysninger ikke skal behandles på annen måte enn det som er avtalt med databehandlingsansvarlig.

Faktaark 11 – Nødprosedyrer ved bortfall av IKT

Faktaarket skal bidra til å sikre at virksomhetens behandling av helse- og personopplysninger ivaretas ved ikke-planlagt driftsstans i IKT-systemene.

Faktaark 12 - Tilbakerapportering av resultater fra IT-driften

Faktaarket skal sikre at viktige/prioriterte resultater fra IKT-driften blir tilbakerapportert og behandlet slik at nødvendige tiltak kan iverksettes.

Faktaark 13 - Protokoll over behandlinger av helse - og personopplysninger i virksomheten

Virksomheten skal ha oversikt over hvilke behandlinger av helse- og personopplysninger som virksomheten utfører.

Faktaark 14 - Tilgangsstyring

Tilgangsstyring inneber å sikre at helse- og personopplysningar berre er tilgjengeleg etter tjenstlig behov ved at brukarar blir autentisert på ein tryggande måte og at tilgang blir tildelt, administrert, kontrollert og fjerna.

Faktaark 15 - Logging og oppfølging av logger

Alle virksomheter i sektoren som behandler helse- og personopplysninger elektronisk, skal føre og kontrollere logger.

Faktaark 16 - Etablering av løsning for meldingskommunikasjon

Faktaarket gir veiledning i hvordan helse- og personopplysninger overføres i henhold til krav til konfidensialitet, integritet, tilgjengelighet og kvalitet.

Faktaark 17 - Fysisk sikring av områder og utstyr

Faktaarket gir veiledning om hvordan virksomheten skal hindre uautorisert adgang til utstyr benyttet for behandling av helse- og personopplysninger.

Faktaark 18 - Sikring av bærbart utstyr

Faktaarket skal gi veiledning om hvordan virksomhetene kan hindre uautorisert tilgang til helse- og personopplysninger lagret på bærbart utstyr og uautorisert tilgang via bærbart utstyr til virksomhetens interne nettverk.

Faktaark 19 - Tiltak for å hindre ondsinnet programvare

Tiltak mot ondsinnet programvare skal hindre utilsiktet endring av helse- og personopplysninger, hindre utilsiktet utlevering av helse- og personopplysninger, og sørge for at helse- og personopplysninger er tilgjengelig uten driftsforstyrrelser.

Faktaark 20a - Sikkerhets- og samhandlingsarkitektur ved meldingsformidling

Formålet med faktaarket er å standardisere virksomhetens sikkerhetsfunksjoner ved etablering av meldingsformidling.

Faktaark 20b -Sikkerhets- og samhandlingsarkitektur ved intern samhandling

Formålet med faktaarket er å gi virksomheten en sikkerhetsarkitektur som tilrettelegger for samhandling på en trygg måte.

Faktaark 20c - Sikkerhets- og samhandlingsarkitektur ved tilgang til helseopplysninger mellom virksomheter

Faktaarkets formål er å standardisere virksomhetens sikkerhetsfunksjoner og etablere tilfredsstillende sikkerhet ved elektronisk samhandling med andre aktører i helse- og sosialsektoren.

Faktaark 21 - Sikkerhetskopi

Ved å gjennomføre sikkerhetskopi sikrer man at helse- og personopplysninger kan gjenopprettes om de skulle gå tapt.

Faktaark 23 - Avtaler og tillatelser vedrørende forskning

Formålet med faktaarket er blant annet å bidra til at forskningsprosjektet har nødvendige tillatelser før forskningen tar til.

Faktaark 24 - Kommunikasjon over åpne nett

Faktaarket beskriver tiltak som skal ivareta tilfredsstillende sikkerhet ved elektronisk kommunikasjon av helse- og personopplysinger over åpne nett.

Faktaark 25 - Lagringstid og sletting av helse- og personopplysninger

Virksomheten skal sikre at helse- og personopplysninger lagres og slettes iht. gjeldende krav til konfidensialitet, integritet, tilgjengelighet og kvalitet.

Faktaark 26 - Sikring av trådløs teknologi

Faktaarket skal gi prinsipper for sikring av trådløs teknologi ifm. helse- og personopplysinger.

Faktaark 27 - Retningslinjer for daglig informasjonssikkerhet

Faktaarket skal gi retningslinjer slik at medarbeidere opptrer på en slik måte i det daglige at de ivaretar god informasjonssikkerhet i virksomheten.

Faktaark 29 - Hjemmekontor og annet fjernarbeid

Dette faktaarket omhandler hjemmekontor og annet fjernarbeid, og hvordan virksomheten implementerer organisatoriske og tekniske sikkerhetstiltak.

Faktaark 30 - Sikring av mobilt utstyr utenfor virksomheten

Faktaarket gir veilledning om hvordan virksomheter skal sikre konfidensialitet, integritet og tilgjengelighet for helse- og personopplysninger som registreres, endres og lagres på mobilt utstyr.

Faktaark 31 - Passord og passordhåndtering

Faktaarket gir veiledning om passord og passordhåndtering.

Faktaark 34 - Håndtering av lagringsmedia

Faktaarket gir veiledning om sikring av konfidensialitet for helse- og personopplysninger på lagringsmedia.

Faktaark 35 - Personvernombud

Faktaark 35 beskriver tiltak som blant annet skal sikre riktig saksgang ved utnevning av ombud, og sikre at ledelsen har definert klare og relevante arbeidsoppgaver og ansvarsområder for ombudet.

Faktaark 36 - Fjernaksess mellom leverandør og virksomhet

Faktaarket skal være til hjelp for å hindre uautorisert bruk og ivareta integritet og konfidensialitet for helse- og personopplysninger i forbindelse med fjernaksess.

Faktaark 37 - Sikkerhetskrav og sikkerhetsdokumentasjon i IKT-prosjekter

Faktaarket bør leses av alle som er opptatt av tilfredsstillende informasjonssikkerhet og god sikkerhetsdokumentasjon i prosjekter som skal endre eller innføre nye IKT-løsninger.

Faktaark 38 - Sikkerhetskrav for systemer UTGÅTT

Faktarket er utgått

Faktaark 40 - Informasjonssikkerhet i forskningsprosjekter

Faktaarket gir en oversikt over hvilke krav til informasjonssikkerhet som gjelder i forskningsprosjekter og spesielt krav forskeren skal følge opp.

Faktaark 43 - Bruk av testdata i systemer som inneholder helse- og personopplysninger

Formålet med faktaarket er å sikre konfidensialitet, integritet, tilgjengelighet og kvalitet når testdata brukes i utvikling og test av IT-systemer med helse- og personopplysninger.

Faktaark 46 - Tjenesteutsetting av kommunale helse- og omsorgstjenester

Formålet med faktaarket er å gi veiledning om personvern og informasjonssikkerhet til kommuner som planlegger å tjenesteutsette helse- og omsorgstjenester.

Faktaark 47 - Autorisasjonsregister

Eit autorisasjonsregister skal gi oversikt over kva tilgangar og roller ein bestemd person har og har hatt. Autorisasjonsregisteret skal vere grunnlag for kontroll av tilgang til helse- og personopplysningar.

Faktaark 48 - Informasjonssikkerhet ved utførelse av testing

Faktaarket har som formål at den som utfører testing har tilstrekkelig kunnskap til å sikre konfidensialitet, integritet, tilgjengelighet og kvalitet.

Faktaark 49 - Krav ved bruk av PKI ved ekstern kommunikasjon

Faktaaarket gjer oversikt over krav til PKI i samband med den eksterne kommunikasjonen for verksemda.

Faktaark 50 - Innsyn i hendelsesregistre

Faktaarket beskriver tiltak som sikrer den registrerte rett til innsyn i hendelsesregistre fra behandlingsrettet helseregister og fagsystem.

Faktaark 52 - Krav til teknisk løsning ved bruk av betalingsterminal

Faktaarket sikrer riktig implementering av løsning for betalingsterminal slik at helse- og personopplysninger ikke kommer uautoriserte i hende eller at systemløsningen for betalingsterminal ikke utsetter virksomhetens systemer for ikke-akseptabel risiko.

Faktaark 53 - Tiltak ved konvertering og bytte av EPJ

Faktaarket er utarbeidet som veiledning for mindre virksomheter som skal konvertere journaler fra eksisterende EPJ og bytte til ny EPJ.

Faktaark 54 - Videokonsultasjon

Faktaarket skal gi verksemda oversikt over kva krav som skal takast vare på ved etablering og bruk av sanntidsløysningar med videokonsultasjon.

Faktaark 55 - Sperret adresse i Folkeregisteret

Faktaarket bør gjennomgås av virksomheter i helse- og omsorgstjenesten for å vurdere egne rutiner og opplæringstiltak for ansatte knyttet til sperret adresse.

Faktaark 56 – Formål og behandlingsgrunnlag

Faktaark 56 skal bidra til å sikre at virksomhetens behandlinger av helse- og personopplysninger skjer innenfor eksplisitte formål og lovlig behandlingsgrunnlag.