Komp-iS - Kompetanseprogram for

informasjonssikkerhet

KOMP-iS

Opplæring av instruktører/ledere i egen kommune

All bruk og kopiering av opplæringsprogram og filmer krever tillatelse.

Agenda for Komp-iS

• Hvorfor informasjonssikkerhet?

• Hva er kompetanseprogrammet?

• Hva skal du lære dine ansatte?

• Hvordan gjennomføre opplæringen?

• Hvordan få tilgang til Komp-iS

HVORFOR

INFORMASJONSSIKKERHET?

Informasjonssikkerhet

• Sikkerhetstjenester

– Identitetsfederering

– Sikker tilgang fra eksterne nett

– Sikkerhetsovervåking

– Public Key Infrastructur

• Logganalyseverktøy / mønstergjenkjenning

• Datalekkasjebeskyttelse

• Identitets – og tilgangsstyring

– Rollestyrt

– Beslutningsstyrt

– Håndtering/Forvaltning

INFORMASJONS-

SIKKERHET

Teknisk

sikkerhet

Rutiner og

sikkerhets-

organisasjon

Bevisste brukere

• Kompetanseprogram

• Opplæring

• Kunnskap

• Holdninger

• Adferd

• Rammeverk/Styringssystem

• Strategiske føringer

• Risikostyring

• Kontinuitets- og beredskapsplanverk

• Hendelseshåndtering

Definisjon av informasjonssikkerhet

• Tilgjengelighet

– Informasjon og systemer er tilgjengelig ved behov

• Integritet

– Informasjon er korrekt og pålitelig

• Konfidensialitet

– Informasjon er kun tilgjengelig for de som har lovlig tilgang

Informasjonssikkerhet i praksis er å

• Sikre at pasientens/brukerens informasjon ikke kommer på avveie

• Sikre at de som skal ha tilgang, får det

• Forhindre tap av liv og helse som følge av feil i registrerte

pasient/brukeropplysninger

• Melde hendelser og avvik

• Bidra til at pasientenes/brukernes tillit til helsepersonell ivaretas

• Unngå renommésvikt som følge av uheldige oppslag i pressen

Sensitiv informasjon

• Kompetanseprogrammet er rettet mot å sikre

pasientinformasjon

• Annen informasjon vi må sikre er

– Informasjon om ansatte – som også kan være

sensitive personopplysninger

– Virksomhetskritisk informasjon

VERDIFILMEN

Ditt ansvar som instruktør/leder er å

• Gi de ansatte opplæring i informasjonssikkerhet.

• Tydeliggjøre at hver enkelt ansatt har et ansvar

• Bidra til å sikre pasientinformasjon og forhindre…………

HVA SKAL DU LÆRE DINE

ANSATTE?

De 8 huskelappene

Virkemidler

• Veileder for ledere - som skal undervise videre

• Presentasjon for opplæring av de ansatte

• Verdifilmen

– forteller hva som er kjerneverdiene i

kompetanseprogrammet.

• Fem humorfilmer

– hjelper deg å få oppmerksomhet knyttet til budskapene i

kurset samt bidra til å huske det som gjennomgås i kurset

• Diskusjon og refleksjon

• Finne forbedringsområder

«FILMER+LAPPER+DISKUSJON = HOLDINGSENDRING»

• E læringsprogrammer kommer ( 2014? )

Virkemidler/profilering

• Jeg låser PC-en enten ved å;

– Trykke Windows knappen og L eller;

– Trykke Ctr + Alt + Del og ”Lås datamaskin”

• Jeg logger også av fagsystemer.

• Jeg logger av PC-en når jeg er ferdig for dagen

• Jeg husker alltid å lagre hver gang jeg forlater PC-en

Hvorfor er dette viktig?

• Hindre uautorisert tilgang til pasientinformasjon, gjennom å;

– Sikre deg mot at kolleger bruker ditt brukernavn

– Sikre deg mot at andre får tilgang til pasientopplysninger

– Sikre deg mot at andre kan lese det du har oppe på skjermen

• Jeg ber aldri om å få låne andres passord

• Jeg deler aldri passordet mitt med andre

• Et godt passord er enkelt å huske for meg, og vanskelig å huske for

andre

• Jeg kontakter brukerstøtte dersom jeg glemmer passordet mitt.

Hvorfor er dette viktig?

• Ditt brukernavn blir registrert på alle endringer/innsyn.

• Du er ansvarlig for de endringer/innsyn som skjer i ditt navn – selv

om det ikke er du som har sittet bak tastaturet.

• Jeg oppsøker ikke mer informasjon enn jeg må for å gjøre jobben min

• Jeg oppsøker ikke pasientinformasjon om andre enn mine pasienter

• Jeg åpner ikke venners, familiemedlemmers eller egen journal

Hvorfor er dette viktig?

• Du har kun anledning til å lese i journalen til de pasienter du har ansvar for å yte helsehjelp til eller dersom du har annet lovlig grunnlag.

• Hva om noen leste din journal noen uten lovlig grunnlag?

http://www.vg.no/helse/artikkel.php?artid=542032

http://www.dagbladet.no/2012/12/11/nyheter/innenriks/helsetilsynet/pasientjournal/pasientopplysninger/247679

88/

«Jeg oppsøker ikke mer informasjon enn jeg

må for å gjøre jobben min!»

• Jeg legger alltid dokumenter tilbake der de skal være

• Jeg skriver kun ut det jeg må og passer på at det går til rett

skriver

• Jeg henter alltid utskriftene mine med en gang

• Jeg makulere alltid dokumenter med pasientinformasjon

Hvorfor er dette viktig?

• Det hindrer utilsiktet utlevering av pasientinformasjon

• Det hindrer uautorisert tilgang til pasientinformasjon

• Det hindre at pasientinformasjon kommer i gale hender

«En manns søppel er

en annen manns skatt»

«En manns søppel er

en annen manns skatt»

• Minnepinner er enkle å miste og kan lett spre virus.

• Jeg lagrer pasientopplysninger kun slik min arbeidsgiver har

bestemt

• Jeg aldri har pasientopplysninger på bærbart utstyr utenfor

arbeidsplassen

Hvorfor er dette viktig?

• Jeg sikrer arbeidsplassen mot virusangrep

• Jeg sikrer pasientinformasjon

• Jeg tar taushetsplikten alvorlig

http://www.dagensmedisin.no/nyheter/2008/03/11/mistet-taushetsbelagt-info/

• Jeg vet at pasientopplysninger er taushetsbelagt.

Taushetsplikten gjelder også mellom helsepersonell

• Jeg passer på at ikke uvedkommende lytter når jeg snakker

med kollegaer om pasienter

• Jeg snakker ikke om pasienter på offentlig sted eller i kantina

• Jeg passer på at ingen lytter når jeg snakker om pasienter i

telefonen

Hvorfor er dette viktig?

• Det hjelper meg å sikre pasientinformasjon

«Tale er sølv,

taushet er gull»

• Jeg sender ikke pasientopplysninger på e-post, verken internt eller

eksternt,

• Jeg svarer ikke pasienter på e-post

• Jeg bruker kun godkjente løsninger for å sende pasientinformasjon

Hvorfor er dette viktig?

• Pasientinformasjon kan komme til feil mottaker.

• E-post er usikker kommunikasjonsform og ulovlig

«Det er ingen angreknapp på Internett»

• Jeg legger aldri ut, direkte – eller indirekte, pasientinformasjon på

Internett

• Jeg bruker ikke samme passord på Internett som på arbeidsplassen

• Jeg avslår venneforespørsler fra pasienter for å unngå å komme i en

konfliktsituasjon i forhold til taushetsplikten

Hvorfor er dette viktig?

• Det hjelper meg å i vareta det ansvaret jeg har som helsepersonell

• Jeg har et ansvar for ikke å skade arbeidsplassens omdømme

«Det er ingen angreknapp på Internett»

Nå over til humorfilmene…….

Yngve i resepsjonen

Smith-Jenssen, prof.dr.med

• Klikk på bildet for å starte filmen

Driftsleder Narvestad

Yngve på medisinrunde

• Klikk på bildet for å starte filmen

Piirka på sykebesøk • Klikk på bildet for å starte filmen

Bevisste brukere bringer virksomheten

et langt stykke på vei…

……..…men ikke helt i mål

• Ledelsen må fortsatt sørge

for tilfredsstillende

informasjonssikkerhet

gjennom tiltak som

– Styringssystem

– Risikovurderinger

– Sikkerhetsrevisjoner

– Ledelsens gjennomgang

Informasjon

s-sikkerhet

Bevisste brukere

Rutiner og

sikkerhets-

organisasjon

Teknisk

sikkerhet

Norm for informasjonssikkerhet i helse-, sosial- og

omsorgssektoren

• Et sett av krav til informasjonssikkerhet basert på lovverket – utarbeidet av representanter fra helsesektoren

• Normen er et godt hjelpemiddel for å få på plass bl.a styringssystem og tekniske sikkerhetstiltak

• Den forenkler hverdagen for de som jobber i helse og omsorgssektoren

• Den har veileder for problemstillinger ( eks sosiale medier, epost, sms, video)

• Normen er juridisk bindende for virksomheter tilknyttet Helsenettet

• Mange kommuner har Norminstruktører i egne rekker – gjelder det deres kommune?

• Abonnere på nyhetsbrev? Normen.no eller lurer du på noe??sikkerhetsnormen@helsedir.no

Helsedirektoratet www.normen.no

Hvor finner jeg informasjon om

informasjonssikkerhet? Datatilsynet

Informasjon om programmet: www.nhn.no

HVORDAN GJENNOMFØRE

OPPLÆRINGEN?

Følg veileder for gjennomføring av

opplæring

• Hvorfor informasjonssikkerhet er viktig

• Konsekvenser hvis vi ikke lykkes med informasjonssikkerhet

• Virkemidler i opplæringen ( filmer og profileringsmatriell)

• Tips og forslag til hvordan du skal gjennomføre opplæringen

Læring

Rammer for opplæring (oppsummert)

• Vi anbefaler 3 x ca. 40-45 minutter

– Inndeling i 3 kurs bidrar til å øke innlæringen

• Hver instruktør må beregne noe tid til forberedelse

– Sette opp egnet utstyr ( LYD er viktig )

– Sette seg inn i innholdet i de enkelte kursdelene (veileder,

bakgrunnsinformasjon og evt anbefalinger)

• Har du spørsmål til hvordan du skal gjennomføre opplæringen? Ta

kontakt med; Lisbet Guttormsen : lisbet.guttormsen@nhn.no

Nå skal vi se en film

Hva tenker dere?

Yngve i resepsjonen

Yngve i resepsjonen

• Har vi opplevd noe lignende?

• Hvordan vil vi ha det hos oss?

Noen høydepunkter! • Taushetsplikten gjelder også mellom helsepersonell

• Jeg passer på at ikke uvedkommende lytter når jeg

snakker om pasienter/brukere

• Jeg ber aldri om å få låne andres passord

• Jeg sjekker en gang ekstra at e-post fra meg ikke

inneholder pasient/brukerinformasjon

• Jeg svarer ikke pasienter/brukere på e-post

• Jeg henter alltid utskriftene mine med en gang

• Jeg legger aldri igjen dokumenter på møterom

KURS I INFORMASJONSSIKKERHET

DEL 2

Smith-Jenssen, prof.dr.med

Smith-Jenssen, prof.dr.med • Har vi opplevd noe lignende?

• Hvordan vil vi ha det hos oss?

Narvestad - driftsleder

Narvestad - driftsleder • Har vi opplevd tilsvarende?

• Hvordan vil vi ha det hos oss?

Noen høydepunkter!

• Taushetsplikten gjelder også mellom helsepersonell

• Jeg passer på at ikke uvedkommende lytter når jeg snakker om

pasienter/brukere

• Trykke Windows knappen og L

• Jeg sjekker en gang ekstra at e-post fra meg ikke inneholder

pasient/brukerinformasjon

• Jeg svarer ikke pasienter/brukere på e-post

• Jeg vet at minnepinner er enkle å miste og kan lett spre virus

• Jeg aldri har pasient/brukeropplysninger på bærbart utstyr

utenfor sykehuset

• Jeg henter alltid utskriftene mine med en gang

• Jeg legger aldri igjen dokumenter på møterom

KURS I INFORMASJONSSIKKERHET

DEL 3

Yngve på medisinrunde

Yngve på medisinrunde

• Har vi opplevd noe lignende?

• Hvordan vil vi ha det hos oss?

Piirka på sykebesøk

Piirka på sykebesøk

• Har vi opplevd noe lignende?

• Hvordan vil vi ha det hos oss?

Noen høydepunkter! • Taushetsplikten gjelder også mellom helsepersonell

• Jeg passer på at ikke uvedkommende lytter når jeg snakker om

pasienter/brukere

• Crtrl+alt+delete

• Jeg oppsøker ikke mer informasjon enn jeg må for å gjøre

jobben min

• Jeg oppgir aldri, direkte – eller indirekte,

pasient/brukerinformasjon på Internett

• Jeg bruker ikke samme passord på Internett som på

arbeidsplassen

• Jeg henter alltid utskriftene mine med en gang

• Jeg legger aldri igjen dokumenter på møterom

Fått tilgang til bruk programmet:

Eid

Gaular

Stryn

Vik

Ikke avtalt tilgang:

Askvoll Høyanger

Aurland Jølster

Balestrand Leikanger

Bremanger Luster

Fjaler Lærdal

Førde Naustdal

Gloppen Selje

Gulen Sogndal

Hornindal Solund

Hyllestad Vågsøy

Årdal

Status for «Sogn og Fjordane»

0

5

10

15

20

25

30

Kompis kurs

Tatt i bruk Kompis

«Komp-iS er grat-iS»

• Fylle ut, signere avtalen med NHN. Avtalen ligger her :

http://www.nhn.no/informasjonssikkerhet/kompetanseprogram-

informasjonssikkerhet-komp-is

• Dere sender den til kundesenter@nhn.no , lisbet.guttormsen@nhn.no eller

otto.johansen@nhn.no eller faks til 73 93 14 80 ( Klargjøres på ca 3-5 dager)

• Når du har mottatt passord og pålogging, finner du filmer, dokumenter,

veiledninger og alt av undervisningsmateriell her :

http://www.nhn.no/informasjonssikkerhet/kompetanseprogram-

informasjonssikkerhet-komp-is

• Følg veiledninger for hvordan filmene brukes i presentasjon.

• Følg veilederen for ledere – den gir deg hjelp for undervisning videre

• Egne presentasjoner ligger klare for bruk, til ansatte ( og til ledere )

VERDIFILMEN