Normen for leverandører
Hva er Normen, og hva betyr den for meg som leverandør?
Normen er en bransjenorm for informasjonssikkerhet og personvern i helse- og omsorgssektoren i Norge. Kravene i Normen er basert på norsk lov (både helselovgivingen og personopplysningsloven/GDPR) og inneholder en rekke krav til helsevirksomhetene innen risikostyring, personvern og informasjonssikkerhet. Normen er ikke bindende i seg selv for virksomheter, men man blir forpliktet til å følge Normens krav via avtale med Norsk Helsenett (NHN), som gir adgang til det nasjonale, krypterte helsenettet. For mer informasjon om hva Helsenettet er og hvordan man kan bli tilknyttet, kan du lese mer på Norsk Helsenett sine sider.
Hvis kunder spør om dere er «godkjent av Norsk Helsenett», «oppfyller Normens krav» eller lignende, er det vanligvis denne tilknytningen de etterspør. En konsekvens av denne tilknytningen er en plikt til å følge Normen. Formålet er at det skal stilles like krav til personvern og informasjonssikkerhet til alle virksomheter som bruker helsenettet. Det er altså ikke slik at man som virksomhet blir godkjent av «Normen», men at tilknytningen til helsenettet forplikter virksomheten til å følge kravene som Normen inneholder, som en del av en kontraktsforpliktelse.
I tillegg er det en del virksomheter som bruker Normen som grunnlag for å stille krav til sine kunder/leverandører, men dette gjøres på basis av egen avtale mellom partene, for eksempel en databehandleravtale. Virksomheter som er forpliktet til å følge Normen må sørge for at sine leverandører også forplikter seg til å følge de samme kravene.
Hvis du ikke er tilknyttet NHN, eller på annen måter er forpliktet til å følge Normen, er det heller ikke et krav at du som leverandør følger Normen for å kunne levere utstyr / tjenester til sektoren.
Selve Normen 6.0 (hoveddokumentet) finner du her.
For å få en tydeligere oversikt over hvilke krav som følger av Normens hoveddokument, anbefales det å starte med Vedlegget til Normen.
Her finner du både en komplett oversikt over alle kravene, samt en mapping mellom Normen og ISO 27001. Det er ikke nødvendig å være ISO 27001-sertifisert for å oppfølge kravene i Normen, men dersom virksomheten er sertifisert vil en del av kravene være overlappende.
Her finnes også en mapping mellom Normen og Cloud Security Matrix (CCM).
Det kan være nyttig å bruke oversikten over Normens krav som en sjekkliste for å kontrollere hvilke krav din virksomhet allerede oppfyller til dags dato.
Veiledninger til Normen
Det er laget en stor mengde veiledningsmateriell til Normen. Innholdet i veiledningsdokumentene er ikke bindende på samme måte som Normens hoveddokument, men inneholder veiledninger og anbefalinger til hvordan Normens krav kan oppfylles.
Det finnes to typer veiledninger: faktaark og veiledere. Normens faktaark beskriver nærmere i kortform hvordan virksomheter kan oppfylle enkelte sentrale krav i Normen og gir praktisk veiledning til dette. Veilederne til Normen er større støttedokumenter som går i dybden på temaet for den spesifikke veilederen.
Veiledningsmateriell finner du på normen.no. Merk: Ikke alle veiledere er oppdatert i henhold til GDPR eller siste versjon av Normens hoveddokument.
Hvem styrer Normen?
Innholdet i Normen og veilederne til Normen bestemmes av en styringsgruppe som består av representanter fra helsesektoren. Leverandør- og pasient/bruker-organisasjoner er representert i styringsgruppen med observatørstatus. Styringsgruppen møtes ca. fire ganger i året. Direktoratet for e-helse er sekretariat for styringsgruppen, med fast representasjon fra Norsk Helsenett.
Forholdet mellom Normen og lovverket
Lovgivningen stiller krav til informasjonssikkerhet og personvern. Disse kravene gjelder uavhengig av Normen, og aktuelle tilsynsmyndigheter (særlig Datatilsynet og Helsetilsynet) kan kontrollere den enkelte virksomhets etterlevelse av lovene.
Normen dekker ikke alle lovkrav til informasjonssikkerhet, personvern og behandling av helse- og personopplysninger.
Lovgivningen har flere krav til informasjonssikkerhet, personvern og behandling av helse- og personopplysninger enn det som er hovedtema for Normen, for eksempel flere problemstillinger rundt bruk av helse- og personopplysninger for andre formål enn ytelse av helse- og omsorgstjenester, spesifikke krav til registre som har egne forskrifter, rettsgrunnlag for behandling av helse- og personopplysninger samt plikt til og krav til journalføring. Informasjonssikkerhet er også regulert i annet lovverk enn det som gjelder behandling av personopplysninger.
Normens krav utdyper og supplerer gjeldende regelverk.
Overholdelse av kravene i Normen kan brukes for å påvise at virksomhetens forpliktelser etter regelverket overholdes.
Normen inneholder enkelte krav som er basert på GDPR, f.eks. enkelte krav i kapittel 2, samt krav til databehandleravtaler i kapittel 5.7.4. At kravene er basert på GDPR betyr at kravene i Normen ikke har forrang, men at det har blitt vurdert som hensiktsmessig å fremheve enkelte bestemmelser i GDPR som er særlig sentrale. Dersom man oppfyller kravene til behandling av personopplysninger i GDPR, så vil man også oppfylle kravene i Normen. Det er også noen særkrav i Normen som gjelder behandling av personopplysninger i behandlingsrettet helseregister(journalsystem). Disse kravene er basert på norsk helserett, særlig helseregisterloven, som har regler om behandling av pasientopplysninger i journal.