Søk

Faktaark

NB: Et fåtall faktaark er foreløpig oppdatert ut fra siste versjon av Normen (6.0), ny personopplysningslov, endringer i helselovgivningen eller EUs personvernforordning. Oppdatering pågår.
Faktaark 0 - Målgruppe i faktaark
Faktaark 0 beskriv kva ansvar dei ulike målgruppene i faktaarkene har.
Faktaark 01 - Ansvar og organisering
Faktaark 1 beskriv korleis arbeidet med informasjonssikkerheit blir organisert slik at det kjem fram kven som er ansvarleg på ulike nivå, og kva dei er ansvarleg for.
Faktaark 02 Styringssystem for informasjonssikkerhet og personvern
Styringssystem for informasjonssikkerhet og personvern (internkontroll) skal sikre at arbeidet med personvern og informasjonssikkerhet blir en kontinuerlig prosess og ivaretatt på en systematisk og dokumentert måte
Faktaark 04 - Kartlegge og klassifisere systemer
Kartlegging og klassifisering av systemer i henhold til kritikalitet skal dokumenteres før behandling av helse- og personopplysninger starter.
Faktaark 05 - Fastsette nivå for akseptabel risiko
Nivå for akseptabel risiko skal fastsettes før behandling av helse- og personopplysninger startes og før risikovurderinger gjennomføres.
Faktaark 06 - Sikkerhetsrevisjon
En sikkerhetsrevisjon omfatter kontroll og verifikasjon av nødvendige sikkerhetstiltak i virksomheten, og skal gjennomføres jevnlig.
Faktaark 07 - Risikovurdering
Faktaarket skal dokumentere at databehandlingsansvarlig har sett i verk tilstrekkelege tiltak og at behandlingane blir utførte innanfor nivå for akseptabel risiko.
Faktaark 08 - Avviksbehandling
Avviksbehandling er ein sentral del av arbeide med sikkerheit.
Faktaark 09 - Opplæring av ledere og medarbeidere
Formålet med opplæring i informasjonssikkerhet er å gi virksomhetens medarbeidere kompetanse slik at de kan ivareta et godt personvern etter gjeldende krav.
Faktaark 10 - Bruk av databehandler
Faktaarket skal sikre at helse- og personopplysninger ikke skal behandles på annen måte enn det som er avtalt med databehandlingsansvarlig.
Faktaark 11 – Nødprosedyrer ved bortfall av IKT
Faktaarket skal bidra til å sikre at virksomhetens behandling av helse- og personopplysninger ivaretas ved ikke-planlagt driftsstans i IKT-systemene.
Faktaark 12 - Tilbakerapportering av resultater fra IT-driften
Faktaarket skal sikre at viktige/prioriterte resultater fra IKT-driften blir tilbakerapportert og behandlet slik at nødvendige tiltak kan iverksettes.
Faktaark 13 - Protokoll over behandlinger av helse - og personopplysninger i virksomheten
Virksomheten skal ha oversikt over hvilke behandlinger av helse- og personopplysninger som virksomheten utfører.
Faktaark 14 - Tilgangsstyring
Tilgangsstyring inneber å sikre at helse- og personopplysningar berre er tilgjengeleg etter tjenstlig behov ved at brukarar blir autentisert på ein tryggande måte og at tilgang blir tildelt, administrert, kontrollert og fjerna.
Faktaark 15 - ​Logging og oppfølging av logger
Alle virksomheter i sektoren som behandler helse- og personopplysninger elektronisk, skal føre og kontrollere logger.
Faktaark 16 - Etablering av løsning for meldingskommunikasjon
Faktaarket gir veiledning i hvordan helse- og personopplysninger overføres i henhold til krav til konfidensialitet, integritet, tilgjengelighet og kvalitet.
Faktaark 17 - ​Fysisk sikring av områder og utstyr
Faktaarket gir veiledning om hvordan virksomheten skal hindre uautorisert adgang til utstyr benyttet for behandling av helse- og personopplysninger.
Faktaark 18 - ​Sikring av bærbart utstyr
Faktaarket skal gi veiledning om hvordan virksomhetene kan hindre uautorisert tilgang til helse- og personopplysninger lagret på bærbart utstyr og uautorisert tilgang via bærbart utstyr til virksomhetens interne nettverk.
Faktaark 19 - ​Tiltak for å hindre ondsinnet programvare
Tiltak mot ondsinnet programvare skal hindre utilsiktet endring av helse- og personopplysninger, hindre utilsiktet utlevering av helse- og personopplysninger, og sørge for at helse- og personopplysninger er tilgjengelig uten driftsforstyrrelser.
Faktaark 20a - Sikkerhets- og samhandlingsarkitektur ved meldingsformidling
Formålet med faktaarket er å standardisere virksomhetens sikkerhetsfunksjoner ved etablering av meldingsformidling.
Faktaark 20b -Sikkerhets- og samhandlingsarkitektur ved intern samhandling
Formålet med faktaarket er å gi virksomheten en sikkerhetsarkitektur som tilrettelegger for samhandling på en trygg måte.
Faktaark 20c - Sikkerhets- og samhandlingsarkitektur ved tilgang til helseopplysninger mellom virksomheter
Faktaarkets formål er å standardisere virksomhetens sikkerhetsfunksjoner og etablere tilfredsstillende sikkerhet ved elektronisk samhandling med andre aktører i helse- og sosialsektoren.
Faktaark 21 - Sikkerhetskopi
Ved å gjennomføre sikkerhetskopi sikrer man at helse- og personopplysninger kan gjenopprettes om de skulle gå tapt.
Faktaark 23 - Avtaler og tillatelser vedrørende forskning
Formålet med faktaarket er blant annet å bidra til at forskningsprosjektet har nødvendige tillatelser før forskningen tar til.
Faktaark 24 - Kommunikasjon over åpne nett
Faktaarket beskriver tiltak som skal ivareta tilfredsstillende sikkerhet ved elektronisk kommunikasjon av helse- og personopplysinger over åpne nett.
Faktaark 25 - Lagringstid og sletting av helse- og personopplysninger​
Virksomheten skal sikre at helse- og personopplysninger lagres og slettes iht. gjeldende krav til konfidensialitet, integritet, tilgjengelighet og kvalitet.
Faktaark 26 - Sikring av trådløs teknologi
Faktaarket skal gi prinsipper for sikring av trådløs teknologi ifm. helse- og personopplysinger.
Faktaark 27 - Retningslinjer for daglig informasjonssikkerhet
Faktaarket skal gi retningslinjer slik at medarbeidere opptrer på en slik måte i det daglige at de ivaretar god informasjonssikkerhet i virksomheten.
Faktaark 29 - Hjemmekontor og annet fjernarbeid
Dette faktaarket omhandler hjemmekontor og annet fjernarbeid, og hvordan virksomheten implementerer organisatoriske og tekniske sikkerhetstiltak.
Faktaark 30 - Sikring av mobilt utstyr utenfor virksomheten
Faktaarket gir veilledning om hvordan virksomheter skal sikre konfidensialitet, integritet og tilgjengelighet for helse- og personopplysninger som registreres, endres og lagres på mobilt utstyr.
Faktaark 31 - Passord og passordhåndtering
Faktaarket gir veiledning om passord og passordhåndtering.
Faktaark 34 - Håndtering av lagringsmedia
Faktaarket gir veiledning om sikring av konfidensialitet for helse- og personopplysninger på lagringsmedia.
Faktaark 35 - Personvernombud
Faktaark 35 beskriver tiltak som blant annet skal sikre riktig saksgang ved utnevning av ombud, og sikre at ledelsen har definert klare og relevante arbeidsoppgaver og ansvarsområder for ombudet.
Faktaark 36 - Fjernaksess mellom leverandør og virksomhet
Faktaarket skal være til hjelp for å hindre uautorisert bruk og ivareta integritet og konfidensialitet for helse- og personopplysninger i forbindelse med fjernaksess.
Faktaark 37 - Sikkerhetskrav og sikkerhetsdokumentasjon i IKT-prosjekter
Faktaarket bør leses av alle som er opptatt av tilfredsstillende informasjonssikkerhet og god sikkerhetsdokumentasjon i prosjekter som skal endre eller innføre nye IKT-løsninger.
Faktaark 38 - Sikkerhetskrav for systemer UTGÅTT
Faktarket er utgått
Faktaark 40 - Informasjonssikkerhet i forskningsprosjekter ​
Faktaarket gir en oversikt over hvilke krav til informasjonssikkerhet som gjelder i forskningsprosjekter og spesielt krav forskeren skal følge opp.
Faktaark 43 - Bruk av testdata i systemer som inneholder helse- og personopplysninger
Formålet med faktaarket er å sikre konfidensialitet, integritet, tilgjengelighet og kvalitet når testdata brukes i utvikling og test av IT-systemer med helse- og personopplysninger.
Faktaark 44 - Personvern og informasjonssikkerhet i helse- og sosialtjenesten - kortfattet oversikt for kommuneledelsen
Faktaarket bidrar til at kommunenes øverste ledelse kan iverksette nødvendig styring innen personvern og informasjonssikkerhet.
Faktaark 45 - Personvern og informasjonssikkerhet - en kort orientering for det enkelte helse- og sosialpersonell i kommuner
Gir en oversikt over sentrale oppgaver og plikter som påhviler den enkelte helse- og sosialmedarbeider ved behandling av helse- og personopplysninger.
Faktaark 46 - Tjenesteutsetting av kommunale helse- og omsorgstjenester
Formålet med faktaarket er å gi veiledning om personvern og informasjonssikkerhet til kommuner som planlegger å tjenesteutsette helse- og omsorgstjenester.
Faktaark 47 - Autorisasjonsregister
Eit autorisasjonsregister skal gi oversikt over kva tilgangar og roller ein bestemd person har og har hatt. Autorisasjonsregisteret skal vere grunnlag for kontroll av tilgang til helse- og personopplysningar.
Faktaark 48 - ​Informasjonssikkerhet ved utførelse av testing
Faktaarket har som formål at den som utfører testing har tilstrekkelig kunnskap til å sikre konfidensialitet, integritet, tilgjengelighet og kvalitet.
Faktaark 49 - ​​Krav ved bruk av PKI ved ekstern kommunikasjon
Faktaaarket gjer oversikt over krav til PKI i samband med den eksterne kommunikasjonen for verksemda.
Faktaark 50 - Innsyn i hendelsesregistre
Faktaarket beskriver tiltak som sikrer den registrerte rett til innsyn i hendelsesregistre fra behandlingsrettet helseregister og fagsystem.
Faktaark 51 - Innsyn i den ansattes e-postkasse mv UTGÅTT
Faktaarket er utgått.
Faktaark 52 - Krav til teknisk løsning ved bruk av betalingsterminal
Faktaarket sikrer riktig implementering av løsning for betalingsterminal slik at helse- og personopplysninger ikke kommer uautoriserte i hende eller at systemløsningen for betalingsterminal ikke utsetter virksomhetens systemer for ikke-akseptabel risiko.
Faktaark 53 - Tiltak ved konvertering og bytte av EPJ
Faktaarket er utarbeidet som veiledning for mindre virksomheter som skal konvertere journaler fra eksisterende EPJ og bytte til ny EPJ.
Faktaark 54 - Videokonsultasjon
Faktaarket skal gi verksemda oversikt over kva krav som skal takast vare på ved etablering og bruk av sanntidsløysningar med videokonsultasjon.
Faktaark 55 - Sperret adresse i Folkeregisteret
Faktaarket bør gjennomgås av virksomheter i helse- og omsorgstjenesten for å vurdere egne rutiner og opplæringstiltak for ansatte knyttet til sperret adresse.
Faktaark 56 – Formål og behandlingsgrunnlag
Faktaark 56 skal bidra til å sikre at virksomhetens behandlinger av helse- og personopplysninger skjer innenfor eksplisitte formål og lovlig behandlingsgrunnlag.
Faktaaark 57 - Personvernprinsippene
Dataansvarlig må sikre at egen virksomhet opptrer i henhold til personvernprinsippene i personvernforordningens artikkel 5. I dette faktaarket gis en introduksjon til prinsippenes innhold og eksempler på hvordan de kan påvirke virksomheter i helse- og omsorgssektoren.